2023年6月,在计算机视觉顶会IEEE / CVF Computer Vision and Pattern Recognition Conference(CVPR)上,我实验室丁岱宗博士和张谧教授等人率先提出一种基于注意力机制和动态对比学习策略的深度学习点云分类模型对抗鲁棒性提升方法,和一种基于极值理论的模型对抗鲁棒性验证机制,能够有效提升和评估现有模型在潜在对抗攻击下的安全性。
近年来,随着在自动驾驶场景中3D传感器的广泛应用与快速发展,点云数据开始被越来越多地应用于多种3D视觉应用。点云通过一组包含3D坐标的点表示一个物体,而深度神经网络在识别和分类这类数据上表现出了优异的性能。然而,神经网络的深度和非线性结构也带来了对抗样本的威胁,即通过在待分类点云上添加微小的扰动,就可使模型分类错误。
由于点云数据的特殊性,针对点云的对抗攻击手段多样繁杂,例如可以包括添加点、删除点、扰动点、整体变换等(如Fig. 1所示)。层出不穷的攻击方式使得现有防御方法难以具有全面有效的防御效果:基于对抗训练的方法通过将正确标记的对抗样本加入模型训练过程实现防御,但往往只能应对在模型训练时学习过的对抗样本,无法应对更新的攻击;而基于点云形状恢复的方法通过将因扰动变形的点云恢复正常形状实现防御,但通常无法应对具有形状不变性特征的新型攻击。
基于生成的对抗样本点云仍旧在视觉上保留原始正常点云的结构语义信息这一观察,该工作首先指出现有点云分类模型通常会过度关注点云的有限局部特征,导致对点云整体特征的建模与分类失准。因此,项目组设计了基于注意力机制的特征池化模块和基于动态对比学习的训练策略,以针对性地强化点云分类模型提取待分类点云语义和结构信息的能力。整体流程如论文中Fig. 2所示。
在3种主流点云分类模型上的实验表明,项目组提出的基于注意力机制的特征池化模块能够根据不同分类类别,自动动态关注样本不同部分的点特征,提取自适应的点云结构信息(Fig. 4)。Fig. 5则展示了通过动态对比学习策略训练的点云分类模型,能够有效拉开不同类别点云特征间的距离,提取具有语义的点云特征。
为验证项目组提出的鲁棒性验证机制的有效性,项目组在数据集中挑选了4类样本,评估了普通模型和项目组提出方法训练的模型在两两类别之间的可验证鲁棒性,并与经验对抗攻击成功率进行比较,结果如Fig. 6所示。图中热力图深色区域表示可验证威胁大/对抗攻击成功率高,不难发现左侧可验证鲁棒性取值与右侧攻击成功率存在对应关系,并且项目组方法能够有效提升模型鲁棒性。
作者简介
丁岱宗,复旦大学计算机科学技术学院博士毕业生,导师为杨珉教授与张谧教授,来自复旦大学系统软件与安全实验室。他的主要研究方向是人工智能系统安全,已在多个顶级会议和期刊上如TKDE、TPAMI、WWW、KDD、AAAI、ICML、CCS、ICDM、ICDE、CIKM、CVPR上发表16篇文章(一作10篇),多次担任AAAI、IJCAI、KDD、WSDM、ECML等顶会和期刊的审稿人。
供稿:黄元敏
审核:潘旭东、洪赓
排版:边顾
戳“阅读原文”即可查看论文原文哦~
复旦白泽战队
一个有情怀的安全团队
还没有关注复旦白泽战队?
公众号、知乎、微博搜索:复旦白泽战队也能找到我们哦~
原文始发于微信公众号(复旦白泽战队):成果分享|基于结构语义建模的点云分类模型对抗鲁棒性提升与验证方法