Skip to main content
Nubint
QUICK REVIEW

[论文解读] Adversarial Attack and Defense on Point Sets

Jiancheng Yang, Qiang Zhang|arXiv (Cornell University)|Feb 28, 2019
Adversarial Robustness in Machine Learning参考文献 54被引用 71
一句话总结

这篇论文研究对3D点云的对抗性攻击,提出三种攻击方法(pointwise gradient,point-detach,point-attach),引入扰动度量防御框架,并分析点云网络与网格CNN之间的可转移性。

ABSTRACT

Emergence of the utility of 3D point cloud data in safety-critical vision tasks (e.g., ADAS) urges researchers to pay more attention to the robustness of 3D representations and deep networks. To this end, we develop an attack and defense scheme, dedicated to 3D point cloud data, for preventing 3D point clouds from manipulated as well as pursuing noise-tolerable 3D representation. A set of novel 3D point cloud attack operations are proposed via pointwise gradient perturbation and adversarial point attachment / detachment. We then develop a flexible perturbation-measurement scheme for 3D point cloud data to detect potential attack data or noisy sensing data. Notably, the proposed defense methods are even effective to detect the adversarial point clouds generated by a proof-of-concept attack directly targeting the defense. Transferability of adversarial attacks between several point cloud networks is addressed, and we propose an momentum-enhanced pointwise gradient to improve the attack transferability. We further analyze the transferability from adversarial point clouds to grid CNNs and the inverse. Extensive experimental results on common point cloud benchmarks demonstrate the validity of the proposed 3D attack and defense framework.

研究动机与目标

  • 评估 Point Cloud Networks (PC-Nets) 在安全关键任务中对对抗性点云的鲁棒性。
  • 开发三种新颖的攻击方法,在保持可在3D空间中实现的前提下对点集进行扰动。
  • 提出一个灵活的防御框架,通过扰动和统计测量来检测对抗性点云。
  • 分析对抗性点云在 PC-Nets 以及点云与网格 CNN 之间的可转移性。
  • 在 ModelNet40 上进行经验验证,展示攻击效果和防御性能。

提出的方法

  • Pointwise Gradient (PG) attack: 迭代式、梯度引导的扰动,在 Chamfer 距离下;使用 l2-归一化梯度以提高稳定性。
  • Momentum-Enhanced Pointwise Gradient (MPG) attack: 使用动量累积梯度以提升转移性。
  • Point-Detach attack: 通过泰勒展开预池化特征识别的关键点进行移除;采用贪心、逐次重新评估的策略。
  • Point-Attach attack: 使用梯度基目标并附带一个小的拉格朗日乘子来约束在表面的移动,添加新点直到预算 Nd 用尽为止。
  • Defense via perturbation-measurement: 对 X 应用多次扰动 P(X)(高斯噪声、量化、随机采样),产生 X′m,然后对输出 f(X′i) 进行统计测量。
  • Metrics: AUROC and Defense Detection Rate (DDR) 来评估检测;测量集合包括 Set-Indiv Variance (SIV)、Confi-dence Averages (CoA)、和 Confi-dence Variance (CoV)。
  • Attack over defenses: EoTPG (Expectation-over-Transformation Pointwise Gradient) attack 以针对防御策略并测试鲁棒性。

实验结果

研究问题

  • RQ1点云网络对通过梯度引导扰动以及点.attach/detach 生成的对抗性点云有多脆弱?
  • RQ2扰动-测量防御能否在不同攻击形式下可靠检测对抗性点云?
  • RQ3对抗性点云在不同 PC-Nets(如 PointNet、PointNet++、DGCNN)以及点云与网格 CNN 之间的可转移性有多高?
  • RQ4面对防御感知(EoTPG)攻击时,检测性能和防御鲁棒性有何影响?

主要发现

  • Pointwise Gradient 攻击可大幅降低 ModelNet40 上的 PointNet 准确率(如在某些预算下降至 0%)。
  • Point-Detach 和 Point-Attach 攻击在物理上更可行,仍可显著降低准确率,尽管通常低于 PG。
  • Momentum-enhanced 梯度(MPG)提升对不同 PC-Nets 的攻击转移性。
  • 提议的扰动-测量防御能检测大多数对抗样例,DDR 值通常取决于设置和损坏,超过 60–90% 。
  • 针对 vanilla PG 和 EoTPG 的防御 AUROC 对几个扰动-测量配置仍保持强鲁棒性,显示对防御目标攻击的鲁棒性。
  • 对抗性示例在 PC-Nets 之间显示出明显的转移性,并且分析了点云与网格 CNN 之间的转移性。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。