Ada3Diff: Defending against 3D Adversarial Point Clouds via Adaptive Diffusion

要約

ディープ 3D 点群モデルは敵対的攻撃に敏感であり、自動運転などの安全性が重要なアプリケーションに脅威をもたらします。
堅牢なトレーニングとノイズ除去による防御は、それぞれ敵対的トレーニングと統計的フィルタリングを含む、敵対的摂動を防御するための典型的な戦略です。
ただし、それらは大量の計算オーバーヘッドを誘発するか、指定された事前ノイズに大きく依存するため、あらゆる種類の攻撃に対する一般化された堅牢性が制限されます。
この論文では、調整された強度推定器を使用してさまざまなノイズを適応的に除去できる、ノイズ除去拡散モデルに基づく新しい防御メカニズムを紹介します。
具体的には、最初に、ポイントとその近傍の最適な平面までの距離を計算することにより、敵対的歪みを推定します。
歪みの程度に応じて、入力点群の特定の拡散時間ステップを選択し、前方拡散を実行して潜在的な敵対的シフトを妨害します。
次に、逆のノイズ除去プロセスを実行して、中断された点群をクリーンな分布に戻します。
このアプローチにより、ノイズ バジェットが変化する適応攻撃に対する効果的な防御が可能になり、既存の 3D ディープ認識モデルの堅牢性が強化されます。

要約(オリジナル)

Deep 3D point cloud models are sensitive to adversarial attacks, which poses threats to safety-critical applications such as autonomous driving. Robust training and defend-by-denoise are typical strategies for defending adversarial perturbations, including adversarial training and statistical filtering, respectively. However, they either induce massive computational overhead or rely heavily upon specified noise priors, limiting generalized robustness against attacks of all kinds. This paper introduces a new defense mechanism based on denoising diffusion models that can adaptively remove diverse noises with a tailored intensity estimator. Specifically, we first estimate adversarial distortions by calculating the distance of the points to their neighborhood best-fit plane. Depending on the distortion degree, we choose specific diffusion time steps for the input point cloud and perform the forward diffusion to disrupt potential adversarial shifts. Then we conduct the reverse denoising process to restore the disrupted point cloud back to a clean distribution. This approach enables effective defense against adaptive attacks with varying noise budgets, achieving accentuated robustness of existing 3D deep recognition models.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google