提升脑机接口的安全性

# 提升脑机接口的安全性

来源：https://arxiv.org/html/2606.02597

###### 摘要

基于脑电图（EEG）的脑机接口（BCI）的发展主要得益于机器学习而取得了显著进展。尽管早期研究大多集中在提高分类精度上，但对安全性和鲁棒性的关注相对较少。最新研究表明，基于EEG的BCI容易受到对抗性攻击，这些攻击可能通过精心设计的微小扰动导致误诊断。因此，评估模型对此类扰动的鲁棒性对于确保其可靠部署至关重要。在本研究中，我们提出了一种轻量级的定制卷积神经网络（CNN）架构，以研究基于EEG的BCI中的对抗鲁棒性。所提出的方法使用两个EEG数据集进行评估，并与三种针对EEG的新型CNN模型（即EEGNet、DeepConvNet和SleepEEGNet）在基于梯度的对抗攻击场景下进行对比。实验结果表明，在对抗性扰动下，所提模型在分类性能上持续优于基线模型，显示出更强的鲁棒性。这些发现强调了轻量级架构在对抗条件下增强基于EEG的BCI系统可靠性的潜力。

## I 引言

人脑与外部设备可以通过脑机接口（BCI）直接通信，该技术已在神经科学、神经工程和临床康复等领域得到广泛探索[14]（https://arxiv.org/html/2606.02597#bib.bib1）。由于脑电图（EEG）成本低廉、非侵入性强且易于使用，已成为BCI中最常用的大脑记录方法[26]（https://arxiv.org/html/2606.02597#bib.bib2）。如图1（https://arxiv.org/html/2606.02597#S1.F1）所示，典型的基于EEG的BCI架构由四个主要部分组成：信号采集、信号预处理、机器学习和控制执行。在机器学习阶段，传统方法通常涉及手动特征提取、分类或回归。

参见说明图1：基于EEG的BCI系统概览。在人体行为分析等应用中，脑信号分析已被广泛使用[6]（https://arxiv.org/html/2606.02597#bib.bib20），[12]（https://arxiv.org/html/2606.02597#bib.bib21）]；在神经辅助系统方面，包括癫痫发作预测[21]（https://arxiv.org/html/2606.02597#bib.bib22），[20]（https://arxiv.org/html/2606.02597#bib.bib23），[8]（https://arxiv.org/html/2606.02597#bib.bib24）]；以及最近的网络安全应用[11]（https://arxiv.org/html/2606.02597#bib.bib25），[13]（https://arxiv.org/html/2606.02597#bib.bib26）]。在EEG分类中，信号分解技术是最常用的方法之一[24]（https://arxiv.org/html/2606.02597#bib.bib3），[15]（https://arxiv.org/html/2606.02597#bib.bib28）]。例如，Sadiq等人[10]（https://arxiv.org/html/2606.02597#bib.bib4）引入了多元变分模态分解（MVMD）方法；而Yu等人[27]（https://arxiv.org/html/2606.02597#bib.bib5）在基于EEG的分类任务中使用了经验傅里叶分解（EFD）及其改进形式（IEFD）。信号去噪也被广泛认为是提高分类准确性的关键步骤[22]（https://arxiv.org/html/2606.02597#bib.bib6）]。在此背景下，Sadiq等人[23]（https://arxiv.org/html/2606.02597#bib.bib7）提出了多尺度主成分分析（MSPCA）技术，可减少EEG记录中的噪声。近年来，基于图形特征的方法已成为揭示EEG数据中隐藏模式的一条可行途径[15]（https://arxiv.org/html/2606.02597#bib.bib28），[2]（https://arxiv.org/html/2606.02597#bib.bib9）]。

除了这些传统技术，深度学习模型通过自动学习特征的分层表示，展现出强大性能，无需手动特征提取[3]（https://arxiv.org/html/2606.02597#bib.bib27），[4]（https://arxiv.org/html/2606.02597#bib.bib29）]。然而，尽管先前研究主要集中于提高分类精度，但基于EEG的BCI在安全性和弹性方面的关注相对较少。现有研究往往忽略对抗性扰动如何损害模型可靠性，这使得对抗弹性成为一个尚未充分探索但至关重要的研究领域。

## II 相关工作

### II-A 攻击方法

对抗性攻击根据攻击者对目标架构的了解程度进行分类，分为黑盒、灰盒和白盒三种类型。由于白盒攻击假设完全了解模型的结构和参数，因此被认为是最有效的。因此，在白盒设置下评估模型鲁棒性为最坏情况下的脆弱性提供了一个强有力的基准。在本研究中，我们重点研究两种流行的白盒攻击方法：FGSM和PGD。对抗样本是经过刻意扭曲的输入，旨在欺骗机器学习模型，同时保持与原始数据几乎无法区分。

#### II-A1 快速梯度符号方法（FGSM）

FGSM是一种利用梯度信息生成对抗样本的攻击方法[9]（https：//arxiv.org/html/2606.02597#bib.bib10）。它通过单步优化模型的损失函数来生成对抗样本。具体而言，在梯度方向上应用一个小的扰动ε，生成对抗样本如下：

x_adv = x + ε · sign(∇_x J(θ， x, y))， (1)
其中J(θ， x, y)是损失函数，x是初始输入，θ代表模型参数。sign(·)函数确保扰动遵循梯度方向。

对于基于EEG的BCI回归任务，Meng等人[18]（https：//arxiv.org/html/2606.02597#bib.bib17）提出了最早关于对抗攻击的研究之一，引入了白盒定向攻击策略，有效改变了回归输出。Zhang等人[28]（https：//arxiv.org/html/2606.02597#bib.bib11）提出了一种无监督变体，称为无监督FGSM（UFGSM），该变体用预测标签替换真实标签，用于基于EEG的BCI。他们的结果表明，此类攻击既有效又可在不同模型间传递，突显了关键的安全问题。

为了同时进行分类和对抗性判别，Aissa等人[1]（https：//arxiv.org/html/2606.02597#bib.bib18）建议使用对抗性训练来构建层次神经网络。该模型在BCI Competition IV-2a数据集上使用FGSM攻击进行评估，达到了99.92%的准确率和0.9985的Cohen’s Kappa分数，表现出强大的鲁棒性。

#### II-A2 投影梯度下降（PGD）

PGD是FGSM的迭代扩展[17]（https：//arxiv.org/html/2606.02597#bib.bib12），它执行多个小的更新步骤，同时将扰动限制在预定义的范围内。它从原始输入附近的随机初始化开始，然后迭代地优化对抗样本：

x_adv^0 = x + ξ， (2)
x_adv^i = Proj_{x，ε}(x_adv^{i-1} + α · sign(∇_{x_adv^{i-1}} J(θ， x_adv^{i-1}， y)))， (3)
其中ξ ∈ U(-ε， ε)表示随机噪声，α是步长，i = 1，2，...，n_iter，Proj_{x，ε}将对抗样本投影到原始输入在l_∞范数下的ε有界邻域内。

Feng等人[7]（https：//arxiv.org/html/2606.02597#bib.bib19）提出了SAGA，一个用于EEG分析的框架，该框架使用自适应掩码结合基于PGD的求解器，仅扰动少量通道和时间步。这也被称为稀疏对抗攻击。实验结果表明，SAGA仅通过修改5%的数据即可导致平均准确率下降77.02%，突显了基于EEG的BCI系统存在的显著脆弱性。

## III 方法

### III-A 基本思想

本研究的总体工作流程遵循一个结构化流程，包括数据预处理、按折训练模型、集成组合和鲁棒性评估。我们考虑白盒、非定向对抗攻击场景，其中攻击者可以完全访问模型参数，并且旨在在不指定目标类的情况下引发误分类。在此设置下，我们采用FGSM和PGD来评估最坏情况下的鲁棒性。图2（https：//arxiv.org/html/2606.02597#S3.F2）展示了所提出框架的高级示意图。

参见说明图2：预处理EEG信号并生成时频表示以开发所提出的轻量级CNN架构的过程。
每张EEG频谱图图像都被归一化到[0，1]范围，并缩放到固定的224×224像素分辨率。为了确保可靠的性能估计，我们使用分层K折交叉验证（K=10），其中数据集D被划分为K个互不重叠的子集{D_1， D_2， ...， D_K}。对于每一折k，模型f_k(·； θ_k)在D \ D_k上训练，并在D_k上进行评估。

训练过程优化分类交叉熵损失：

L = -1/N ∑_{i=1}^N ∑_{c=1}^C y_{i,c} log ŷ_{i,c}，(4) 其中ŷ_{i,c}是预测概率，y_{i,c}是类别c的真实标签，N是样本数量，C=4是类别数。使用Adam优化器进行优化，初始学习率为1×10^{-4}，并采用早停和学习率调度以避免过拟合。

完成按折训练后，K个模型被整合到一个集成框架中。设ŷ^{(k)}表示模型f_k的类别概率输出。通过平均融合得到最终的集成预测：

ŷ = 1/K ∑_{k=1}^K ŷ^{(k)}。 (5) 然后将集成为一个统一模型进行评估。

为了评估鲁棒性，在干净测试集和经过对抗扰动的测试集上分别评估单个模型和集成模型。使用准确率、精确率、召回率、F1分数、混淆矩阵和ROC-AUC来评估性能。结果按折报告，并在各折之间取平均值，同时包含标准偏差以量化稳定性。还分析训练历史（损失和准确率曲线）以确保所有折的一致性收敛。

### III-B 提出的CNN架构

在所有实验中，我们采用了一种轻量级卷积神经网络（CNN），旨在平衡分类性能和计算效率。该网络以大小为224×224×3的频谱图图像作为输入，并通过一系列卷积和池化操作进行处理。

前两个卷积块分别使用3×3滤波器，通道数为8和16，以改善特征提取并稳定训练，随后应用ReLU激活和批归一化。一个最大池化层降低了空间分辨率，使模型能够捕获更高层次的模式，同时控制参数增长。随后是一个32滤波器的卷积层，伴有批归一化，提取更具判别力的特征，之后通过平均池化进一步压缩学习到的表示。

为了减少过拟合，生成的特征图被展平为一维向量，并使用丢弃率为0.25的Dropout层进行正则化。在最后阶段，一个包含四个输出神经元的全连接层应用softmax激活函数生成类别概率。

我们提出的轻量级CNN由于具有简化的参数复杂性和受控的特征提取过程，非常适合对抗性环境，这有助于限制对高频或噪声状模式的过拟合，而这些模式通常被对抗性扰动利用。与DeepConvNet等更深层架构以及EEGNet和SleepEEGNet等专门模型相比，所提模型在泛化能力、计算效率和对抗条件下的鲁棒性之间提供了平衡的折衷。架构总结如图2所示（https：//arxiv.org/html/2606.02597#S3.F2）。

## IV 实验设置

### IV-A 数据集

本研究使用两个EEG数据集：一个私有数据集和一个可公开访问的基准数据集。这种组合使得我们能够在标准运动想象任务（MI4）和临床相关EEG信号（rTMS数据集）上进行评估。因此，所提出的方法在受控实验条件和真实医疗场景下均得到评估，增强了发现的实用相关性和泛化能力。下面介绍这些数据集及其准备方法。

#### IV-A1 四类运动想象数据集（MI4）

MI4数据集[25]（https：//arxiv.org/html/2606.02597#bib.bib13）也称为BCI Competition IV中的Dataset 2a，该数据来自九名参与者，在两天内分别进行了一组测试。其包含四个运动想象标签：左手、右手、脚和舌头。以250 Hz采样率捕获了22通道的EEG波形。为了分析，在每次想象触发后0至4秒的数据被移除，测试信号经过8至32 Hz带通滤波。每个参与者每节课提供了144个EEG时段。

#### IV-A2 rTMS治疗EEG数据集

rTMS数据集来自伊朗德黑兰Atieh医院的15名被诊断为抑郁症并正在接受临床专家处方的rTMS治疗的个体。治疗效果使用治疗前和治疗后四周测量的贝克抑郁量表（BDI）评分进行评估。如果患者的BDI评分下降至少50%，则被标记为应答者（R），否则标记为非应答者（NR），分类结果由临床医生验证。

EEG记录采用标准10-20电极系统，使用19个头皮通道，采样率为500 Hz。信号被分割为固定长度的窗口，每个窗口1024个样本（约2.05秒），以保证一致性。该数据集中排除了A1-A2参考通道对。尽管数据集规模相对有限，但为了提高结果的可靠性和稳定性，采用了分层交叉验证和重复实验。

### IV-B 用于EEG分类的CNN模型

除了我们提出的轻量级定制CNN外，本实验还使用了以下三种在EEG信号中常见的卷积神经网络模型：

#### IV-B1 EEGNet

EEGNet[16]（https：//arxiv.org/html/2606.02597#bib.bib14）是一个专门为基于EEG的脑机交互而设计的小型卷积神经网络。它能够从EEG信号中有效提取时间特征和空间特征，适用于有限数据集和实时应用。