PointBA: Towards Backdoor Attacks in 3D Point Cloud

要約

3Dディープラーニングは、多くの安全性の高いアプリケーションを含むさまざまなタスクでますます人気があります。
ただし、最近、いくつかの作品が3Dディープモデルのセキュリティ問題を提起しています。
彼らのほとんどは敵対的な攻撃を考慮していますが、バックドア攻撃は実際には3Dディープラーニングシステムにとってより深刻な脅威であるが、未開拓のままであることを特定します。
3Dポイントクラウドでバックドア攻撃を、3Dデータとネットワークの一意のプロパティを活用する統一されたフレームワークを備えています。
特に、ポイントクラウドに2つの攻撃アプローチを設計します。ポイズンラベルバックドア攻撃（PointPBA）とクリーンラベルバックドア攻撃（PointCBA）です。
最初のものは実際には簡単で効果的ですが、後者は特定のデータ検査があると仮定してより洗練されています。
攻撃アルゴリズムは、主に動機付けられ、1）空間変換下での深いモデルの脆弱性を示唆する3D敵対サンプルの最近の発見。
2）最適化方法と新しいタスクを埋め込む可能性を通じて、データの特徴を操作する提案された特徴の解き角度技術。
広範な実験では、さまざまな3Dデータセットとモデルで95％以上の成功率を持つPointPBAの有効性と、約50％の成功率を持つよりステルスなPointcbaが示されています。
3Dポイントクラウドで提案されているバックドア攻撃は、3Dディープモデルの堅牢性を改善するためのベースラインとして実行されると予想されます。

要約(オリジナル)

3D deep learning has been increasingly more popular for a variety of tasks including many safety-critical applications. However, recently several works raise the security issues of 3D deep models. Although most of them consider adversarial attacks, we identify that backdoor attack is indeed a more serious threat to 3D deep learning systems but remains unexplored. We present the backdoor attacks in 3D point cloud with a unified framework that exploits the unique properties of 3D data and networks. In particular, we design two attack approaches on point cloud: the poison-label backdoor attack (PointPBA) and the clean-label backdoor attack (PointCBA). The first one is straightforward and effective in practice, while the latter is more sophisticated assuming there are certain data inspections. The attack algorithms are mainly motivated and developed by 1) the recent discovery of 3D adversarial samples suggesting the vulnerability of deep models under spatial transformation; 2) the proposed feature disentanglement technique that manipulates the feature of the data through optimization methods and its potential to embed a new task. Extensive experiments show the efficacy of the PointPBA with over 95% success rate across various 3D datasets and models, and the more stealthy PointCBA with around 50% success rate. Our proposed backdoor attack in 3D point cloud is expected to perform as a baseline for improving the robustness of 3D deep models.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google