LPF-Defense: 3D Adversarial Defense based on Frequency Analysis

要約

3D 点群分類は最近、さまざまなアプリケーション シナリオで広く展開されていますが、依然として敵対的攻撃に対して非常に脆弱です。
これにより、敵対的な攻撃に直面した場合の 3D モデルの堅牢なトレーニングの重要性が高まります。
既存の敵対的攻撃のパフォーマンスに関する分析に基づいて、より多くの敵対的摂動が入力データの中および高周波数成分に見られます。
したがって、トレーニング段階で高周波コンテンツを抑制することにより、敵対的な例に対するモデルのロバスト性が向上します。
実験では、提案された防御方法により、PointNet、PointNet++、および DGCNN モデルに対する 6 回の攻撃の成功率が低下することが示されました。
特に、最先端の方法と比較して、drop100 攻撃で 3.8%、drop200 攻撃で 4.26% の分類精度の平均増加で改善が達成されます。
この方法は、他の利用可能な方法と比較して、元のデータセットでのモデルの精度も向上させます。

要約(オリジナル)

Although 3D point cloud classification has recently been widely deployed in different application scenarios, it is still very vulnerable to adversarial attacks. This increases the importance of robust training of 3D models in the face of adversarial attacks. Based on our analysis on the performance of existing adversarial attacks, more adversarial perturbations are found in the mid and high-frequency components of input data. Therefore, by suppressing the high-frequency content in the training phase, the models robustness against adversarial examples is improved. Experiments showed that the proposed defense method decreases the success rate of six attacks on PointNet, PointNet++ ,, and DGCNN models. In particular, improvements are achieved with an average increase of classification accuracy by 3.8 % on drop100 attack and 4.26 % on drop200 attack compared to the state-of-the-art methods. The method also improves models accuracy on the original dataset compared to other available methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google