随着各种3D安全关键应用的关注，点云学习模型已被证明容易受到对抗性攻击的影响。尽管现有的3D攻击方法达到了很高的成功率，但它们会以明显的扰动来深入研究数据空间，这可能会忽略几何特征。取而代之的是，我们从新的角度提出了点云攻击 - 图谱域攻击，旨在在光谱域中扰动图形转换系数，该系数对应于改变某些几何结构。具体而言，利用图形信号处理，我们首先通过图形傅立叶变换（GFT）自适应地将点的坐标转换为光谱域，以进行紧凑的表示。然后，我们基于我们建议通过可学习的图形光谱滤波器扰动GFT系数的几何结构的影响。考虑到低频组件主要有助于3D对象的粗糙形状，我们进一步引入了低频约束，以限制不察觉到的高频组件中的扰动。最后，通过将扰动的光谱表示形式转换回数据域，从而生成对抗点云。实验结果证明了拟议攻击的有效性，这些攻击既有易经性和攻击成功率。

3D动态点云提供了现实世界中的对象或运动场景的离散表示，这些对象已被广泛应用于沉浸式触发，自主驾驶，监视，\ textit {etc}。但是，从传感器中获得的点云通常受到噪声的扰动，这会影响下游任务，例如表面重建和分析。尽管为静态点云降级而做出了许多努力，但很少有作品解决动态点云降级。在本文中，我们提出了一种新型的基于梯度的动态点云降解方法，利用了梯度场估计的时间对应关系，这也是动态点云处理和分析中的基本问题。梯度场是嘈杂点云的对数概况函数的梯度，我们基于我们执行梯度上升，以使每个点收敛到下面的清洁表面。我们通过利用时间对应关系来估计每个表面斑块的梯度，在该时间对应关系中，在经典力学中搜索了在刚性运动的情况下搜索的时间对应贴片。特别是，我们将每个贴片视为一个刚性对象，它通过力在相邻框架的梯度场中移动，直到达到平衡状态，即当贴片上的梯度总和到达0时。由于梯度在该点更接近下面的表面，平衡贴片将适合下层表面，从而导致时间对应关系。最后，沿贴片中每个点的位置沿相邻帧中相应的贴片平均的梯度方向更新。实验结果表明，所提出的模型优于最先进的方法。

虽然近年来，在2D图像领域的攻击和防御中，许多努力已经探讨了3D模型的脆弱性。现有的3D攻击者通常在点云上执行点明智的扰动，从而导致变形的结构或异常值，这很容易被人类察觉。此外，它们的对抗示例是在白盒设置下产生的，当转移到攻击远程黑匣子型号时经常遭受低成功率。在本文中，我们通过提出一种新的难以察觉的转移攻击（ITA）：1）难以察觉的3D点云攻击来自两个新的和具有挑战性的观点：1）难以察觉：沿着邻域表面的正常向量限制每个点的扰动方向，导致产生具有类似几何特性的示例，从而增强了难以察觉。 2）可转移性：我们开发了一个对抗性转变模型，以产生最有害的扭曲，并强制实施对抗性示例来抵抗它，从而提高其对未知黑匣子型号的可转移性。此外，我们建议通过学习更辨别的点云表示来培训更强大的黑盒3D模型来防御此类ITA攻击。广泛的评估表明，我们的ITA攻击比最先进的人更令人无法察觉和可转让，并验证我们的国防战略的优势。

尽管最近在不同的应用程序方案中广泛部署了3D点云分类，但它仍然非常容易受到对抗攻击的影响。面对对抗性攻击，这增加了对3D模型的强大训练的重要性。基于我们对现有对抗性攻击的性能的分析，在输入数据的中和高频组件中发现了更多的对抗性扰动。因此，通过抑制训练阶段的高频含量，改善了针对对抗性示例的模型。实验表明，提出的防御方法降低了对PointNet，PointNet ++和DGCNN模型的六次攻击的成功率。特别是，与最先进的方法相比，Drop100攻击的平均分类精度在Drop100攻击中平均提高3.8％，而Drop200攻击的平均分类精度提高了3.8％。与其他可用方法相比，该方法还提高了原始数据集的模型精度。

Point cloud completion, as the upstream procedure of 3D recognition and segmentation, has become an essential part of many tasks such as navigation and scene understanding. While various point cloud completion models have demonstrated their powerful capabilities, their robustness against adversarial attacks, which have been proven to be fatally malicious towards deep neural networks, remains unknown. In addition, existing attack approaches towards point cloud classifiers cannot be applied to the completion models due to different output forms and attack purposes. In order to evaluate the robustness of the completion models, we propose PointCA, the first adversarial attack against 3D point cloud completion models. PointCA can generate adversarial point clouds that maintain high similarity with the original ones, while being completed as another object with totally different semantic information. Specifically, we minimize the representation discrepancy between the adversarial example and the target point set to jointly explore the adversarial point clouds in the geometry space and the feature space. Furthermore, to launch a stealthier attack, we innovatively employ the neighbourhood density information to tailor the perturbation constraint, leading to geometry-aware and distribution-adaptive modifications for each point. Extensive experiments against different premier point cloud completion networks show that PointCA can cause a performance degradation from 77.9% to 16.7%, with the structure chamfer distance kept below 0.01. We conclude that existing completion models are severely vulnerable to adversarial examples, and state-of-the-art defenses for point cloud classification will be partially invalid when applied to incomplete and uneven point cloud data.

最近，3D深度学习模型已被证明易于对其2D对应物的对抗性攻击影响。大多数最先进的（SOTA）3D对抗性攻击对3D点云进行扰动。为了在物理场景中再现这些攻击，需要重建生成的对抗3D点云以网状，这导致其对抗效果显着下降。在本文中，我们提出了一个名为Mesh攻击的强烈的3D对抗性攻击，通过直接对3D对象的网格进行扰动来解决这个问题。为了利用最有效的基于梯度的攻击，介绍了一种可差异化的样本模块，其反向传播点云梯度以网格传播。为了进一步确保没有异常值和3D可打印的对抗性网状示例，采用了三种网格损耗。广泛的实验表明，所提出的方案优于SOTA 3D攻击，通过显着的保证金。我们还在各种防御下实现了SOTA表现。我们的代码可用于：https：//github.com/cuge1995/mesh-attack。

Deep 3D point cloud models are sensitive to adversarial attacks, which poses threats to safety-critical applications such as autonomous driving. Robust training and defend-by-denoise are typical strategies for defending adversarial perturbations, including adversarial training and statistical filtering, respectively. However, they either induce massive computational overhead or rely heavily upon specified noise priors, limiting generalized robustness against attacks of all kinds. This paper introduces a new defense mechanism based on denoising diffusion models that can adaptively remove diverse noises with a tailored intensity estimator. Specifically, we first estimate adversarial distortions by calculating the distance of the points to their neighborhood best-fit plane. Depending on the distortion degree, we choose specific diffusion time steps for the input point cloud and perform the forward diffusion to disrupt potential adversarial shifts. Then we conduct the reverse denoising process to restore the disrupted point cloud back to a clean distribution. This approach enables effective defense against adaptive attacks with varying noise budgets, achieving accentuated robustness of existing 3D deep recognition models.

通过扫描真实世界对象或场景采集的3D点云人已经发现了广泛的应用，包括融入式远程呈现，自动驾驶，监视等。它们通常是由噪声扰动或由低密度，这妨碍下游的任务，如表面重建遭受和理解。在本文中，我们提出了点集的二次采样恢复，这获知会聚点朝向下方的表面的点云的连续梯度场的新型范例。特别是，我们表示经由其梯度场点云 - 对数概率密度函数的梯度，和执行梯度场是连续的，这样就保证了模型可解优化的连续性。基于经由提出的神经网络估计出的连续梯度场，重新采样点云量对输入噪声或稀疏的点云执行基于梯度的马尔可夫链蒙特卡洛（MCMC）。此外，我们提出了点云恢复，基本上迭代地细化中间重采样点云，并在重采样过程容纳各种先验期间引入正则化到基于梯度的MCMC。大量的实验结果表明，该点集重采样实现了代表恢复工作，包括点云去噪和采样的国家的最先进的性能。

利用3D点云数据已经成为在面部识别和自动驾驶等许多领域部署人工智能的迫切需要。然而，3D点云的深度学习仍然容易受到对抗的攻击，例如迭代攻击，点转换攻击和生成攻击。这些攻击需要在严格的界限内限制对抗性示例的扰动，导致不切实际的逆势3D点云。在本文中，我们提出了对普遍的图形 - 卷积生成的对抗网络（ADVGCGAN）从头开始产生视觉上现实的对抗3D点云。具体地，我们使用图形卷积发电机和带有辅助分类器的鉴别器来生成现实点云，从真实3D数据学习潜在分布。不受限制的对抗性攻击损失纳入GaN的特殊逆势训练中，使得发电机能够产生对抗实例来欺骗目标网络。与现有的最先进的攻击方法相比，实验结果表明了我们不受限制的对抗性攻击方法的有效性，具有更高的攻击成功率和视觉质量。此外，拟议的Advgcan可以实现更好的防御模型和比具有强烈伪装的现有攻击方法更好的转移性能。

Deep learning-based 3D object detectors have made significant progress in recent years and have been deployed in a wide range of applications. It is crucial to understand the robustness of detectors against adversarial attacks when employing detectors in security-critical applications. In this paper, we make the first attempt to conduct a thorough evaluation and analysis of the robustness of 3D detectors under adversarial attacks. Specifically, we first extend three kinds of adversarial attacks to the 3D object detection task to benchmark the robustness of state-of-the-art 3D object detectors against attacks on KITTI and Waymo datasets, subsequently followed by the analysis of the relationship between robustness and properties of detectors. Then, we explore the transferability of cross-model, cross-task, and cross-data attacks. We finally conduct comprehensive experiments of defense for 3D detectors, demonstrating that simple transformations like flipping are of little help in improving robustness when the strategy of transformation imposed on input point cloud data is exposed to attackers. Our findings will facilitate investigations in understanding and defending the adversarial attacks against 3D object detectors to advance this field.

3D点云正在成为许多现实世界应用中的关键数据表示形式，例如自动驾驶，机器人技术和医学成像。尽管深度学习的成功进一步加速了物理世界中3D点云的采用，但深度学习因其易受对抗性攻击的脆弱性而臭名昭著。在这项工作中，我们首先确定最先进的经验防御，对抗性训练，由于梯度混淆，在适用于3D点云模型方面有一个重大限制。我们进一步提出了PointDP，这是一种纯化策略，利用扩散模型来防御3D对抗攻击。我们对六个代表性3D点云体系结构进行了广泛的评估，并利用10+强和适应性攻击来证明其较低的稳健性。我们的评估表明，在强烈攻击下，PointDP比最新的纯化方法实现了明显更好的鲁棒性。在不久的将来将包括与PointDP合并的随机平滑验证结果的结果。

尽管在各种应用中取得了突出的性能，但点云识别模型经常遭受自然腐败和对抗性扰动的困扰。在本文中，我们深入研究了点云识别模型的一般鲁棒性，并提出了点云对比对抗训练（PointCat）。 PointCat的主要直觉是鼓励目标识别模型缩小清洁点云和损坏点云之间的决策差距。具体而言，我们利用有监督的对比损失来促进识别模型提取的超晶体特征的对齐和均匀性，并设计一对带有动态原型指南的集中式损失，以避免这些特征与其属于其属于其归属类别群的偏离。为了提供更具挑战性的损坏点云，我们对噪声生成器以及从头开始的识别模型进行了对手训练，而不是将基于梯度的攻击用作内部循环，例如以前的对手训练方法。全面的实验表明，在包括各种损坏的情况下，所提出的PointCat优于基线方法，并显着提高不同点云识别模型的稳健性，包括各向同性点噪声，LIDAR模拟的噪声，随机点掉落和对抗性扰动。

Research in Graph Signal Processing (GSP) aims to develop tools for processing data defined on irregular graph domains. In this paper we first provide an overview of core ideas in GSP and their connection to conventional digital signal processing, along with a brief historical perspective to highlight how concepts recently developed in GSP build on top of prior research in other areas. We then summarize recent advances in developing basic GSP tools, including methods for sampling, filtering or graph learning. Next, we review progress in several application areas using GSP, including processing and analysis of sensor network data, biological data, and applications to image processing and machine learning.

Adding perturbations via utilizing auxiliary gradient information or discarding existing details of the benign images are two common approaches for generating adversarial examples. Though visual imperceptibility is the desired property of adversarial examples, conventional adversarial attacks still generate traceable adversarial perturbations. In this paper, we introduce a novel Adversarial Attack via Invertible Neural Networks (AdvINN) method to produce robust and imperceptible adversarial examples. Specifically, AdvINN fully takes advantage of the information preservation property of Invertible Neural Networks and thereby generates adversarial examples by simultaneously adding class-specific semantic information of the target class and dropping discriminant information of the original class. Extensive experiments on CIFAR-10, CIFAR-100, and ImageNet-1K demonstrate that the proposed AdvINN method can produce less imperceptible adversarial images than the state-of-the-art methods and AdvINN yields more robust adversarial examples with high confidence compared to other adversarial attacks.

从嘈杂的点云中恢复高质量的表面，称为点云降级，是几何处理中的一个基本而又具有挑战性的问题。大多数现有方法要么直接将嘈杂的输入或过滤器原始正态变为更新点位置。由点云降解和正常过滤之间的基本相互作用的动机，我们从多任务的角度重新访问点云，并提出一个名为PCDNF的端到端网络，以通过关节正常滤波来denoise点云。特别是，我们引入了一项辅助正常过滤任务，以帮助整体网络更有效地消除噪声，同时更准确地保留几何特征。除了整体体系结构外，我们的网络还具有两个新型模块。一方面，为了提高降噪性能，我们设计了一种形状感知的选择器，以全面考虑学习点，正常特征和几何学先验，以构建特定点的潜在切线空间表示。另一方面，点特征更适合描述几何细节，正常特征更有利于表示几何结构（例如，边缘和角落）。结合点和正常特征使我们能够克服它们的弱点。因此，我们设计一个功能改进模块，以融合点和正常功能，以更好地恢复几何信息。广泛的评估，比较和消融研究表明，所提出的方法在点云降解和正常过滤方面优于最先进的方法。

基于决策攻击对现实世界应用程序构成严重威胁，因为它将目标模型视为黑盒子，并且仅访问硬预测标签。最近已经努力减少查询的数量;然而，现有的基于决策攻击仍需要数千个疑问以产生良好的质量的对抗性示例。在这项工作中，我们发现一个良性样本，当前和下一个逆势示例可以自然地构建子空间中的三角形以获得任何迭代攻击。基于诸如SINES的规律，我们提出了一种新颖的三角形攻击（TA）来通过利用较长侧总是与任何三角形的较大角度相对的几何信息来优化扰动。然而，直接在输入图像上施加这样的信息是无效的，因为它不能彻底探索高维空间中输入样本的邻域。为了解决这个问题，TA优化低频空间中的扰动，以获得由于此类几何特性的一般性而有效减少。对ImageNet DataSet的广泛评估表明，TA在1,000个查询中实现了更高的攻击成功率，并且需要更少的查询，以在各种扰动预算下实现相同的攻击成功率，而不是现有的基于决策攻击。具有如此高的效率，我们进一步展示了TA在真实世界API上的适用性，即腾讯云API。

通过采用深层CNN（卷积神经网络）和GCN（图卷积网络），最近对3D点云语义分割的研究努力取得了出色的表现。然而，这些复杂模型的鲁棒性尚未得到系统地分析。鉴于在许多安全关键型应用中应用了语义分割（例如，自主驾驶，地质感测），特别是填补这种知识差距，特别是这些模型在对抗性样本下的影响。虽然已经研究了针对点云的对抗攻击，但我们发现所有这些都是针对单一物体识别的，并且在点坐标上进行扰动。我们认为，基于坐标的扰动不太可能在物理世界的限制下实现。因此，我们提出了一种名为Colper的新的无色扰动方法，并将其定制为语义分割。通过评估室内数据集（S3DIS）和室外数据集（语义3D）对三点云分割模型（PointNet ++，Deepgcns和Randla-Net）进行评估，我们发现只有颜色的扰动足以显着降低分割精度和AIOU ，在目标和非目标攻击设置下。

随着处理点云数据中深度学习的繁荣，最近的作品表明，后门攻击对3D视觉应用构成了严重的安全威胁。攻击者通过用触发器中毒一些训练样本将后门注射到3D模型中，从而使后门模型在干净的样品上表现良好，但在出现扳机模式时会恶意行为。现有的攻击通常将一些附加点插入点云中，或使用线性转换（例如旋转）来构建中毒点云。但是，这些中毒样品的影响可能会被某些常用的3D点云的常用预处理技术削弱，甚至可以消除，例如，离群的去除或旋转增强。在本文中，我们提出了一种新颖的觉得不可察觉，强大的后门攻击（IRBA）来应对这一挑战。我们利用一种称为加权局部变换（WLT）的非线性和局部变换来构建具有独特转换的中毒样品。由于WLT中有几种超参数和随机性，因此很难产生两个类似的转换。因此，具有独特转化的中毒样品可能对上述预处理技术有抵抗力。此外，由于由固定的WLT引起的失真的可控性和平滑度，因此生成的中毒样品也无法察觉到人类检查。在三个基准数据集和四个模型上进行的广泛实验表明，即使使用预处理技术，IRBA在大多数情况下都可以达到80％+ ASR，这显着高于以前的最新攻击。

3D点云的卷积经过广泛研究，但在几何深度学习中却远非完美。卷积的传统智慧在3D点之间表现出特征对应关系，这是对差的独特特征学习的内在限制。在本文中，我们提出了自适应图卷积（AGCONV），以供点云分析的广泛应用。 AGCONV根据其动态学习的功能生成自适应核。与使用固定/各向同性核的解决方案相比，AGCONV提高了点云卷积的灵活性，有效，精确地捕获了不同语义部位的点之间的不同关系。与流行的注意力体重方案不同，AGCONV实现了卷积操作内部的适应性，而不是简单地将不同的权重分配给相邻点。广泛的评估清楚地表明，我们的方法优于各种基准数据集中的点云分类和分割的最新方法。同时，AGCONV可以灵活地采用更多的点云分析方法来提高其性能。为了验证其灵活性和有效性，我们探索了基于AGCONV的完成，DeNoing，Upsmpling，注册和圆圈提取的范式，它们与竞争对手相当甚至优越。我们的代码可在https://github.com/hrzhou2/adaptconv-master上找到。

图表卷积网络（GCNS）由于图形学习任务的优异性能，因此引起了感兴趣的激增，但也显示出对抗对抗攻击的脆弱性。在本文中，研究了有效的曲线图结构攻击以破坏傅立叶域中的图形光谱滤波器。我们基于图拉普拉斯的特征值来定义光谱距离，以测量光谱滤波器的破坏。然后，我们通过同时最大化任务特定的攻击目标和所提出的光谱距离来生成边缘扰动。实验表明，在训练和测试时间都表现出拟议的攻击中所提出的攻击的显着效果。我们的定性分析显示了攻击行为与谱分布的强加变化之间的连接，这提供了最大化光谱距离的经验证据是改变空间域中图形结构的结构特性和傅立叶中的频率分量的有效方式领域。