文章总结 DUP-Net: Denoiser and Upsampler Network for 3D Adversarial Point Clouds Defense
<1> 贡献:
- 提出了两种新的防御模块来减轻对点云的对抗(攻击),与基准方法相比,它们具有更好的性能;
- 利用去噪层的不可微性,即统计离群点去除,来抵御白盒攻击;
- 上采样网络可以在一个小的数据集上进行训练,可以很好地抵御来自其他点云数据集的攻击。
<2> 相关内容
输入一些精心设计的样本时,深度学习表现出极大的脆弱性,这些精心设计的样本就是对抗样本。对抗样本(Adversarial Examples),就是向原始样本中添加一些人眼无法察觉的噪声,它们很容易欺骗深度神经网络,使其作出与正确结果完全不同的判定。深度学习广泛地被当作『黑箱技术』–它性能好,但是却不知道为什么性能好,具有不可解释性。通过研究对抗样本,有助于提高神经网络的鲁棒性和可解释性。
白盒攻击:假定攻击者可以完全访问他们正在攻击的神经网络模型的结构和参数,包括训练数据,模型结构,超参数情况,**函数,模型权重等。对抗样本还有一个重要性质,叫做Transferability,转移性。即在某个模型上找到一个对抗样本,放到别人的模型上,也有效。
<3> 文中方法
在正式的点云任务之前,通过两个模块:去噪模块和上采样模块。输入n*3的点云数据,经过去噪模块得到(n-r)3的数据,再将去噪后的数据经过PU-Net采样到mn3,然后才放入点云任务中。
去噪模块
对点云中的每个点求其k近邻,统计近邻其他点到这个点的距离的平均值,反映这个点和近邻之间的整体距离。统计这些平均值的均值和标准差,以此来判断哪些点是噪声:和近邻点太远的点可以理解为离群点,需要剔除。
上采样模块
采用PU-Net作为上采样工具。PU-Net分为四个部分:Patch Extraction, Point Feature Embedding, Feature Expansion, Coordinate reconstruction. 总体思路是提取点云坐标的多层深度特征,在深度特征空间上完成上采样,然后将上采样的特征还原到点云坐标形式。
输入的是一个整体的点云,Patch Extraction模块负责将其分割成若干个小的子集。随机采样若干点,再提取其邻域,得到若干子集。
对于采样得到的点云子集,Point Feature Embedding模块负责提取其不同层次的特征。后一层的特征都是对上一层的特征的二次采样,因此,维度是(N, 3), (N/2, C1), (N/4, C2),(N/2^L, CL), 然后经过插值统一维度,进行融合。
融合的特征包含了多层信息。通过两层一维卷积,得到需要的特征维度。
最后需要将扩展后的特征还原到坐标上去,loss函数有两个部分,第一部分控制重建的点云和原始点云的相似程度;第二个部分控制重建点云本身的分布均匀性。
<4> 实验结果
第一二张图针对的是shifting方式的对抗样本,二者对比说明sor更优;
第三张图针对的是dropping方式的对抗样本,说明四个问题:
1.上采样网络对dropping方式的对抗样本有效
2.sor和srs都会加重dropping的效应,表现很差
3.不同数据和loss的上采样网络效果差不多,证明贡献中的第三点
注:前两张图的dropping和后面图的dropping意义不一样,前者是去噪时候丢弃的点,处于防御过程中,后者是在制造对抗样本时候丢弃的点,处于攻击时候的准备。
第一行最后一列说明DUP在干净数据上的代价很小;
第234行针对shiftting类型的对抗数据,综合说明了两个模块都有作用;
最后几行说明针对dropping类型的对抗数据,加入去噪网络会变得较差,但依旧有提升;
变差的原因可能在于去噪的时候已经去掉了一些关键的骨架信息。
黑盒攻击的前3列的target说明此shifting方式的对抗样本迁移性不好,
后两列说明dropping方式的对抗样本呢迁移性尚可;
总体上,DUP网络会降低网络作用,说明不适合黑盒攻击,对应贡献中的第二点。