63、反对抗一致性正则化：用于语义分割的新型数据增强方法

反对抗一致性正则化：用于语义分割的新型数据增强方法

1. 引言

在深度学习领域，对抗攻击和反对抗方法是研究的热点。对抗攻击通过向图像中添加难以察觉的噪声来欺骗深度神经网络（DNN），而反对抗方法则旨在防御此类攻击。本文将介绍一种基于反对抗一致性正则化（AAC）的数据增强方法，用于医学图像的语义分割。

2. 预备知识

2.1 对抗攻击

对抗攻击是一种输入扰动方法，通过向图像中添加准不可察觉的噪声来欺骗 DNN。给定图像 $x$，噪声 $\mu$ 受 $l_{\infty}$ - 范数约束，使得扰动后的样本 $x’ = x + \mu$ 与原始图像在人类感知上几乎无差异，但网络 $f_{\theta}(\cdot)$ 容易被误导（即 $f_{\theta}(x) \neq f_{\theta}(x + \mu)$）。

常见的对抗攻击方法包括：
- 快速梯度符号法（FGSM） ：通过定义噪声 $\mu$ 为损失函数 $L$ 关于 $x$ 的导数的符号，将 $x$ 向最大化损失函数的方向扰动，即 $x’ = x + \epsilon \text{sign}(\nabla_x L)$，其中 $\epsilon$ 控制扰动的幅度。
- 投影梯度下降法（PGD） ：是 FGSM 的扩展，通过迭代的方式找到具有更高损失的 $x’$。给定第 $t$ 次迭代的扰动样本 $x’ t$（初始 $x’_0 = x$），PGD 的更新公式为 $x’_t = \Pi(x’ {t - 1} + \epsilon \text{sign}(\nabla