Atrab Ahmed AbdEl Aziz Omar,  <br/><br/>
A defense model for adversarial machine  learning attacks in medical diseases  classification / 
 نموذج دفاعي للتصدي لهجمات التعلم الألي العدائية فى تصنيف الأمراض الطبيه 
by Atrab Ahmed AbdEl Aziz Omar ; Supervision Dr. Nour Eldeen M. Khalifa, Prof. Dr. Reda Abdelwehab El-Khoribi.  
 - 130 Leaves  :   illustrations ;   30 cm. +   CD. 
<br/><br/>Thesis (Ph.D)-Cairo University, 2025. 
<br/><br/>Bibliography: pages 124-130.  
<br/><br/> The field of medical diagnostic based deep learning (DL) systems faces <br/>increasing risks from adversarial attacks. Adversarial attacks can manipulate inputs <br/>to mislead models and lead to potentially harmful consequences.  <br/>This thesis addresses the vulnerabilities of Medical Question Answering <br/>(MQA) and medical cancer imaging diagnosis systems. It presents novel defense <br/>models designed to counter different adversarial threats. These models are <br/>specifically designed to enhance medical systems robustness. The proposed models <br/>safeguard both MQA and cancer diagnosis systems from both image-based and text-<br/>based perturbation attacks. <br/>MQA systems play a critical role in aiding healthcare professionals but they <br/>remain under-researched in terms of adversarial defenses. This thesis introduces <br/>three novel and robust defense frameworks designed to protect against word-level <br/>and character-level adversarial perturbations. The three proposed models are the <br/>Synonym Substitution Embedding (SSE) defense framework, CosineDefender, and <br/>JaccardDefender. These models leverage advanced techniques such as synonym <br/>embedding, cosine similarity, and Jaccard similarity to defend adversarial inputs <br/>before they impact model predictions.  <br/>Comprehensive evaluation across multiple datasets demonstrates the <br/>effectiveness of these models with JaccardDefender consistently outperforming the <br/>others in reducing attack success rates and maintaining high accuracy.  <br/>In addition to MQA systems, this thesis also tackles the vulnerabilities of DL <br/>models in medical cancer diagnosis. A novel defense model called Robust Defense <br/>Model against Adversarial Attacks (RDMAA) is introduced. RDMAA is specifically <br/>designed for securing DL-based cancer diagnosis systems against two white-box <br/>attacks.  <br/>RDMAA employs fine-tuning of convolutional neural networks (CNNs) <br/>using pre-trained parameters from a Deep Convolutional Autoencoder (DCAE). This <br/>significantly improves the robustness and accuracy of cancer diagnosis under <br/>adversarial conditions. Comprehensive evaluation across multiple cancer datasets <br/>demonstrates the effectiveness of these models.  <br/><br/><br/>XVI <br/><br/> <br/><br/>Results regarding the MQA field show that the SSE model reduces the word <br/>synonym substitution attack success rate from 8.7% to 0.4% on the AG’s News <br/>dataset. For Symptom2Disease, attack success rates are high (10.2%, 12.8%, and <br/>62%) for word synonym substitution, word deletion, and random character insertion. <br/>The CosineDefender lowers these rates to 3.4%, 4.3%, and 12.8%. JaccardDefender <br/>performs best by achieving the lowest attack success rates (3.4%, 3.5%, and 3.4%) <br/>and the highest accuracy across datasets. These findings highlight the effectiveness <br/>of these models in improving MQA system resilience against adversarial threats.  <br/>For comparative analysis, the SSE model framework has been assessed in <br/>relation to previous research on the AG's News dataset under random word <br/>substitution attacks. This framework employs advanced techniques to strengthen <br/>models against adversarial perturbations by focusing on vulnerabilities related to <br/>word synonym substitutions. A comparative analysis highlights the SSE model's <br/>effectiveness in mitigating adversarial threats while preserving classification <br/>accuracy. <br/>For medical cancer images, the experimental results revealed that the <br/>accuracy of the models under attack dropped to 35% and 40% for CT 36% and 66% <br/>for microscopic images and 70% and 77% for magnetic resonance imaging (MRI) <br/>scans. In contrast, RDMAA demonstrated substantial improvement by achieving <br/>maximum absolute increases of 88% and 83% for CT, 89% and 87% for microscopic <br/>cases, and 93% for brain MRI.  <br/>The RDMAA model was compared with the common defense technique of <br/>adversarial training (ADT) and showed superior performance. Results indicate that <br/>DL-based cancer diagnoses are highly susceptible to adversarial attacks where even <br/>imperceptible perturbations can mislead the models. The proposed RDMAA <br/>establishes a solid foundation for developing more robust and accurate medical deep <br/>learning models.  <br/>This thesis addresses critical gaps in protecting MQA systems and cancer diagnosis <br/>models from adversarial attacks. This establishes a foundation for future work to <br/>enhance the resilience of medical DL systems against evolving security threats.   في السنوات الأخيره، يواجه مجال أنظمة التعلم العميق القائمة على التشخيص الطبي مخاطر متزايدة من الهجمات المعادية. يمكن للهجمات المعادية التلاعب بالمدخلات لتضليل النماذج وتؤدي إلى عواقب ضارة محتملة. في هذا السياق، تقدم هذه الرسالة نماذج دفاعية جديدة تهدف إلى مواجهة هذه التهديدات العدائية مع التركيز على معالجة ثغرات أنظمة الإجابة على الأسئلة الطبية وأنظمة تشخيص السرطان المعتمدة على التعلم العميق.<br/>تلعب أنظمة الإجابة على الأسئلة الطبية دورًا حاسمًا في مساعدة المتخصصين في الرعاية الصحية ولكنها لا تزال غير مدروسة من حيث الدفاعات المعادية. تقدم هذه الأطروحة ثلاثة نماذج دفاعية قوية مصممة للحماية من الاضطرابات المعادية على مستوى الكلمة ومستوى الحرف. تشمل هذه النماذج : نموذج  الدفاع عن استبدال المرادفات (SSE)، ونموذج    CosineDefender، ونموذج .JaccardDefender تستند هذه النماذج إلى تقنيات متقدمة مثل تضمين المرادفات، والتشابه Cosine، وتشابه Jaccard للكشف عن المدخلات المعادية وتحييدها قبل أن تؤثر على تنبؤات النموذج. يُظهر التقييم الشامل عبر مجموعات بيانات متعددة فعالية هذه النماذج مع تفوق JaccardDefender باستمرار على النماذج الأخرى في تقليل معدلات نجاح الهجوم والحفاظ على دقة عالية.<br/>بالإضافة إلى أنظمة الإجابة على الأسئلة الطبية ، تتناول هذه الرسالة أيضًا ثغرات النماذج المعتمدة على التعلم العميق في تشخيص السرطان الطبي. تم تقديم نموذج دفاع جديد يسمى نموذج الدفاع القوي ضد الهجمات المعادية (RDMAA). تم تصميم RDMAA خصيصًا لتأمين أنظمة تشخيص السرطان القائمة على التعلم العميق ضد هجمات الصندوق الأبيض (white-box).<br/>يعتمد RDMAA على تحسين الشبكات العصبية الالتفافية (CNNs) باستخدام معلمات مدربة مسبقًا من المشفر التلقائي الالتفافي العميق (DCAE). هذا يعزز بشكل كبير من قوة ودقة تشخيص السرطان في ظل الظروف العدائية. تُظهر التقييمات الشاملة عبر مجموعات بيانات السرطان المختلفة فعالية هذه النماذج.<br/>تظهر النتائج في مجال الأسئلة الطبية أن نموذج SSE يقلل من معدل نجاح هجوم استبدال المرادفات من 8.7% إلى 0.4% على مجموعة بيانات AG’s News. بالنسبة لمجموعة بيانات Symptom2Disease، كانت معدلات نجاح الهجمات مرتفعة (10.2%، 12.8%، و62%) لاستبدال المرادفات، حذف الكلمات، وإدخال الحروف العشوائي. يُقلل نموذج CosineDefender هذه النسب إلى 3.4%، 4.3%، و12.8%. بينما يُظهر JaccardDefender أداءً أفضل بتحقيقه أدنى معدلات نجاح للهجمات (3.4%، 3.5%، و3.4%) وأعلى دقة عبر مجموعات البيانات. تسلط هذه النتائج الضوء على فعالية هذه النماذج في تعزيز مرونة أنظمة الأسئلة الطبية ضد التهديدات العدائية.<br/>في مجال الأسئلة الطبية ، تم تقييم إطار نموذج SSE بالنسبة للأبحاث السابقة على مجموعة بيانات AG’s News تحت هجمات استبدال الكلمات العشوائي. يستخدم هذا الإطار تقنيات متقدمة لتعزيز النماذج ضد الاضطرابات العدائية بالتركيز على الثغرات المتعلقة باستبدال المرادفات. يبرز التحليل المقارن فعالية نموذج SSE في التخفيف من التهديدات العدائية مع الحفاظ على دقة التصنيف.<br/>فيما يتعلق بالصور الطبية للسرطان، كشفت النتائج التجريبية أن دقة النماذج تحت الهجوم انخفضت إلى 35% و40% للأشعة السينية، 36% و66% للصور المجهرية، و70% و77% لفحوصات التصوير بالرنين المغناطيسي . في المقابل، أظهر نموذج RDMAA تحسنًا كبيرًا لفحوصات التصوير بالرنين المغناطيسي حيث حقق زيادات مطلقة تصل إلى 88% و83% للأشعة السينية، 89% و87% للحالات المجهرية، و93% للتصوير بالرنين المغناطيسي للدماغ.<br/>تم مقارنة نموذج RDMAA مع تقنية الدفاع الشائعة المعروفة بالتدريب العدائي وأظهر أداءً فائقًا. تشير النتائج إلى أن التشخيصات السرطانية المعتمدة على التعلم العميق شديدة الحساسية للهجمات العدائية، حيث يمكن حتى الاضطرابات غير الملحوظة أن تخدع النماذج. يقدم النموذج المقترح RDMAA أساسًا متينًا لتطوير نماذج طبية أكثر متانة ودقة في التعلم العميق.<br/>تعالج هذه الرسالة الفجوات الحرجة في حماية أنظمة الأسئلة الطبية ونماذج تشخيص السرطان من الهجمات العدائية. وتضع أساسًا للعمل المستقبلي لتحسين مرونة أنظمة التعلم العميق الطبية في مواجهة التهديدات الأمنية المتطورة. 
<br/><br/>
<br/><br/><br/>Text in English and abstract in Arabic & English. 
<br/><br/><label>Subjects--Topical Terms: </label><br/>Information Technology<br/>تكنولوجيا المعلومات
<br/><br/><label>Subjects--Index Terms: </label>Adversarial Attacks  SSE Defense Model  RDMAA Defense Model  Medical Questions  Medical Cancer Imaging   SSE الهجمات العدائية   نموذج دفاعي 
<br/><br/><label>Dewey Class. No.: </label>005.12