大家好,今天我们推荐的是来自USENIXSecurity的一篇论文—“DirtyRoadCanAttack:SecurityofDeepLearningbasedAutomatedLaneCenteringunderPhysical-WorldAttack”
本次研究作者团队,来自加州大学尔湾分校、字节跳动和东北大学,一共6名研究人员。其中两位共同第一作者TakamiSato和JunjieShen。三作NingfeiWang和QiAlfredChen教授均来自加州大学尔湾分校,YunhanJackJia研究员任职于字节跳动,XueLin教授任职于美国东北大学。作者们研究了「产品级L2自动驾驶系统中的自动车道居中辅助系统(ALC,AutomatedLaneCentering)」的安全,并且设计了脏路补丁(DRP)攻击,即通过在车道上部署「添加了对抗样本攻击生成的路面污渍图案的道路补丁」便可误导OpenPilot(开源的产品级驾驶员辅助系统)ALC系统,并使车辆在1秒内就偏离其行驶车道,远低于驾驶员的平均接管反应时间(2.5秒),造成严重交通危害。
ALC是一种L2自动驾驶技术,可自动控制车辆方向盘以使其保持在车道中心。由于其提供的高度便利性,现如今它被广泛应用于各种车型中,例如特斯拉、通用凯迪拉克、本田雅阁、丰田RAV4、沃尔沃XC90等。尽管方便,但ALC系统需要具有较高的安全性:当ALC系统做出错误的转向决策时,人类驾驶员可能没有足够的反应时间来防止即将发生的安全隐患,例如开出路面或与相邻车道上的车辆相撞。因此,了解ALC系统的安全属性势在必行。
在ALC系统中,最关键的一步是车道线检测,它通常由基于深度神经网络(DNN)的车道线检测模型来实现。最近很多研究表明,DNN容易受到物理世界对抗性攻击,例如在交通标志上贴恶意贴纸。然而,由于两个主要的设计挑战,这些方法不能直接应用于攻击ALC系统。(1)在ALC系统中,由于车辆行驶轨迹受攻击影响,相机的视角会逐渐向左或右偏移,捕捉不同的道路区域。所以在攻击生成的过程中需要考虑相机图片中每帧之间的相互依赖性。(2)前人研究中的攻击优化目标函数主要针对图像分类或目标检测模型,并不能直接应用到车道线检测的这类回归模型上。
为了填补这一关键的研究空白,在这项工作中,作者们首次在物理世界对抗性攻击下对最先进的基于DNN的ALC系统在其「运行设计域(即具有完整车道线的道路)」中进行了安全分析。作者们用一个新颖的领域特定的攻击方法:「脏路补丁(DRP,DirtyRoadPatches)」(如图1所示)。作者们之所以选择脏路补丁是因为现实生活中这类路面污渍非常普遍,如果攻击生成的脏路补丁类似此类路面污渍,就会较难引起人类驾驶员注意,从而让攻击更加隐蔽。图2是在加州尔湾市附近收集到的一些路面污渍图片。
图1:易于部署的路面补丁和现实生活中常见的路面污渍图案
图2:加州尔湾市附近的路面污渍例子
为了系统地生成脏路补丁,作者们采用基于优化的方法并克服上述设计挑战。图3展示了DRP攻击生成脏路补丁的流程。整个补丁生成过程结合了「车辆运动模型」和「最优化」,整个的输入是车辆在目标道路上正常行驶时的相机图片。首先,作者们利用透视变换将图片从相机视角转换到俯视视角(BEV,Bird’sEyeView)。有了俯视视角的道路图片之后,再根据车辆在道路上的纵向位置将补丁叠加到每帧图片中的相应位置。接下来,根据车辆运动模型仿真出来的车辆行驶轨迹(即车辆朝向和横向偏移)把这些俯视视角图片进行仿射变换(即旋转和平移)。然后再把这些图片通过透视变换转换回相机视角。这样,就得到了该行驶轨迹下的近似相机图片。因为通常ALC系统只需要路面的信息,将图片中的感兴趣区域(ROI,RegionofInterest)截取出来当作ALC系统的输入并获得车辆方向盘角度。而方向盘角度即为车辆运动模型的输入,便能通过该模型获得新的行驶轨迹,来进行下一轮仿真。作者们根据每帧图片中ALC系统识别的车道线形状设计了一个基于车道弯曲角度的目标函数。在最优化过程中,通过计算梯度来迭代更新补丁的图案,从而最大化这个弯曲角度来实现攻击目标。为了实现更高的隐蔽性和易部署性,作者们还在脏路补丁生成过程中添加多种限制,包括(1)限制路面污渍图案为灰度图案,(2)限制亮度,(3)保证车道本身的道路线不被改变,(4)限制路面污渍图案区域等。
图3:DRP攻击的脏路补丁生成流程
为了了解DRP攻击在物理世界中的可实现性和严重性,作者们在一个微缩测试场景中放置了打印的脏路补丁,并用OpenPilot官方设备(EON)进行评估(图4)。发现DRP攻击可以导致OpenPilot的道路线检测严重出错,例如图3中,添加了脏路补丁后,车道线会非常明显地偏向左边,而正常道路下检测出来的车道线和真实车道线重合度非常高。为了验证DRP攻击的鲁棒性,作者们还测试了27种不同驶入角度和横向偏移的组合,发现DRP攻击仍能保持非常高(=95%)的攻击成功率。
图4:微缩测试场景和结果(攻击演示视频:
本文编辑:佚名
转载请注明出地址 http://www.qiuyina.com/lkcx/9102.html