Isometric 3D Adversarial Examples in the Physical World

要約

3D ディープ ラーニング モデルは、2D モデルと同様に敵対的な例に対して脆弱であることが示されています。
ただし、既存の攻撃方法は依然としてステルスとは言えず、物理的な世界で深刻なパフォーマンスの低下に悩まされています。
3D データは高度に構造化されていますが、摂動をユークリッド空間の単純なメトリックで制限することは困難です。
この論文では、3Dオブジェクトの幾何学的特性と物理的変換に対する不変性を考慮することにより、物理世界で自然で堅牢な3D敵対的な例を生成するための新しい$\epsilon$-isometric（$\epsilon$-ISO）攻撃を提案します。
自然さのために、理論的分析によって保証された代理メトリックとしてガウス曲率を採用することにより、敵対的な例を元の例と $\epsilon$ アイソメトリックになるように制約します。
物理的な変換に対する不変性のために、ランダムな変換ではなく最も有害な変換を積極的に検索して、生成された敵対的な例を物理的な世界でより堅牢にする最大変換 (MaxOT) メソッドを提案します。
典型的な点群認識モデルの実験は、私たちのアプローチが最先端の攻撃方法よりも攻撃の成功率と生成された 3D の敵対的な例の自然さを大幅に改善できることを検証しています。

要約(オリジナル)

3D deep learning models are shown to be as vulnerable to adversarial examples as 2D models. However, existing attack methods are still far from stealthy and suffer from severe performance degradation in the physical world. Although 3D data is highly structured, it is difficult to bound the perturbations with simple metrics in the Euclidean space. In this paper, we propose a novel $\epsilon$-isometric ($\epsilon$-ISO) attack to generate natural and robust 3D adversarial examples in the physical world by considering the geometric properties of 3D objects and the invariance to physical transformations. For naturalness, we constrain the adversarial example to be $\epsilon$-isometric to the original one by adopting the Gaussian curvature as a surrogate metric guaranteed by a theoretical analysis. For invariance to physical transformations, we propose a maxima over transformation (MaxOT) method that actively searches for the most harmful transformations rather than random ones to make the generated adversarial example more robust in the physical world. Experiments on typical point cloud recognition models validate that our approach can significantly improve the attack success rate and naturalness of the generated 3D adversarial examples than the state-of-the-art attack methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google