没有合适的资源?快使用搜索试试~ 我知道了~
7597图1)。为了实现这一目标,攻击者用一小组后门训练样本毒害受害者分类器的训练集。这些样本最初来自源类,嵌入了与测试样本相同的后门模式,以类似于传统的数据中毒(DP)攻击[2,18,56,32,1]和图像BA,我们的PC BA基于攻击者能够毒害受害者分类器的训练集[12,7]的假设。这种中毒能力是通过在实践中需要获得适合于针对给定域准确训练DNN分类器的“大数据”来促进的尽管已经针对图像广泛地研究了BA及其防御,但是设计针对3D PC分类器的BA在几个方面具有挑战性。挑战1:图像BA的现有后门模式是人类不可感知的附加扰动[7,42,65,45,53],或表示物理插入场景中的对象的像素块替换[12,7,44,51]。但是这些模式都不适用于3D PC,因为挑战2:设计可由3D PC分类器学习的后门模式是困难的,因为它们提取与图像分类器不同的挑战3:后门模式应该对3D PC的测试时间预处理(如随机采样)具有鲁棒性,应该回避异常检测器(AD),并且应该是场景合理的。在本文中,我们建议插入一小簇点作为后门模式(针对挑战1),被称为“后门点”,其可以数字地实现(以模仿,例如,由车辆排气引起的伪点),或者物理地使用对象(例如,球)与场景一起被3D传感器捕获。后门集群的空间位置通过利用由攻击者独立训练的替代分类器来优化,使用其自己的(单独的这种优化是必要的,以确保受害者分类器在其训练期间学习后门模式嵌入每个PC样品中的实际后门点的局部几何形状也被优化,使得这些点具有与PC中的原始点相似的局部密度(对于挑战3)。我们的贡献总结如下:• 我们提出了第一个BA对3D PC分类。与PC TTE攻击不同,我们不使用受害者分类器或训练者拥有的干净数据的任何知识• 我们提出了• 我们展示了我们的BA的有效性,四种不同类型的后门点局部几何形状,三种不同的架构的受害者分类器,并在两个数据集。• 我们通过实验表明,我们的BA的有效性主要取决于后门点的空间位置,而精心设计的局部几何形状有助于BA逃避国家的最先进的PC广告。2. 相关工作2.1. 三维点云分类3D点云(PC)是通常由3D传感器捕获的一组3D点,包括无线电检测和测距(RADAR)[38]、光检测和测距(LiDAR)[61]和超声波传感器[19]。由于3D传感器在许多应用(如自动驾驶)中的日益普及,用于3D PC分类的技术已经迅速发展[6]。早期的方法包括3D卷积神经网络,例如VoxNet [26],其使用一系列用于分类的体素来表示3D PC。基于多视图的方法将与对象的不同视图相关联的特征组合成全局描述符[39,40]。PointNet [4]是直接将3D PC作为输入并通过使用对称函数-最大池化来实现点的排列不变的开创性方法。由于PointNet的简单性和强大的表示能力,它被用作许多3D学习模块的主干[6],也是许多后续方法的基础,例如。[37、46、63、60]。像现有的PC TTE攻击,我们专注于PointNet及其变种在本文中。2.2. 针对3D PC分类器的对抗性攻击针对分类器的典型对抗性攻击包括测试时间规避(TTE)攻击、一般数据中毒攻击、数据(DP)攻击[2,18],和BA,这是重点本文针对3D PC分类器的现有对抗性攻击都是TTE攻击,其最初是针对图像分类器提出的。图像TTE攻击旨在“欺骗”受害者分类器(即,使其分类不正确)。这样的扰动可以使用受害者分类器的知识(包括其架构和参数1)来学习,或者从独立训练的代理分类器(即使用代理分类器的知识学习[34,36]。现有的PCTTE攻击通过向测试PC添加点、扰动其点或移除其点中的一些来然而,PC TTE攻击不传输几乎以及图像TTE攻击。即使对于在相同数据集上训练的两个分类器,具有相同的架构但不同的参数初始化,使用一个分类器生成的测试PC也不会可靠地如此差的可移植性1TTE扰动也可以通过查询受害者分类器来创建此外,由于受害者分类器的安全协议,频繁的查询可能被拒绝7598759976007601|S|sSd(c,X)=minx∈X||c−x||2为它的Σ简单和件-算法1后门点的最优空间位置在C中的明智可区分性。0=1(X,y)∈Dsp(t|X,Φ)1:输入:源类s,目标类t,数据子集Ds,是从类s到类t的初始最后,是一个小的正数,描述了通过在c处插入一个点,源类PC应该向类t“推”到多近的程度与图像域不同,在图像域中监督分类器f(·;Φ)、和0、步长δ、最大迭代次数τmax、比例因子α。2:初始化:c(0)= N(0,1),λ(0)被设置为小的位置数(例如 10−5),c*=∞,ρ(0)=0。3:对于τ=0:τmax−1:4:c(τ+1)=c(τ)−δcJ(c(τ),λ(τ))小的、普通的扰动可以引起一组图像5:ρ(τ+1)1Σ|Ds|(X,y)∈Dp(t|m(X;{c(τ+1)}),Φ)从一个类别被错误分类到另一个类别[29],(9)对于一个中等大小的,可能包含6:如果ρ(τ+1)≥0+:7:λ(τ+1)= λ(τ)·α仅保留与原始PC相距较远的空间位置Σ8:如果(X,y)∈DsΣd(c(τ+1) ,X)−d(c*,X)Σ<第0章:Ds,这违反了C2。在实践中,选择了一个,确保至少存在一个具有足够小的目标值的解(9)(例如,=0。02在我们的实验中)。我们使用Alg求解(9)。1、在哪里9:c*=c(τ+1)10:else:11:λ(τ+1) =λ(τ)/α十二: 产出:c*J(c,λ)=1ΣΣλ·d(c,X)−|(X,y)∈Ds|(X,y)∈Dslogp(t|m(X;{c}),Φ)(十)两个类具有相等数量的样本。因此,我们得到2662个PC均匀分布在两个类中是(9)的拉格朗日量,对数用于更好地平滑度λ被自动更新(使用比例因子α>1)以约束可行集中的优化变量(作为投影的替代方案,这在这里难以实现)。N(0,I)是用于初始化c为了避免较差的局部最优,可以执行Alg。1多次,具有不同的初始化,并选择(9)的最佳解。5. 实验5.1. 数据集与现有的PC TTE攻击[49,15,22]一样,我们使用对 齐 的 基 准 数 据 集 ModelNet40 [48] 进 行 实 验 。ModelNet40包含来自40个常见对象类别的12311个CAD模型(每台PC 2048个点)。在ModelNet40的原始训练测试分割之后,使用2468台PC进行测试。从剩余的9843台PC中,我们随机选择1000台PC作为攻击者拥有的其余8843台PC由培训师(Dclean)持有,攻击者无法访问。此外,我们考虑了一个实用的街景LiDAR数据集KITTI [27]。从每个场景中,我们提取对应于标记的对象内的绑定框提供的数据集和对齐它们的PC。由于原始KITTI数据集的高类别不平衡,我们构建了两个(超)类:“车辆”类由来自原始数据集的“汽车”、“货车”和“卡车”组成;“人类”类由来自原始数据集的“行人”和“骑自行车的人”组成。我们考虑不少于256点的PC,并为每台PC随机保留256点此外,我们为“车辆”类保留一个PC子集,训练器,662用于测试。5.2. 攻击实施我们对两个数据集实施了36次攻击,总共涉及9个(源,目标)类对-对于每个类对,我们为嵌入的后门点创建了4次具有不同类型局部几何形状的指定源类和目标类:对于ModelNet40,我们任意选择了7个(源,目标)类对,它们是:(椅子,马桶),(花瓶,窗帘),(笔记本电脑,椅子),(床头柜,桌子),(沙发,显示器),(锥筒,灯),(飞机,衣柜)。对于KITTI,我们只考虑两个有序类对:(人,媒介物)和(媒介物,人)。我们将这9个类对命名为P1,P2,…P9分别为简洁起见。训练代理类:对于每个数据集,我们在攻击者拥有的PC上训练了具有[4]中相同架构的PointNet训练进行了250个epoch,批量大小为32,学习率为10- 3(其中每20个时期0.5次衰减 2048点和256点每PC分别用于ModelNet40和KITTI指定后门点的空间位置:对于与每个(源,目标)类对相关联的四个攻击,我们使用Alg指定了一个用于后门点嵌入的公共空间位置。1,并且代理分类器在其相关联的数据集上训练。攻击者优化的参数被设置为=0。02,δ=0。01,τmax=3000,α=1。五、特别地,尽管在数值上很小,但是在最佳空间位置((9)的解)和用于后门嵌入的PC之间已经存在中等距离A.较大的可能会导致嵌入的后门点距离PC太远,无法通过3D捕获到相同的边界框7602=760376047605引用[1] A. Shafahi和W.R. Huang和M.Najibi和O.Suciu和C. Studer和T. Dumitras和T.戈德斯坦毒青蛙!针对神经网络的干净标签中毒攻击第32届神经信息处理系统国际会议论文集,NIPS'18,第6106-6116页,2018年[2] B. Biggio和F.罗莉野生图案:对抗性机器学习兴起十年后。模式识别,84:317[3] N. Carlini和D.瓦格纳。评估神经网络的鲁棒性。2017年IEEE安全与隐私研讨会(SP),第39-57页[4] R. Q. Charles , H. 苏 , M 。 Kachun 和 L.J. GuibasPointnet:用于3D分类和分割的点集深度学习2017年IEEE计算机视觉和模式识别会议(CVPR),第77-85页[5] B.陈威Carvalho,N.巴拉卡尔多路德维希湾爱德华兹,T.李岛,智-地Molloy和B.斯里瓦斯塔瓦。通过激活聚类 检 测 对 深 度 神 经 网 络 的 后 门 攻 击 。 http ://arxiv.org/abs/1811.03728,Nov 2018.[6] S.陈湾,澳-地Liu,C. Feng角Vall-Gonzalez和C.威灵顿用于自动驾驶的3D点云处理和学习:影响地图创建,定 位 和 感 知 。 IEEE Signal Processing Magazine , 38(1):68[7] X. Chen C.,马缨丹属刘湾,澳-地Li,K. Lu和D.歌使用数据中毒对深度学习系统进行有针对性的后门攻击。https://arxiv.org/abs/1712.05526v1,2017.[8] E. Chou,F. 特拉姆埃尔,G。 Pell e grino和D. 博内Sentinet:Detecting physical attacks against deep learningsystems,2018.[9] Y. 高 氏 C. Xu , L. Wang , S. Chen , 中 国 粘 蝇 D. C.Ranasinghe和S.尼泊尔STRIP:防御深度神经网络的特洛伊木马攻击。在Proc. ACSAC,2019年。[10] I. Goodfellow,Y. Bengio和A.考维尔深度学习麻省理工学院出版社,2016.[11] I. Goodfellow,J. Shlens和C.赛格迪解释和利用对抗性的例子。InProc. ICLR,2015.[12] T. Gu,K.刘湾,澳-地Dolan-Gavitt和S.加格Badnets:Evaluatingbackdooringattacksondeepneuralnetworks.IEEE Access,7:47230[13] J. Guo,P. V. K.博尔赫斯角Park和A. Gawel使用LiDAR强度进行鲁棒位置识别的局部描述符。IEEE Roboticsand Automation Letters,4(2):1470[14] W. 郭湖,加-地Wang,X.邢,M.Du和D.歌TABOR:一种高度准确的方法来检查和恢复AI系统中的木马后门。https://arxiv.org/abs/1908.01763,2019.[15] A. Hamdi,S. Rojas,A. Thabet和B.加尼姆AdvPC:3D点云上的可转移对抗扰动参见ECCV 2020,第241-257页[16] F. R. Hampel影响曲线及其在抗差估计中的作用。美国统计协会杂志,69,1974。[17] K.他,X。Zhang,S. Ren和J. Sun.用于图像识别的深度残差学习。在Proc. CVPR,2016中。[18] L. Huang,A.D.约瑟夫湾尼尔森,B.I.P.鲁宾斯坦,还有J.D. 泰加对抗性机器学习 在proc 第四届ACM人工智能与安全研讨会(AISec),2011年。[19] G. Korres和M.开斋节触图:超声点云触觉刺激。IEEEAccess,4:7758[20] Y.莱肯湖Bottou,Y. Bengio和P.哈夫纳基于梯度的学习应用于文档识别。Proceedings of the IEEE,86(11):2278[21] Y. 李湾,澳-地Wu,Y.姜,Z.Li和S.-T. 夏后门学习:一项调查,2020年。[22] D.柳河,巴西-地Yu和H.苏将对抗性攻击和防御扩展到深度3d点云分类器。在2019年IEEE图像处理国际会议(ICIP),第2279-2283页[23] K.刘湾,澳-地Doan-Gavitt和S.加格Fine-pruning:防御对深度神经网络的后门攻击。InProc. RAID,2018.[24] S.- M. M.- Dezfooli,A. Fawzi和P.弗罗萨德DeepFool:一种简单而准确的欺骗深度神经网络的方法在Proc.CVPR,2016中。[25] A. Madry,A.马克洛夫湖Schmidt,D. Tsipras和A.弗拉多对抗攻击的深度学习模型InProc. ICLR,2018.[26] D. Maturana和S.谢勒Voxnet:用于实时对象识别的3D卷积神经网络。2015年IEEE/RSJ智能机器人和系统国际会议(IROS),第922-928页[27] M. Menze和A.盖革自动驾驶车辆的对象场景流计算机视觉与模式识别会议(CVPR),2015年。[28] D. J. Miller,Z. Xiang和G.凯西迪斯统计分类中的对抗学 习 : 对 攻 击 防 御 的 全 面 审 查 。Proceedings of theIEEE,108:402[29] S.- M. 穆萨维-代兹福利A.Fawzi和P.弗罗萨德普遍的对抗性干扰。在Proc. CVPR,2017中。[30] B. Nelson和B. Barreno等人误导学习者:占了你的垃圾邮件过滤器。网络信任中的机器学习:安全性,隐私和可靠性,2009年。[31] A. Nguyen和A.交易。输入感知动态后门攻击。在Proc.NIPS,2020中。[32] P. Liang P. Koh.通过影响函数理解黑盒预测。ICML,2017。[33] P. - Y. Chen 和 H. Zhang 和 Y. Sharma 和 J. Yi 和 C. J.Hsieh,C.- J. Zoo:基于零阶优化的黑盒攻击,无需训练替代模型。在第10届ACM人工智能和安全研讨会的会议记录中,第15-26页[34] N. Papernot,P.麦克丹尼尔岛Goodfellow,S.杰哈湾Z.Celik和A.大师针对机器学习的实用黑盒攻击。在2017年ACM亚洲计算机和通信安全会议论文集,第506-519页7606[35] N. Papernot , P.McDaniel , S. 贾 , M 。 Fredrikson ,Z.B.Celik和A.大师深度学习在对抗环境中的局限性。在Proc. 1st IEEE European Symp.关于安全和隐私,2016年。[36] N. Papernot,P.D. 麦克丹尼尔和我J. 古德费罗机器学习中的迁移能力:从现象到使用对抗样本的黑盒攻击。2016年。[37] C. R.齐湖,加-地Yi,H. Su和L.吉巴斯Pointnet++:度量空间中点集的深度层次特征学习。神经信息处理系统进展,第30卷,第5099-5108页,2017年[38] O. 舒曼M. Hahn,J. Dickmann和C. Wohler. 雷达点云的 语 义 分 割 。 2018 年 第 21 届 信 息 融 合 国 际 会 议(FUSION),第2179-2186页[39] H. Su,S. Maji、E. Kalogerakis和E. G.学习米勒。用于三维形状识别的多视图卷积神经网络。在Proc. ICCV,2015中。[40] J. - C.苏,M。加代利亚河Wang和S.玛吉更深入地了解3d形状分类器。在Laura Leal-Taixe和Stefan Roth,编辑,计算机视觉[41] C.塞格迪,W。Zaremba,I Sutskever,J.布鲁纳D。埃尔汉岛,智-地Goodfellow,和R。费格斯。神经网络的有趣特性。InProc. ICLR,2014.[42] B. Tran,J.Li和A.马德里后门攻击中的频谱特征在Proc.NIPS,2018中。[43] J. Tu,M. Ren,S. Manivasagam,M.梁湾,澳-地扬河,巴西-地杜、F. Cheng和R.乌塔松激光雷达目标检测的物理可实现的对抗性示例。IEEE/CVF计算机视觉和模式识别会议(CVPR),2020年6月。[44] B. Wang,Y. Yao,S.山,H.李湾,澳-地Viswanath,H.Zheng和B.Y.赵神经净化:识别和减轻神经网络中的后门 攻 击 。 在 Proc. IEEE Symposium on Security andPrivacy,2019。[45] R. Wang,G. Zhang,S.刘,P. - Y. Chen,J. Xiong,andM.王.木马神经网络的实际检测:数据有限和无数据病例。Proc. ECCV,2020。[46] Y. Wang,Y.太阳,Z.Liu,S.E. Sarma,M.M. 布朗斯坦,还有J. M.所罗门用于点云学习的动态图CNN。ACM事务处理图表,38(5),2019.[47] Y. Wen,J.Lin,K.Chen C.,马缨丹属L. P. Chen和K.贾对 抗 性 点 云 的 几 何 感 知 生 成 IEEE Transactions onPattern Analysis and Machine Intelligence,第1-1页[48] Z. Wu,S.Song,中国黑杨A.Khosla,F.于湖,加-地Zhang,X.唐和J.肖。3d shapenets:体积形状的深度表示。在IEEE计算机视觉和模式识别会议(CVPR)上,2015年6月。[49] C.湘C. R. Qi和B.李生成3d对抗点云。在IEEE/CVF计算机视觉和模式识别会议(CVPR)上,2019年6月。[50] Z. Xiang,D.J.Miller和G.凯西迪斯深度神经网络分类器的后门数据中毒防御的基准研究InProc. IEEE MLSP,Pitts-burgh,2019.[51] Z. Xiang,D.J. Miller,Hang Wang,and G.凯西迪斯在没有训练集的情况下,通过最大可实现错误分类分数统计来揭示DNN中的可感知后门。在Proc. IEEE MLSP,Oct. 2020年。[52] Z. Xiang、D. J. Miller和G.凯西迪斯在不访问训练集的情 况 下 检 测 经 训 练 的 分 类 器 中 的 后 门 。 IEEETransactions on Neural Networks and Learning Systems,第1-15页[53] Z. Xiang、D.J. Miller和G.凯西迪斯通过对诱导组错误分类的优化扰动的新推断,在DNN分类器中揭示在Proc.IEEE ICASSP,第3827-3831页[54] Z. Xiang、D. J. Miller和G.凯西迪斯L-red:在不访问训练集的情况下,对不可感知的后门攻击进行有效的训练后检测在ICASSP 2021 - 2021 IEEE声学、语音和信号处理国际会议,第3745-3749页[55] Z. Xiang、D. J. Miller和G.凯西迪斯对深度神经网络进行逆向工程,以检测和训练集清洗不可察觉的后门攻击。计算机与安全,106:102280,2021。[56] H.肖湾,澳-地比焦湾纳尔逊,H。肖氏C. Eckert和F.罗莉对抗标签污染下的支持向量机。Neurocomputing,160(C):53[57] H. Xu,Y.妈,H。-C. Liu,L.Deb,H.刘杰-L. 唐和A. K.贾恩。图像、图形和文本中的对抗性攻击和防御:审查. 国际自动化和计算,17:151[58] X. 徐,智-地Wang,H.Li,N.鲍里索夫角A. 冈特,还有B. 李使用Meta神经分析检测AI特洛伊木马。https://arxiv.org/abs/1910.03137,2019.[59] B. 吴湖李河He S.吕义Li,Y.李使用特定于样本的触发器的后门攻击https://arxiv.org/abs/2012.03816,2020.[60] J. 扬角,澳-地张湾,澳-地尼湖,加-地Li,J.Liu,M.Zhou和Q.田基于自关注和gumbel子集采样的点云建模 。 2019 年 IEEE/CVF 计 算 机 视 觉 和 模 式 识 别 会 议(CVPR),第3318-3327页,2019年。[61] X.约湾,澳-地Wu,S. A. Seshia,K. Keutzer和A. L.桑吉瓦尼-文森泰利LiDAR点云生成器:从虚拟世界到自动 驾 驶 在 2018 年 ACM 多 媒 体 检 索 国 际 会 议 上 ,ICMR'18,第458-464页,2018年[62] D.张某大数据安全和隐私保护。在第八届管理与计算机科学国际会议(ICMCS 2018)的集,第275[63] H.赵湖,加-地江角,澳-地Fu和J. Jia. Pointweb:增强点云处理的局部邻域特征。2019年IEEE/CVF计算机视觉和模式识别会议(CVPR),2019年。[64] T.郑氏C. Chen,J. Yuan,B. Li和K.仁点云显着图。在IEEE/CVF国际计算机视觉会议(ICCV)的会议中,2019年10月。7607[65] H. Zhong,H.Zhong,A.Squicciarini、S.Zhu和D.J.米勒通过不可见扰动在卷积神经网络模型中嵌入后门。在Proc. CODASPY,2020年3月。[66] H. Zhou,K.陈威Zhang,H.芳,W. Zhou和N. Yu. DUP-Net:用于3D对抗点云防御的去噪和上采样网络。在IEEE计算机视觉国际会议论文集,第1961-1970页
下载后可阅读完整内容,剩余1页未读,立即下载
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://profile-avatar.csdnimg.cn/default.jpg!1)
cpongm
- 粉丝: 4
- 资源: 2万+
上传资源 快速赚钱
我的内容管理 收起
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![](https://csdnimg.cn/release/wenkucmsfe/public/img/voice.245cc511.png)
会员权益专享
最新资源
- 保险服务门店新年工作计划PPT.pptx
- 车辆安全工作计划PPT.pptx
- ipqc工作总结PPT.pptx
- 车间员工上半年工作总结PPT.pptx
- 保险公司员工的工作总结PPT.pptx
- 报价工作总结PPT.pptx
- 冲压车间实习工作总结PPT.pptx
- ktv周工作总结PPT.pptx
- 保育院总务工作计划PPT.pptx
- xx年度现代教育技术工作总结PPT.pptx
- 出纳的年终总结PPT.pptx
- 贝贝班班级工作计划PPT.pptx
- 变电值班员技术个人工作总结PPT.pptx
- 大学生读书活动策划书PPT.pptx
- 财务出纳月工作总结PPT.pptx
- 大学生“三支一扶”服务期满工作总结(2)PPT.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035111.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![](https://csdnimg.cn/release/wenkucmsfe/public/img/green-success.6a4acb44.png)