论文速览 | USENIX Security ‘22 | Security Analysis of Camera-LiDAR Fusion Against Black-Box Attacks on A
摘要 | USENIX Security '22 | 对相机与LiDAR融合感知系统进行安全性分析:针对自主驾驶车辆的黑盒攻击
论文链接: https://www.usenix.org/conference/usenixsecurity22/presentation/hallyburton
1 引言
自动驾驶技术代表了交通方式的根本性变革。然而,随着这一项技术被引入现实道路后,其安全性问题也日益突出。本文深入探讨了针对这一技术如何在对抗攻击中保持安全性的关键问题。
自动驾驶汽车主要依靠先进的感知系统来解读周围的环境信息,并作出可靠的安全判断。其中,摄像头 和LiDAR(光检测与测距) 是两种最常见的传感器技术。摄像头能够提供二维图像呈现良好的清晰度,而LiDAR技术则能够生成三维点云数据具有较高的精度。通过整合这两种传感器收集到的数据,理论上可以显著提升对环境信息的解读能力
然而,任何系统都可能含有缺陷。近年来的研究表明,仅依赖LiDAR的感知系统确实容易遭受攻击。那么,将相机与LiDAR数据相结合的融合系统能否提供更为稳固的安全保障呢?本研究正是针对这一关键问题进行了深入探讨。
2 动机 (关键创新和核心贡献)
本研究的核心驱动力源于:深入探究并全面评估当前最领先的相机-LiDAR融合感知系统在黑盒攻击环境下的安全性 。研究团队成功开发出一种新型攻击手段——锥体攻击(Frustum Attack), 并通过系统性实验充分验证了该方法的有效性。
主要创新点和贡献包括:
首次系统性评估 了相机-LiDAR融合系统对黑盒攻击的鲁棒性。
提出了新型的锥体攻击方法 ,能够有效欺骗各种感知算法。
进行了大规模实验 ,涵盖了8种不同的感知算法和超过7500万个攻击场景。
证明了锥体攻击能够绕过现有的防御机制 。
通过纵向案例研究 ,展示了攻击对自动驾驶决策和控制的潜在影响。
Frustum attack exploits the fact that the camera represents a two-dimensional rendering of a three-dimensional environment.
3 方法
3.1 攻击目标
研究者定义了三种主要的攻击目标:
假阳性(False Positive, FP) :在不存在物体的地方创造出虚假的物体检测。
假阴性(False Negative, FN) :使系统无法检测到实际存在的物体。
平移(Translation) :改变检测到的物体的位置。
3.2 锥体攻击原理
锥体攻击的核心概念在于:在一个物体所形成的视锥(即frustum)区域内植入具有欺骗性的LiDAR回波点 。这里所指的"视锥"是指相机投影至三维空间后所形成的金字塔形状区域。
具体来说,攻击步骤如下:
- 识别目标物体在相机二维图像中的具体位置。
- 基于获取的二维坐标信息计算相应的三维视锥区域。
- 向位于该区域内部的特定点注入看似真实的LiDAR数据。
该创新方法的主要优势体现在确保了相机与LiDAR数据之间的一致性 ,从而使得相关攻击难以被有效检测。
3.3 数学模型
假设目标物体在二维图像中的边界框坐标为(x_1, y_1, x_2, y_2);同时已知相机的内参矩阵参数为K;则根据透视投影模型可知;视锥区域可被数学上描述如下:
F = \{X \in \mathbb{R}^3 | K^{-1}[x, y, 1]^T = \lambda X, \lambda > 0, x_1 \leq x \leq x_2, y_1 \leq y \leq y_2\}
其中,X表示3D空间中的点,\lambda为尺度因子。
攻击者在视锥F内选择一个点X_s,并在其周围注入欺骗性的LiDAR点:
P_{spoof} = \{p_i | p_i = X_s + \epsilon_i, \epsilon_i \sim \mathcal{N}(0, \Sigma)\}
在该方法中,变量\epsilon_i被引入作为被引入的随机扰动项,其遵循均值为0、协方差矩阵为\Sigma的正态分布
4 实验和结果
研究者进行了广泛而深入的实验,主要包括以下几个方面:
4.1 感知算法评估
实验涵盖了8种不同的感知算法 ,包括:
- 仅基于LiDAR技术: PointPillars, PointRCNN, PIXOR
- 结合摄像头与LiDAR的数据: Frustum-ConvNet, Frustum-PointNet, AVOD, EPNET, Baidu Apollo
研究表明,所有算法均对锥体攻击表现出明显脆弱性。在15至60米的距离范围内, 攻击的成功率达到98.5%以上。
4.2 攻击参数分析
研究者进行了深入的分析以评估不同攻击参数的影响。具体而言,他们考察了被欺骗点的数量以及放置的距离对攻击成功率的作用机制,并得出了以下结论:
- 即使只注入2个欺骗点,也有可能达到某种程度的攻击效果。
- 通常只需要少量的欺骗点即可显著提高攻击成功率。
- 随着目标物体与检测设备之间的距离增大,其攻击成功率也会随之提升。
4.3 对现有防御机制的评估
研究者评估了锥状体攻击对现有的网络安全防护系统(如CARLO、SVF、ShadowCatcher)的检测能力。实验结果表明:
- CARLO : 基本上无法抵御锥体攻击。
- SVF : 由于设计缺陷难以抵御锥体攻击。
- ShadowCatcher : 检测能力不足,并且误报频率过高。
4.4 纵向案例研究
研究者展开了两项案例研究,探讨了锥体攻击对自动驾驶决策和控制的潜在影响:
在复杂的交通环境中, cone barriers are deployed in a continuous manner to simulate a seemingly real moving object trajectory. This could potentially lead to unintended emergency braking by autonomous vehicles.
高速公路自适应巡航控制场景 :在操作现有物体的轨迹可能导致自动驾驶车辆出现加速失误
5 不足和未来展望
尽管本研究取得了重要成果,但仍存在一些局限性:
数据集限制 :主要采用KITTI数据集,可能存在局限性。
Apollo 系统限制 : 测试表明 Apollo 系统存在避障能力不足, 这可能导致相关攻击情景的评估受到影响。
光学领域的工程应用与动态操控 :当前研究主要侧重于静态场景,未来的研究重点应放在动态场景下的对抗策略有效性上。
未来的研究方向可能包括:
阴影区域脆弱性 :详细分析原因:目标物体后方的阴影区域为何特别容易遭受攻击。
阴影区域脆弱性 :详细分析原因:目标物体后方的"阴影区域"为何特别容易遭受攻击。
新型防御机制 :开发能够有效防御锥体攻击的新方法。
攻击泛化性 :研究特定攻击参数在不同感知算法间的迁移性。
6 总结
本研究通过探讨锥体攻击这一技术,深入剖析了当前基于相机-LiDAR融合感知系统的安全性问题,特别是在面对针对这种类型的攻击时所展现出的局限性。研究表明,在最尖端的技术下依然存在显著的风险。这一发现对于自动驾驶汽车的安全性研究带来了重要的启示,并促使我们更加注重研发出更加鲁棒和安全的感知系统。