文章摘要:深度神经网络在点云分类中表现出了显著的性能。然而,以前的工作表明它们容易受到对抗性扰动的影响,这些扰动可以操纵它们的预测。鉴于点云的独特模态,出现了各种攻击策略,这对现有的防御提出了挑战,以实现有效的泛化。在这项研究中,我们首次引入了因果建模来增强点云分类模型的鲁棒性。我们的见解是从观察来看,对抗性示例与人类视角非常相似良性点云。在我们的因果建模中,我们结合了两个关键变量,结构信息(适用于导致分类的关键特征)和隐藏的混杂因素(适用于干扰分类的噪声)。由此产生的整体框架因果pc由三个子模块组成,用于识别鲁棒分类的因果影响。该框架与模型无关,适用于与各种点云分类器的集成。我们的方法显着提高了三个主流点云分类模型在两个基准数据集上的对抗鲁棒性。例如,modelnet40 上 dgcnn 的分类准确率在因果 pc 时从 29.2% 增加到 72.0%,而性能最佳的基线仅达到 42.4%。
结论:在这项研究中,受对抗性点云与人眼良性点云非常相似的关键观察的启发,我们引入了一个因果框架来增强点云分类的鲁棒性。具体来说,我们制定了两个关键因果变量的建模,结构信息 z 和隐藏混杂因素 u。该分析表明,不完全建模 u 构成了现有防御策略的限制。在提出的因果建模的指导下,我们设计了三个有效的子模块来识别鲁棒分类的因果影响,比现有的基线产生了显著的性能改进。然而,尽管因果分析的指导下,实际实现中的子模块不可避免地会导致不准确。这样的缺陷引入了因果框架和算法设计之间的差距。在我们的工作中,我们尽最大努力利用合适的模块进行点云数据,并在有效性和效率之间取得平衡。未来的工作应该考虑更高级的实现,并为鲁棒性提供分析下限。对于其他未来的研究,我们的目标是:(1)通过关注现实世界的对象来加深我们对因果关系的见解; (2) 将因果推理应用于其他与点云相关的任务,例如 3d 对象检测。
目前存在的问题:
文章主要研究内容:
之前的研究:
下
论文方法
论文翻译:
1、
近年来,自动驾驶取得了巨大的发展,理解三维点云发挥着不可或缺的作用。尽管深度神经网络 (dn) 在点云分类 [32, 33, 45] 中取得了非凡的性能,但深度和非线性结构也引起了对抗性攻击的关注。例如,攻击者可以通过人为不可注意的扰动稍微修改点云,以误导预测一个 dn。由于这种错误预测会导致现实场景的严重后果,因此点云分类中对抗性示例的研究已成为 3d 视觉中的一个热门话题。现有的点云数据对抗性攻击如图1所示。每次攻击都持有不同的几何模式。例如,除了传统的移位点攻击[15,51](即对现有点位置的轻微扰动)之外,以前的工作还提出了添加[51]或删除[62]点作为其攻击策略。最近移动点攻击的变体使用像 gans 和自动编码器这样的生成模型来产生扰动点云 [11, 64]。根据对抗性例子的定义,这些攻击对人眼无法察觉的点云产生如此轻微的扰动,但这成为我们设计有效防御的关键。现有的针对点云数据对抗性例子的防御大致分为对抗性训练和面向输入的防御。前者将生成的对抗性示例合并到训练集中,帮助分类器正确识别扰动点云[20,21]。相比之下,后者明确识别特定的模式,例如对抗性点云内的异常值,并减轻这些已识别的模式 [7, 63]。然而,上述两种方法都有共同的局限性:它们无法在防御更复杂的方面进行泛化认证攻击。例如,最近的研究发现[12]表明,使用pgd对抗训练训练的模型可以被geoa3[46]成功攻击,这是一个精心设计的攻击。此外,新提出的形状不变攻击[12,46]可以规避面向输入的防御,因为它们在攻击过程中引入了明显更少的异常值偏差。当面对新兴的攻击策略时,开发一个可以有效缓解不同对抗性例子的防御框架成为一个主要挑战。为了解决这个问题,我们将注意力引导到以下观察结果:无论生成扰动的攻击策略如何,生成的对抗样本仍然与人眼的良性示例具有很强的相似性。这可以在图1中观察到,其中扰动的点云仍然可识别为表。受这一发现的启发,我们建议将因果语言 [8, 29] 纳入点云分类的制定中。这有助于研究与人类对自然世界的推理一致的变量之间的因果关系。从技术上讲,在点云应用中结合因果语言具有挑战性:点云数据的独特模态使得应用现有的因果建模和效果识别技术是不切实际的。在第 3 节中,我们首先总结了影响点云分类的两个因果变量,即人类通常提取的结构信息来识别点云和可能影响点云和预测的隐藏混杂因素,例如潜在的对抗性扰动和激光雷达传感器引起的噪声。基于上述变量,我们构建了一个因果图来识别从点云数据到标签的因果影响。我们注意到人类可以自然地正确识别因果效应,即忽略隐藏混杂因素的影响,并关注给定点云数据的结构信息。因此,在大多数情况下,人类对噪声或对抗性扰动不敏感。相比之下,现有的分类器旨在表征统计相关性,而不是输入和标签之间的因果效应。因此,现有的分类器对噪声和对抗性扰动很敏感,尽管它们在某些情况下似乎可以jects 并提出了一个有效的模块来表征结构信息。最后,我们开发了一种新的注意力模块,将结构信息纳入预测中。总之,我们主要做出以下贡献: • 我们提出了因果 pc,这是第一个通过因果透镜缓解点云分类中对抗性示例的解决方案。我们不是专注于某些类型的攻击技术或输入模式,而是从人类识别系统中获得灵感,并提出识别因果效应,以便在各种对抗性扰动下做出正确的分类。• 因果pc 是一个与模型无关的防御框架,可以与不同的点云分类器相结合。在提出的因果推理算法的帮助下,我们可以通过对现有分类模型进行轻微的结构修改和部分微调来正确识别因果效应。• 因果pc 显着提高了三个主流 pc 分类模型在两个基准数据集上的对抗鲁棒性(第 5 节)。例如,modelnet40 上 dgcnn 的分类准确度从 29.2% 增加到 72.0%,而最佳基线仅达到 42.4%。有效地对结构信息进行建模[22,51]。在上述分析之后,我们的防御忽略了隐藏混杂因素造成的影响,并确定了从点云数据到标签的正确因果效应。在第 4 节中,我们提出了一种新的防御框架,称为因果 pc 来实现这一目标。面对隐藏混杂因素难以衡量甚至在此问题中观察的挑战,我们开发了一种基于前门调整的因果推理算法,该算法可以有效地近似对所有潜在隐藏混杂因素的预测期望。此外,我们从真实世界对象的网格表示中获得灵感
