跳转至

APC: Transferable and Efficient Adversarial Point Counterattack for Robust 3D Point Cloud Recognition

会议: CVPR 2026
arXiv: 2604.15708
代码: https://github.com/gyjung975/APC
领域: AI安全
关键词: 对抗防御, 3D点云, 反扰动, 跨模型迁移, 输入级净化

一句话总结

APC 提出一种轻量级输入级净化模块,通过生成逐点反扰动来中和对抗攻击,同时在几何一致性和语义一致性双重约束下训练,实现了跨攻击和跨模型的强鲁棒性。

研究背景与动机

领域现状:3D 点云识别中的对抗防御方法分为两类——输入级防御(直接操作输入数据,如 SOR、IF-Defense)和模型级防御(如对抗训练、混合训练)。

现有痛点:输入级防御方法因在数据空间操作而具有天然的跨模型迁移性,但防御效果较弱;模型级防御效果强但缺乏迁移性,每个模型都需要从头重新训练。两类方法在鲁棒性和迁移性之间存在明显的 trade-off。

核心矛盾:现有输入级防御只是间接地通过数据操作(如去除离群点、重建表面)来恢复干净样本,而没有利用显式的防御目标来学习如何精确地逆转攻击扰动。

本文目标:设计一种同时具备强鲁棒性和高迁移性的防御方法。

切入角度:将对抗防御视为"反攻击"——不是被动地去噪/重建,而是主动生成一个"反扰动"来中和攻击扰动。

核心 idea:训练一个轻量级编码器-解码器模块,输入对抗样本后生成逐点的反扰动,通过点级加法将对抗样本净化为接近干净样本的形式。

方法详解

整体框架

APC 是一个轻量级的编码器-解码器架构。编码器由三个模块组成(局部、全局、融合),提取点特征;解码器生成逐点反扰动 \(C \in \mathbb{R}^{N \times 3}\)。净化过程为 \(\tilde{x}' = x' + C\),即对抗点云加上反扰动得到净化点云。训练使用干净-对抗样本对,联合优化几何一致性和语义一致性损失。

关键设计

  1. 分布感知反扰动生成(Distribution-aware Counter-Perturbation):

    • 功能:为每个点生成针对性的反扰动
    • 核心思路:编码器先通过 KNN 聚合获取局部几何特征 \(L = g^{local}([repeat_k(x'); P])\),再通过全局模块提取整体形状特征 \(G = g^{global}(L)\),最后通过融合模块将局部和全局特征结合 \(E = g^{fusion}([L; repeat_N(G)])\)。解码器(3 层 MLP + GeLU)将融合特征映射为 3D 反扰动
    • 设计动机:KNN 聚合利用局部几何信息抑制局部噪声,全局特征提供整体形状信息以保持稳定性,两者融合使每个点的反扰动既考虑局部邻域又考虑全局形状

  2. 双一致性损失(Dual Consistency Loss):

    • 功能:确保净化样本在几何和语义上都接近干净样本
    • 核心思路:几何一致性使用 Chamfer Distance 约束净化点云与干净点云的坐标距离 \(\mathcal{L}_{geo}\);语义一致性使用 MSE 约束净化样本和干净样本在受害模型特征空间中的全局特征相似 \(\mathcal{L}_{sem}\)。最终损失 \(\mathcal{L} = \mathcal{L}_{ce} + \alpha \cdot \mathcal{L}_{geo} + \beta \cdot \mathcal{L}_{sem}\)
    • 设计动机:仅靠几何恢复可能无法完全恢复高层语义信息,双空间约束确保净化过程同时修复局部坐标扰动和高层语义偏移

  3. 混合训练策略(Hybrid Training Strategy):

    • 功能:使单个 APC 模型能防御多种已见和未见的攻击类型
    • 核心思路:使用来自多种攻击类型(Add、Cluster、Perturb、KNN、PGD、HiT 等)的对抗样本混合训练 APC。实验发现仅用单一攻击训练时,对该攻击防御效果好但对其他攻击泛化差
    • 设计动机:不同攻击产生不同模式的扰动,混合训练让 APC 学到更通用的净化能力,提升跨攻击泛化性

损失函数 / 训练策略

最终损失为交叉熵、几何一致性和语义一致性的加权组合。使用混合训练,从多种攻击中采样对抗样本。APC 训练完成后固定参数,推理时仅需一次前向传播即可净化输入。

实验关键数据

主实验

防御方法 类型 PointNet Avg PointNet++ Avg DGCNN Avg
No Defense - 6.0 41.4 26.2
SOR 输入级 65.8 75.1 69.3
IF-Defense 输入级 80.6 - -
HT 模型级 80.1 - -
APC 输入级 84.7 85.6 85.3

消融实验

配置 ModelNet40 Avg
APC(完整) 84.7
w/o 语义一致性 82.3
w/o 几何一致性 80.1
单攻击训练(仅 PGD) 76.5(跨攻击下降明显)

关键发现

  • APC 作为输入级方法不仅超越所有输入级防御,还超越了模型级防御(AT、HT),同时保持跨模型迁移性
  • 跨模型实验中,APC 在未见模型上的防御效果显著优于现有输入级方法,验证了强迁移性
  • 双一致性损失缺一不可,几何损失对恢复坐标精度至关重要,语义损失对保持识别正确率至关重要
  • 推理时仅需一次 APC 前向传播,参数量和计算开销极小

亮点与洞察

  • "反攻击"思路简洁优雅:不是去噪或重建,而是主动生成反扰动。这种逆向思维让输入级方法首次在鲁棒性上超越模型级方法
  • 即插即用的实用性:APC 训练一次后可直接迁移到任意模型,无需重新训练,极大降低了部署成本
  • 迁移到 2D 的可能:虽然本文聚焦 3D 点云,但反扰动的思路完全可以迁移到 2D 图像对抗防御中

局限与展望

  • 需要预先准备多种攻击的对抗样本进行训练,训练数据的攻击类型覆盖范围会影响泛化性
  • 语义一致性损失依赖受害模型的特征提取器,对受害模型有轻微依赖
  • 面对自适应攻击(知道 APC 存在的攻击者)的鲁棒性尚未评估

相关工作与启发

  • vs IF-Defense: IF-Defense 在推理时迭代优化点坐标以恢复表面,计算量大;APC 一次前向即可,快且效果好
  • vs 混合训练(HT): HT 是模型级方法需重训受害模型,APC 作为输入级方法达到更好效果且可迁移
  • vs DUP-Net: DUP-Net 通过上采样+重建来恢复缺失细节,APC 直接生成逐点修正,更精准

评分

  • 新颖性: ⭐⭐⭐⭐ 反扰动的思路在 3D 点云防御中新颖,同时兼顾鲁棒性和迁移性
  • 实验充分度: ⭐⭐⭐⭐⭐ 11 种攻击、3 个模型、两个数据集,跨模型实验全面
  • 写作质量: ⭐⭐⭐⭐ 结构清晰,实验设计逻辑严密
  • 价值: ⭐⭐⭐⭐ 首次让输入级防御全面超越模型级防御,实用价值高

相关论文