APC: Transferable and Efficient Adversarial Point Counterattack for Robust 3D Point Cloud Recognition

📄 arXiv: 2604.15708v1 📥 PDF

作者: Geunyoung Jung, Soohong Kim, Inseok Kong, Jiyoung Jung

分类: cs.CV

发布日期: 2026-04-17

备注: Accepted by CVPR 2026 Findings

🔗 代码/项目: GITHUB

💡 一句话要点

提出对抗点云反击(APC),提升3D点云识别模型对抗攻击的鲁棒性和迁移性。

🎯 匹配领域: 支柱七:动作重定向 (Motion Retargeting)

关键词: 3D点云识别 对抗攻击 对抗防御 鲁棒性 迁移学习

📋 核心要点

  1. 现有3D点云识别防御方法在鲁棒性和迁移性之间存在权衡,难以同时兼顾。
  2. 提出对抗点云反击(APC)模块,通过生成实例相关的反扰动来净化输入点云,抵御对抗攻击。
  3. 实验表明,APC在3D点云识别任务上实现了最先进的防御性能,并具有良好的跨模型迁移性。

📝 摘要(中文)

深度神经网络在3D点云识别领域取得了显著进展,但它们仍然容易受到对抗攻击。虽然已经研究了各种防御方法,但它们在鲁棒性和迁移性之间存在权衡。我们提出了对抗点云反击(APC),以同时实现这两者。APC是一个轻量级的输入级净化模块,它为每个点生成特定于实例的反扰动,有效地中和攻击。利用干净-对抗样本对,APC在数据空间中强制执行几何一致性,在特征空间中强制执行语义一致性。为了提高对各种攻击的泛化能力,我们采用了一种混合训练策略,使用来自多种攻击类型的对抗点云。由于APC纯粹在输入点云上运行,因此它可以直接迁移到未见过的模型,并在无需重新训练的情况下防御针对它们的攻击。在推理时,单个APC前向传递提供净化的点云,且时间和参数开销可忽略不计。在两个3D识别基准上的大量实验表明,APC实现了最先进的防御性能。此外,跨模型评估验证了其卓越的迁移性。

🔬 方法详解

问题定义:现有的3D点云识别模型容易受到对抗攻击的影响,即使是微小的扰动也可能导致模型预测错误。现有的防御方法通常需要在鲁棒性和迁移性之间进行权衡。一些方法虽然能够提高模型的鲁棒性,但却难以泛化到未见过的攻击或模型上。因此,如何设计一种既能有效防御对抗攻击,又能具备良好迁移性的防御方法是一个重要的挑战。

核心思路:APC的核心思路是通过在输入层引入一个轻量级的净化模块,该模块能够为每个点云实例生成特定的反扰动,从而抵消对抗攻击的影响。这种方法的核心在于学习如何生成能够有效“抵消”对抗扰动的反扰动,使得净化后的点云尽可能接近原始的干净点云。通过在数据空间和特征空间中强制执行一致性,APC能够学习到更具泛化能力的防御策略。

技术框架:APC作为一个独立的模块,可以插入到任何现有的3D点云识别模型之前。其主要流程如下:1) 接收对抗样本点云作为输入;2) APC模块为每个点生成反扰动;3) 将反扰动添加到对抗样本点云中,得到净化的点云;4) 将净化的点云输入到目标识别模型中进行分类。APC的训练过程使用干净-对抗样本对,通过最小化净化后的点云与原始干净点云之间的差异,以及在特征空间中的差异,来学习反扰动的生成策略。

关键创新:APC的关键创新在于其轻量级的输入级净化模块,以及其在数据空间和特征空间中强制执行一致性的训练策略。与传统的对抗训练方法相比,APC不需要修改目标模型的结构或参数,因此具有更好的迁移性。此外,APC采用混合训练策略,使用来自多种攻击类型的对抗点云进行训练,从而提高了其对未知攻击的泛化能力。

关键设计:APC模块通常由几个全连接层或卷积层组成,用于学习从对抗样本到反扰动的映射。损失函数包括两部分:数据空间损失和特征空间损失。数据空间损失用于衡量净化后的点云与原始干净点云之间的距离,可以使用Chamfer Distance或Earth Mover's Distance等度量。特征空间损失用于衡量净化后的点云和原始干净点云在特征空间中的差异,可以使用余弦相似度或L2距离等度量。混合训练策略通过随机选择不同类型的对抗攻击样本进行训练,以提高模型的泛化能力。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

APC在ModelNet40和ScanObjectNN两个3D点云识别基准数据集上取得了state-of-the-art的防御性能。在跨模型评估中,APC展现出卓越的迁移性,能够在未见过的模型上有效防御对抗攻击。实验结果表明,APC在提高鲁棒性的同时,保持了较低的计算开销。

🎯 应用场景

APC技术可应用于各种需要鲁棒3D点云识别的场景,例如自动驾驶、机器人导航、三维重建、安全监控等。通过提高模型对对抗攻击的防御能力,可以增强这些系统在恶意环境下的可靠性和安全性,避免因对抗攻击导致的误判或失效。

📄 摘要(原文)

The advent of deep neural networks has led to remarkable progress in 3D point cloud recognition, but they remain vulnerable to adversarial attacks. Although various defense methods have been studied, they suffer from a trade-off between robustness and transferability. We propose Adversarial Point Counterattack (APC) to achieve both simultaneously. APC is a lightweight input-level purification module that generates instance-specific counter-perturbations for each point, effectively neutralizing attacks. Leveraging clean-adversarial pairs, APC enforces geometric consistency in data space and semantic consistency in feature space. To improve generalizability across diverse attacks, we adopt a hybrid training strategy using adversarial point clouds from multiple attack types. Since APC operates purely on input point clouds, it directly transfers to unseen models and defends against attacks targeting them without retraining. At inference, a single APC forward pass provides purified point clouds with negligible time and parameter overhead. Extensive experiments on two 3D recognition benchmarks demonstrate that the APC achieves state-of-the-art defense performance. Furthermore, cross-model evaluations validate its superior transferability. The code is available at https://github.com/gyjung975/APC.