Diffusion-Based Feature Denoising and Using NNMF for Robust Brain Tumor Classification¶

会议: CVPR 2026
arXiv: 2603.13182
代码: 无
领域: 医学图像分类 / 对抗鲁棒性
关键词: 脑肿瘤分类, NNMF, 扩散防御, AutoAttack, 特征空间去噪

一句话总结¶

提出 NNMF 特征提取→统计特征筛选→轻量 CNN 分类→特征空间扩散净化的四阶段流水线，在干净数据上保持 85.1% 分类精度的同时，将 AutoAttack (\(L_\infty\), \(\epsilon=0.10\)) 下的鲁棒精度从基线 0.47% 大幅提升至 59.5%。

研究背景与动机¶

领域现状：深度学习在脑肿瘤 MRI 分类中已达到很高精度（CNN 方法可达 97%+），但模型对对抗性扰动极为脆弱——微小的、人眼不可见的输入修改即可彻底摧毁分类能力。AutoAttack 作为统一攻击基准已成为评估鲁棒性的标准工具。

现有痛点：大多数对抗防御研究集中在图像空间（像素级去噪或对抗训练），计算开销大且可能损害干净精度。NNMF 可提供可解释的 parts-based 非负表示，天然适合 MRI 等非负数据，但其与扩散防御结合的潜力未被挖掘。

核心矛盾：临床 AI 需要同时满足高精度和高鲁棒性，但两者通常存在权衡。现有端到端 CNN 在 AutoAttack 下几乎完全崩溃（精度降至接近 0%），急需新的防御范式。

本文目标 在不大幅牺牲干净精度的前提下，为脑肿瘤 MRI 分类提供对 AutoAttack 等强攻击的实质性鲁棒防御。

切入角度：将防御从像素空间转移到特征空间——先用 NNMF 提取紧凑可解释特征，再在该特征空间执行扩散前向加噪+学习去噪的净化过程，利用维度压缩和扩散净化双重机制消除对抗扰动。

核心 idea：NNMF 降维到可解释低秩特征空间后，在该空间执行扩散净化来消除对抗扰动的效果。

方法详解¶

整体框架¶

四阶段流水线：(1) MRI 预处理→NNMF 分解提取基分量(rank=15)；(2) AUC/Cohen's d/p-value 多标准统计筛选 Top-M 特征；(3) 在筛选后特征上训练轻量 CNN 分类器；(4) 推理时对特征执行前向扩散加噪→学习去噪器还原→净化特征送入分类器。

关键设计¶

NNMF 特征提取与统计筛选:
- 功能：将 MRI 图像转灰度、resize 到 128×128、归一化后向量化构成非负矩阵 \(V \in \mathbb{R}^{K \times N}_+\)，分解为 \(V \approx WH\)（rank=15）
- 核心思路：使用 KL 散度目标函数配合乘法更新规则优化分解。基矩阵 \(W\) 在训练集上学习，验证/测试集通过非负最小二乘投影到固定 \(W\) 上获取特征向量，最终进行 L2 归一化确保特征尺度一致。随后对 15 个分量逐一评估三个互补统计指标：AUC（区分能力）、Cohen's d（效应量大小）、Welch's t-test p 值（统计显著性），选取综合排名靠前的 Top-M 特征子集
- 设计动机：NNMF 的非负约束产生 parts-based 可解释表示——每个基分量对应可识别的解剖模式（如颅骨边界、组织分布等）；多标准统计筛选兼顾判别力、效应大小和统计可靠性
特征空间扩散净化:
- 功能：在 NNMF 特征空间（而非像素空间）执行前向扩散加噪 + 学习去噪器还原的防御流程
- 核心思路：定义线性噪声时间表，对干净特征 \(x_0\) 逐步添加高斯噪声生成 \(x_t\)。训练回归去噪网络，输入为噪声特征 \(x_t\) 拼接正弦位置编码的 timestep \(t\)，输出去噪后的 \(\hat{x}_0\)，使用 MSE 损失监督。推理时选定 timestep（如 \(t=41\)）加噪后通过去噪器还原。由于加噪过程的随机性，采用 Expectation over Transformation（EOT, K=8 次采样取均值）来稳定防御效果
- 设计动机：对抗扰动主要作用于像素空间，经 NNMF 降维后扰动被压缩到低秩空间；在此空间再执行扩散净化可进一步消除残余扰动效果，而且计算开销远低于像素空间去噪

损失函数 / 训练策略¶

NNMF 优化：KL 散度 \(C(V|WH)\) + 乘法更新规则迭代优化 \(W\) 和 \(H\)
CNN 分类器训练：标准交叉熵损失，在 L2 归一化后的 NNMF 特征上训练
去噪器训练：MSE 损失 \(\|\hat{x}_0 - x_0\|^2\)，训练数据为(噪声特征, 干净特征)配对
鲁棒性评估：AutoAttack (\(L_\infty\), \(\epsilon=0.10\))，包含 APGD-CE 和 Square Attack 两个攻击组件
实现环境：MATLAB（NNMF/CNN/扩散）+ Python（PyTorch/AutoAttack），通过 ONNX 格式桥接模型

实验关键数据¶

主实验¶

数据集：Kaggle 脑肿瘤 MRI，约 2200 张图像，二分类（正常 vs 肿瘤），70/20/10 split。

模型配置	Accuracy	ROC-AUC	MCC	Brier Score↓	Log-Loss↓
Clean Baseline	86.05%	0.9105	0.7178	0.1461	0.4751
Clean Defended	85.12%	0.8967	0.6988	0.1555	0.4963
Robust Baseline (AA)	0.47%	0.0075	-0.9906	0.4702	1.1629
Robust Defended (AA)	59.53%	0.7485	0.1703	0.2150	0.6182

消融实验¶

分析维度	关键指标	说明
NNMF 基分量可视化	rank=15 的 15 个基图像	各分量捕获颅骨边界、组织分布、局部密度等互补解剖模式
类别均值热力图	肿瘤类在特定分量上系统性高激活	证实 NNMF 特征具有类别判别性
去噪重建效果	\(\\|\hat{x}_0-x_0\\| < \\|x_t-x_0\\|\)	去噪器有效降低重建误差，点均落在恒等线以下
干净精度损失	86.05%→85.12% (-0.93pp)	扩散净化对干净数据的精度影响极小
概率校准改善	Brier 0.4702→0.2150	防御在对抗条件下显著改善了概率校准质量
计算效率	GPU 116.6s vs CPU 201.5s	加速 1.73×，总体开销可接受

关键发现¶

无防御的 baseline 在 AutoAttack 下精度从 86.05%→0.47%，MCC 降至 -0.99（完全反转预测），证实对抗脆弱性的严重程度
扩散防御将鲁棒精度恢复至 59.53%，同时干净精度仅下降 0.93 个百分点——精度-鲁棒性权衡极为有利
Brier Score 从 0.4702 降至 0.2150，说明防御不仅恢复了分类能力，还显著改善了概率校准
NNMF 的 parts-based 表示提供了像素级方法无法获得的可解释性——可直观看到每个分量对应的解剖结构

亮点与洞察¶

在特征空间而非像素空间执行扩散防御是新颖视角——计算成本低、与下游分类器解耦
NNMF 的 parts-based 表示天然提供可解释性，每个分量可视化后对应具体解剖结构
精度-鲁棒性权衡极优：干净精度仅损失 <1% 换取鲁棒精度从 0.5%→59.5% 的巨大提升
多维度评估(Accuracy/AUC/MCC/Brier/LogLoss)比仅报告准确率更全面可靠

局限与展望¶

数据集仅约 2200 张图像且为简单二分类，规模过小；未确认 patient-wise split，存在切片级数据泄漏风险
NNMF rank=15 的选择缺乏系统消融，不确定是否最优
仅在单一攻击强度 \(\epsilon=0.10\) 下评估，未探索不同 \(\epsilon\) 的鲁棒性曲线
扩散 timestep \(t=41\) 的选择看似 ad-hoc，缺乏 timestep 与鲁棒性/精度权衡的系统分析
MATLAB+Python 混合管线影响实用性和复现性，端到端 PyTorch 实现更可取
论文写作质量一般，存在较多语法和表达问题（疑似非英语母语）

评分¶

新颖性: ⭐⭐⭐ NNMF + 扩散防御在特征空间的组合有新意，但各组件均非原创
实验充分度: ⭐⭐⭐ 评估指标丰富(6 种指标)但数据集太小、缺乏系统消融和多攻击强度场景
写作质量: ⭐⭐ 语法和表达有较多问题，部分段落可读性差，影响了论文的严肃性
价值: ⭐⭐⭐ 特征空间防御思路有参考价值，但实验规模和严谨性限制了结论的可信度