论文速览 | CCS, 2023 TileMask: A Passive-Reflection-based Attack against mmWave Radar Object Detection i
注1:本文系"计算成像最新论文速览"系列之一,致力于简洁清晰地介绍、解读非视距成像领域最新的顶会/顶刊论文(包括但不限于 Nature/Science及其子刊; CVPR, ICCV, ECCV, SIGGRAPH, TPAMI; Light‑Science & Applications, Optica 等)。
本次介绍的论文是:<CCS, 2023 TileMask: A Passive-Reflection-based Attack against mmWave Radar Object Detection in Autonomous Driving | 基于被动反射的毫米波雷达目标检测攻击>
论文速览 | CCS, 2023 TileMask: A Passive-Reflection-based Attack against mmWave Radar Object Detection in Autonomous Driving | 基于被动反射的毫米波雷达目标检测攻击
引言
本文研究了针对自动驾驶中毫米波雷达目标检测的基于被动反射的对抗攻击 。由于毫米波雷达稳健可靠,已被广泛用于自动驾驶中的目标检测。近年来,基于 深度神经网络(DNN) 的雷达目标检测模型因其鲁棒性和准确性而变得越来越重要。但是,DNN模型容易受到对抗攻击的影响。尽管基于DNN的雷达目标检测模型正在迅速发展,但尚未有研究探讨它们面临的对抗威胁。
动机
现有的雷达欺骗攻击方法需要 使用特殊设备主动向雷达传输信号 。这些攻击或需要设备与雷达间的亚纳秒同步 ,或需要设备与雷达保持特定距离 ,在实践中难以实现。此外,这些攻击无法有效影响基于DNN的雷达检测结果 。为解决这些问题,本文利用金属表面上的毫米波反射特性,设计了一种低成本的几何形状结构作为对抗物体(TileMask) ,通过被动反射 来攻击基于DNN的雷达检测模型。分析表明,金属表面的反射与表面朝向密切相关。因此,通过调整几何形状表面的朝向,可以操控反射信号振幅,进而影响检测模型学习到的目标特征。
方法
论文中采用两步迭代优化框架生成对抗物体:
(1) Pattern Update
固定对抗物体的位置{Pl}=(Pl,n),n=1,...,N和大小{Ps}=(Ps,n),n=1,...,N,仅优化表面朝向参数{Pa}=(Pa,n),n=1,...,N,以最小化目标函数:
\min_{Pa} M(X'_e) + \beta L_{pattern}
s.t.\ X'_e = F(S'_t + S'_a + S_e)
其中,M(X'_e)为目标车辆的检测置信度,L_{pattern}表示所有表面朝向参数的平均值。S'_t,S'_a,S_e分别表示目标车、对抗物体、环境反射的中间频率(IF)信号,它们通过快速傅里叶变换(FFT)生成输入范围-方位映射X'_e。因此,本步骤通过梯度下降算法优化表面朝向参数Pa,以最小化目标车辆的检测置信度。
(2) Coverage Update
在Pattern Update的基础上,进一步更新对抗物体的位置{Pl}=(Pl,n),大小{Ps}=(Ps,n)和个数N,以减小对抗物体的总面积L_{area}。为实现这一目标,本步骤首先计算每个反射表面的重要性得分,用于评估改变该表面反射信号振幅对检测结果的影响。然后,移除得分较低的表面,剩余表面聚类形成新的对抗物体。因此,本步骤可以减小对抗物体的总面积,同时保持较高的攻击成功率。
结果
在物理环境下,考虑自动驾驶车辆向前行驶接近一辆目标车的场景。采用上述方法生成2个对抗物体,伪装成车顶广告牌粘贴在目标车后部。结果表明,这2个小型对抗物体即可持续隐藏目标车,攻击成功率超过90%。实验测试了不同环境下(树木、建筑物、行人等)攻击的有效性。此外,本方法在200个数字环境下的攻击成功率也超过90%。这证明所生成的对抗物体具有环境独立性。
各环境下攻击成功率如表所示:
| 环境 | Env-A | Env-B | Env-C | Env-D |
|---|---|---|---|---|
| Recall-benign | 0.93 | 0.94 | 0.98 | 0.93 |
| Recall-attack | 0.09 | 0.06 | 0.09 | 0.04 |
| ASR | 0.91 | 0.94 | 0.91 | 0.96 |
不足和展望
本攻击方法主要针对单一传感器。未来工作可考虑与其它传感器(摄像头、激光雷达)结合,实现多传感器融合系统的全面攻击 。此外,本方法针对具体目标生成对抗物体。后续可研究通用对抗物体 ,以隐藏不同类型的目标。最后,本文中使用的防御方法可进一步完善,设计更为鲁棒的雷达检测模型 。
总结
本文研究了自动驾驶中基于DNN的雷达检测系统面临的对抗威胁。利用金属表面的被动反射原理,设计了TileMask攻击方法与低成本对抗物体。该方法在物理和数字环境下均证明有效。