《Pattern Recognition》:Adversarial Contribution-based Perturbation for Transferable Attack on Point Cloud
编辑推荐:
对抗点云攻击中现有方法多针对白盒模型且存在扰动大、适用性差的问题,本文提出基于谱域对抗贡献的攻击方法ACA,通过评估点级扰动重要性并动态剔除低效扰动,结合拓扑结构更新策略,在模型Net40上平均提升17.90%的跨模型攻击成功率,且在严格扰动预算下仍保持鲁棒性。
魏书欣|黄立峰|高成英|刘宁
中山大学计算机科学与工程学院,中国广东省广州市510000
摘要
在物理场景中,对抗性点云构成了重大威胁。尽管现有研究主要集中在白盒攻击上,但它们在现实世界中的实际应用仍然有限。一些研究表明,在频谱域进行的攻击可以提高黑盒场景下的迁移能力。然而,当前的3D点云迁移攻击通常需要较大的扰动幅度,并且在限制扰动幅度的约束下可能效果不佳。为了生成扰动较小的可迁移对抗性点云,我们首先分析了添加到不同点的扰动对攻击的重要性是否相同。我们引入了基于点的对抗性贡献的概念,从频谱角度证明了其与对抗能力和迁移能力之间的正相关关系。基于上述观察,我们提出了一种新的基于对抗性贡献的攻击(ACA)方法,该方法包括由对抗性贡献引导的扰动丢弃和用于图构建的拓扑结构更新,以提高迁移能力并抑制无效扰动。大量实验表明,ACA显著优于现有的最先进(SOTA)方法,在ModelNet40上的迁移攻击成功率平均提高了17.90%;值得注意的是,这种优越的迁移能力在严格的预算限制下仍然保持,并且对常规模型和防御模型都具有鲁棒性。
引言
随着低成本3D传感器和深度摄像头的广泛应用,3D点云分析在自动驾驶和机器人感知领域引起了极大的兴趣[1]、[2]。尽管点云分析取得了显著进展[3],但这些模型在安全关键环境中的脆弱性不容忽视[4]、[5]。
现有的针对点云分类器的对抗性攻击主要针对白盒网络作为目标模型。3D-Adv[6]首次通过优化扰动或向良性样本添加额外点来构建3D点云对抗性攻击。其他一些研究提出使用基于模型梯度的显著性图或敏感性图来移除或修改关键点[7]、[8]。通常,通过上述基于优化或梯度的方法生成的对抗性点云是特定于模型的,且往往过度适应白盒模型,因此很难转移到未见过的模型上,这限制了它们在黑盒场景中的实用性。
一些研究旨在通过提高对抗性点云的迁移能力来突破黑盒模型的限制。AdvPC[9]通过自编码器增强迁移能力并重构对抗性示例,更加关注数据而非目标模型。SS[10]通过缩放和剪切增强点云数据,减轻了对白盒模型的过拟合。最近,研究人员为点云构建了图,并通过对图进行傅里叶变换(GFT)在频谱域进行攻击,实现了相对较高的迁移能力[11]、[12]。同时,基于频率的防御方法如LPF-Defense[13]也出现了,这些方法利用球谐函数(SH)过滤掉高频对抗性扰动。然而,这些方法仅在频谱域进行优化,而在单一频率添加的扰动可能会改变点云中所有点的位置。这不仅导致扰动更加嘈杂和容易被察觉——使它们容易受到此类低通滤波防御的攻击——而且未能在对抗性迁移能力上实现令人满意的提升。
受到上述分析的启发,我们通过实验发现,添加到不同点的扰动对对抗性迁移能力的影响存在很大的差异。特别是,添加到某些点的扰动在实现高迁移能力方面比其他点具有更大的重要性。因此,我们提出评估频谱域中对抗性攻击的逐点重要性,我们将其称为“对抗性贡献”。通常,具有较高对抗性贡献的点与对抗性迁移能力有更强的相关性,从而有助于生成更具迁移能力的对抗性点云,同时最小化扰动幅度。这也解释了为什么现有研究产生的扰动虽然噪声水平较高,但对对抗性迁移能力的贡献却很小。
基于这一观察,我们提出了一种基于逐点对抗性贡献的3D点云分类器攻击方法,该方法包括两个核心策略。首先,我们设计了一种类似丢弃的策略:对于对抗性贡献较小的扰动,我们以更高的概率将相应点恢复到良性位置。需要注意的是,与现有的点丢弃方法(如PointCloud Saliency Map[7])不同,后者评估良性点的重要性并删除重要性较高的点,我们的丢弃方法评估对抗性点的重要性,并仅移除扰动,而不涉及删除或丢弃任何点。通过移除无效扰动,所提出的方法更倾向于重要的扰动,并在较小的扰动幅度下提高迁移能力。此外,我们还提出了一种直观的拓扑更新策略,以处理针对基于点的目标模型的攻击中的图结构变化,并生成更具迁移能力的对抗性示例,以欺骗未见过的黑盒模型。
总结来说,我们的贡献有三方面:
- •
我们提出了一种新的方法,从图谱角度评估空间逐点扰动的重要性,即对抗性贡献。实验结果表明,基于点的对抗性贡献与迁移能力呈正相关,因此在攻击中起着重要作用。
- •
在对抗性贡献的指导下,我们提出了基于对抗性贡献的攻击(ACA)。它主要包括两种新策略:基于对抗性贡献的扰动丢弃和拓扑结构更新,这些策略有助于提高迁移能力并抑制无效扰动。
- •
在多种模型和数据集上进行的全面实验验证了ACA对未受保护和受保护模型的高迁移能力和较小的扰动幅度。
章节片段
对抗性点云
现有的点云攻击大致可以分为三类,即基于优化的方法、基于梯度的方法和基于生成的方法。继2D图像领域的先前研究[14]、[15]之后,3D-Adv[6]在3D点云领域进行了开创性工作,包括特定的点移位和点添加。GeoA3[16]和MeshAttack[17]使用网格重建来减轻对抗性点云中的异常值。除了上述对网格的攻击外,图谱域也被
方法论
在本节中,我们首先回顾图信号处理,并描述基本的基于频谱的攻击,然后详细阐述我们的基于对抗性贡献的丢弃和拓扑结构更新策略。
实验
在本节中,我们首先在第4.1节中指定实验设置。然后,我们通过评估与现有最先进(SOTA)攻击在普通目标模型(第4.2节)和防御模型(第4.3节)上的迁移能力表现来展示我们基于对抗性贡献的攻击的优越性。为了进一步验证我们方法与现有方法的差异和更高的迁移能力,我们在第4.4节提供了与基于频率的方法的比较。我们还进行了消融实验
结论
在本文中,我们提出了一种从频谱角度出发的新型点云攻击方法,称为基于对抗性贡献的攻击(ACA)。ACA在优化过程中评估各个点的对抗性贡献,并策略性地消除效果较差的扰动。大量实验表明,我们方法生成的对抗性点云具有最高的迁移能力,这得益于我们的扰动丢弃策略。观察到的
CRediT作者贡献声明
魏书欣:撰写 – 审稿与编辑,撰写 – 原稿,可视化,验证,项目管理,方法论,调查,形式分析,数据整理,概念化。黄立峰:撰写 – 审稿与编辑,项目管理,方法论。高成英:撰写 – 审稿与编辑,监督,项目管理。刘宁:撰写 – 审稿与编辑,项目管理,资金获取,概念化。
利益冲突声明
作者声明他们没有已知的财务利益或个人关系可能影响本文报告的工作。
魏书欣是中山大学计算机科学与工程学院的博士生。她的研究兴趣包括对抗性学习、计算机图形学及其应用。
