脑机接口拼写器是否真的安全?华中科技大学研究团队对此做了相关研究

更多技术干货第一时间送达

脑机接口(BCI)记录和解码脑信号以构建通信路径,使人们可以通过思想直接与计算机进行交互。BCI广泛应用于包括神经科学,心理学,临床康复和娱乐等多个场景。作为最常用的BCI系统之一,基于脑电图(EEG)的BCI拼写器允许用户使用EEG信号向计算机输入文本,对于严重残疾的个体(例如肌萎缩性侧索硬化症患者)特别有用,因为他们与他人或计算机之间没有其他有效的通讯方式。但是,这里有一个非常重要的问题:这些BCI拼写器真的安全吗?
针对这一问题,由华中科技大学(HUST)伍冬睿教授领导的BCI研究小组最近在《国家科学评论》上发表了一篇文章,该文章表明BCI拼写器的输出可能容易被微小的对抗性噪声操纵,从而暴露了基于EEG的BCI中的关键安全问题。
研究小组在该文章中首次展示了可以针对P300和SSVEP拼写器的目标攻击生成微小的对抗性EEG扰动模板,即,将分类误导到攻击者想要的任何字符,无论用户想要的字符是什么。这样可能会导致临床应用中的严重误诊的后果。
P300拼写器和SSVEP拼写器
上图为P300拼写器和SSVEP拼写器。图(a)P300拼写器(底部路径)和SSVEP拼写器(底部路径)的工作流程。对于每个拼写器,用户观看刺激界面,专注于他/她想要输入的字符,并且由拼写器记录和分析EEG信号。P300拼写器首先识别引起最大P300的行和列,然后输出它们的交集处的字符。SSVEP拼写器通过将用户的EEG振荡频率与每个候选字符的闪烁频率进行匹配来直接识别输出字符。图(b)为P300拼写器的刺激界面,其中第二列已增强。图(c)为SSVEP拼写器的刺激界面。每个字符下方的数字表示其闪烁频率(Hz)。

P300拼写器攻击结果

SSVEP拼写器攻击结果

其中上图(b)对抗性扰动前后(几乎完全重叠)的SSVEP信号。输出文本从" Y"更改为“ N";图(d)良性和对抗性SSVEP信号的频谱分析。
研究人员在文章中表示,更严重的是,这些扰动模板是如此之小,以至于人们几乎无法区分对抗性的脑电图试验和原始的脑电图试验。当把这些信号放在一起时,它们看起来几乎完全重叠了。对一些广泛使用的评估脑电图信号质量的方法来说,对抗扰动模板甚至可以保持不可察觉。
研究人员已P300拼写器为例,展示了P300的攻击过程,下图即为P300的攻击过程示意图。

P300的攻击过程示意图

在上面示意图中,攻击字符为Z,而用户字符为7。在良性脑电图试验中,P300拼写器可以正确识别出P300是由最后一行和第三列的增强引起的。为了误导P300拼写器,在0-350ms和700-1050ms期间添加了对抗性扰动模板,从而认为第五行和第二列引出P300的概率最大。添加的对抗性扰动模板不会影响第二次和最后一次刺激的结果,因为它们对应的周期与模板不同步。结果,P300拼写器将扰动试验错误地分类为攻击字符Z。
"这些拼写器防御对抗性扰动模板的能力与它们对随机噪声的鲁棒性完全不同。""即使这些BCI拼写器在随机噪声方面表现出出色的性能,也可以通过这些精心设计的扰动模板来操纵,并且成功率很高。"
这种安全问题不仅针对这些基于EEG的拼写器中使用的受害者模型,而且还针对其他流行的BCI系统。"应该指出的是,这项研究的目的不是破坏基于脑电图的BCI。相反,我们旨在证明对基于脑电图的BCI进行严重的对抗攻击是可能的,因此暴露出严重的安全隐患,而这种安全隐患之前很少受到关注。"研究人员表示"我们的进一步研究将集中于解决这类安全问题,并使BCI系统更安全。"
参考:
Tiny noise, big mistakes: adversarial perturbations induce errors in Brain-Computer Interface spellers
https://techxplore.com/news/2020-10-brain-computer-interface-spellers.html
(0)

相关推荐