論文の概要: Beyond Attack Success Rate: A Multi-Metric Evaluation of Adversarial Transferability in Medical Imaging Models
- arxiv url: http://arxiv.org/abs/2604.16532v1
- Date: Thu, 16 Apr 2026 18:34:57 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-21 21:52:52.055557
- Title: Beyond Attack Success Rate: A Multi-Metric Evaluation of Adversarial Transferability in Medical Imaging Models
- Title(参考訳): 攻撃成功率を超える:医療画像モデルにおける逆転率のマルチメトリック評価
- Authors: Emily Curl, Kofi Ampomah, Md Erfan, Sayanton Dibbo,
- Abstract要約: 深層学習システムは、医療画像分析においてますます普及している。
逆行性摂動に対する脆弱性は、臨床展開に対する深刻な懸念を引き起こす。
ASR単独は、敵の強靭性と伝達性の不十分な指標である。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: While deep learning systems are becoming increasingly prevalent in medical image analysis, their vulnerabilities to adversarial perturbations raise serious concerns for clinical deployment. These vulnerability evaluations largely rely on Attack Success Rate (ASR), a binary metric that indicates solely whether an attack is successful. However, the ASR metric does not account for other factors, such as perturbation strength, perceptual image quality, and cross-architecture attack transferability, and therefore, the interpretation is incomplete. This gap requires consideration, as complex, large-scale deep learning systems, including Vision Transformers (ViTs), are increasingly challenging the dominance of Convolutional Neural Networks (CNNs). These architectures learn differently, and it is unclear whether a single metric, e.g., ASR, can effectively capture adversarial behavior. To address this, we perform a systematic empirical study on four medical image datasets: PathMNIST, DermaMNIST, RetinaMNIST, and CheXpert. We evaluate seven models (VGG-16, ResNet-50, DenseNet-121, Inception-v3, DeiT, Swin Transformer, and ViT-B/16) against seven attack methods at five perturbation budgets, measuring ASR, Peak Signal-to-Noise Ratio (PSNR), Structural Similarity Index Measure (SSIM), and $L_2$ perturbation magnitude. Our findings show a consistent pattern: perceptual and distortion metrics are strongly associated with one another and exhibit minimal correlation with ASR. This applies to both CNNs and ViTs. The results demonstrate that ASR alone is an inadequate indicator of adversarial robustness and transferability. Consequently, we argue that a thorough assessment of adversarial risk in medical AI necessitates multi-metric frameworks that encompass not only the attack efficacy but also its methodology and associated overheads.
- Abstract(参考訳): 深層学習システムは、医療画像解析においてますます普及しつつあるが、敵の摂動に対する脆弱性は、臨床展開に深刻な懸念をもたらす。
これらの脆弱性評価は、攻撃が成功したかどうかのみを示すバイナリメトリックであるアタック成功率(ASR)に大きく依存している。
しかし、ASRメートル法は摂動強度、知覚的画質、アーキテクチャ間攻撃の伝達可能性など他の要因を考慮していないため、解釈は不完全である。
このギャップは、視覚変換器(ViT)を含む複雑で大規模なディープラーニングシステムが、畳み込みニューラルネットワーク(CNN)の優位性にますます挑戦しているため、考慮が必要である。
これらのアーキテクチャは異なる方法で学習し、1つの計量(例えばASR)が敵の振る舞いを効果的に捉えることができるかどうかは不明である。
そこで我々は,PathMNIST,DermaMNIST,RetinaMNIST,CheXpertの4つの医用画像データセットについて,系統的研究を行った。
我々は,7つのモデル (VGG-16, ResNet-50, DenseNet-121, Inception-v3, DeiT, Swin Transformer, ViT-B/16) を,ASR, Peak Signal-to-Noise Ratio (PSNR), Structure similarity Index Measure (SSIM), $L_2$ perturbation magnitude の5つの予算で評価した。
知覚と歪みの指標は互いに強く関連しており,ASRとの相関は最小限である。
これはCNNとViTの両方に適用される。
以上の結果から,ASR単独は対向的堅牢性と伝達可能性の指標として不十分であることが示唆された。
その結果、医療用AIの敵意リスクを徹底的に評価するには、攻撃効果だけでなく、その方法論や関連するオーバーヘッドを含む多段階のフレームワークが必要であると論じる。
関連論文リスト
- Risk-Calibrated Learning: Minimizing Fatal Errors in Medical AI [10.82789277277678]
深層学習モデルは、しばしば医療画像分類において専門家レベルの精度を達成するが、重大な欠陥、すなわち意味的不整合に悩まされる。
本稿では,視覚的曖昧さ(きめ細かい誤り)と破滅的な構造的誤りを明確に区別する手法であるリスク校正学習を提案する。
論文 参考訳(メタデータ) (2026-04-14T13:04:17Z) - The Scaffold Effect: How Prompt Framing Drives Apparent Multimodal Gains in Clinical VLM Evaluation [1.9655003184977389]
臨床画像コホートであるtextscFOR2107 と textscOASIS-3 の2値分類により,12個のオープンウェイト視覚言語モデル(VLM)を評価した。
これらの条件下では、より小さなVLMは、ニューロイメージングの文脈を導入すると最大58%のF1のゲインを示し、蒸留されたモデルは、桁違いに大きいものと競合するようになる。
論文 参考訳(メタデータ) (2026-03-30T12:58:10Z) - Brain Tumor Classifiers Under Attack: Robustness of ResNet Variants Against Transferable FGSM and PGD Attacks [0.5219568203653523]
敵攻撃に対するResNetアーキテクチャの感受性とレジリエンスについて検討する。
BrainNeXtモデルはブラックボックス攻撃に対する高い堅牢性を示す。
BrainNetとDilationモデルは、特にPGDの下で、より高いイテレーションステップと$$の値を持つ攻撃に対して、より脆弱である。
論文 参考訳(メタデータ) (2026-02-12T06:58:33Z) - Impact of White-Box Adversarial Attacks on Convolutional Neural Networks [0.6138671548064356]
本稿では,畳み込みニューラルネットワーク(CNN)のホワイトボックス攻撃に対する感受性について検討する。
本研究は、敵の脅威に対するCNNの堅牢性に関する知見を提供する。
論文 参考訳(メタデータ) (2024-10-02T21:24:08Z) - K-Space-Aware Cross-Modality Score for Synthesized Neuroimage Quality
Assessment [71.27193056354741]
クロスモダリティな医用画像合成をどう評価するかという問題は、ほとんど解明されていない。
本稿では,この課題の進展を促すため,新しい指標K-CROSSを提案する。
K-CROSSは、トレーニング済みのマルチモードセグメンテーションネットワークを使用して、病変の位置を予測する。
論文 参考訳(メタデータ) (2023-07-10T01:26:48Z) - Semantic Image Attack for Visual Model Diagnosis [80.36063332820568]
実際には、特定の列車およびテストデータセットに関する計量分析は、信頼性や公正なMLモデルを保証しない。
本稿では,セマンティック・イメージ・アタック(SIA)を提案する。
論文 参考訳(メタデータ) (2023-03-23T03:13:04Z) - From Environmental Sound Representation to Robustness of 2D CNN Models
Against Adversarial Attacks [82.21746840893658]
本稿では, 各種環境音響表現(スペクトログラム)が, 被害者残差畳み込みニューラルネットワークの認識性能と対角攻撃性に与える影響について検討する。
DWTスペクトログラムでトレーニングしたResNet-18モデルでは高い認識精度が得られたが、このモデルに対する攻撃は敵にとって比較的コストがかかる。
論文 参考訳(メタデータ) (2022-04-14T15:14:08Z) - Multi-Expert Adversarial Attack Detection in Person Re-identification
Using Context Inconsistency [47.719533482898306]
本稿では,個人再識別(ReID)システムに対する悪意のある攻撃を検知するための,Multi-Expert Adversarial Detection(MEAAD)アプローチを提案する。
ReIDに対する最初の敵攻撃検出アプローチとして、MEAADは様々な敵攻撃を効果的に検出し、高いROC-AUC(97.5%以上)を達成する。
論文 参考訳(メタデータ) (2021-08-23T01:59:09Z) - Towards Adversarial Patch Analysis and Certified Defense against Crowd
Counting [61.99564267735242]
安全クリティカルな監視システムの重要性から、群衆のカウントは多くの注目を集めています。
近年の研究では、ディープニューラルネットワーク(DNN)の手法が敵の攻撃に弱いことが示されている。
群衆カウントモデルのロバスト性を評価するために,Momentumを用いた攻撃戦略としてAdversarial Patch Attackを提案する。
論文 参考訳(メタデータ) (2021-04-22T05:10:55Z) - Adversarial Attack Vulnerability of Medical Image Analysis Systems:
Unexplored Factors [8.586747120576224]
敵対的攻撃は、機械学習システムにとって深刻なセキュリティ脅威であると考えられている。
深層学習型MedIAシステムにおける敵攻撃の脆弱性に影響を及ぼす要因について検討した。
論文 参考訳(メタデータ) (2020-06-11T12:19:39Z) - Transferable, Controllable, and Inconspicuous Adversarial Attacks on
Person Re-identification With Deep Mis-Ranking [83.48804199140758]
システム出力のランキングを乱す学習とミスランクの定式化を提案する。
また,新たなマルチステージネットワークアーキテクチャを開発することで,バックボックス攻撃を行う。
そこで本手法では, 異なるマルチショットサンプリングにより, 悪意のある画素数を制御することができる。
論文 参考訳(メタデータ) (2020-04-08T18:48:29Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。