G.O.S.S.I.P 阅读推荐 2022-12-15 Play the Imitation Game

admin
admin
admin
102421
文章
87
评论
2022年12月17日00:08:08评论37 views字数 2160阅读7分12秒阅读模式

今天给大家带来的是加州大学欧文分校李洲研究组,与加州大学欧文分校Alfred Chen研究组、复旦大学周喆研究组、上海科技大学张海鹏研究组,共同投稿发表于ACSAC 2022的一篇关于无人车安全的论文:Play the Imitation Game: Model Extraction Attack against Autonomous Driving Localization

G.O.S.S.I.P 阅读推荐 2022-12-15 Play the Imitation Game

近年来,无人驾驶的安全问题越来越受到公众与研究者的关注。由于无人驾驶汽车厂商投入巨资用于无人驾驶系统的研发(例如,定位系统),这些模型——尤其是其中的参数,会被视为非常重要的知识产权,值得严加管理。

无人驾驶系统主要由三个部分组成:传感器信息收集系统,车载电脑和执行控制机构。在本工作中,我们研究了定位系统。定位系统主要用于实时计算无人车在地图中的准确位置。由于无人驾驶系统的定位系统需要较高的精确度,我们需要一系列的传感器,例如:全球卫星定位系统(GNSS),激光雷达(LiDAR),惯性测量单元(IMU),同时去测量车辆的行驶信息,以提升定位系统的鲁棒性。为了去结合诸多传感器的传感信息,基于多传感器融合(Multi-Sensor Fusion, MSF)的定位系统,由于其优越的准确性与鲁棒性,成为了当下最优的解决方案。

在现有的MSF算法中,基于卡尔曼滤波器(Kalman Filter, KF)的MSF算法得到最广泛的运用。因此,本文着重研究了百度阿波罗无人车所采用的MSF算法——Error-State Kalman Filter (ESKF)。值得一提的是,本文基于ESKF的研究可以被推广用于其他基于KF的MSF算法,例如Extended Kalman Filter (EKF)。

KF反复地运行两个部分:预测部分(Prediction)和更新部分(Update)。如公式(1)所示,在预测部分,KF基于xk-1(前一时刻预测的状态)、Pk-1(前一时刻状态的协方差矩阵,用于测量xk-1的置信度)和uk(当前状态的动力学测量),对xk(当前状态)和Pk(当前状态的协方差矩阵)进行预测。在更新部分,我们基于对真实世界的观察(例如,通过传感的测量,标记为zk),将xk和Pk修正为和,来减小两者的误差。Q和R代表过程噪声(process noise)和观察噪声(observation noise)的协方差矩阵。Hk用来将当前状态的空间映射至观察状态的空间。F和B代表状态-转换模型(state-transition model)和控制-输入模型(control-input model)。

G.O.S.S.I.P 阅读推荐 2022-12-15 Play the Imitation Game

作为KF的一个变种,ESKF在整体构成上与KF保持一致。在细节上,百度阿波罗的ESKF模型融合了IMU, GNSS和LiDAR三个传感器的信息。IMU用于测量加速度(acceleration)和角速度(angular velocity)。上述两者共同组成了uk,用于预测部分的测量。每个状态xk共有5个部分:当前位置(location, 3x1),当前速度(velocity, 3x1),用四元数表示的当前姿态(quaternion, 4x1),加速度传感器误差(accelerometer bias, 3x1)和陀螺仪误差(gyrometer bias, 3x1)。这五个部分一起构成一个16x1的向量。Pk是一个15x15的矩阵。对于更新部分,GNSS对于位置的测量,以及LiDAR对于位置和车头方位的测量,在处理后记作zk。与传统KF略有不同的是,ESKF除预测与更新部分外,还添加了一个重置阶段(Reset phase, =),用于解决观察漂移(observation drifting)问题。ESKF的工作流程如下图所示。

G.O.S.S.I.P 阅读推荐 2022-12-15 Play the Imitation Game

本文设定了三种攻击场景。第一种场景(AS1):攻击者可以完全直接控制车辆。在此场景中,攻击这可以直接通过硬件接口,直接获得无人驾驶系统的相关信息。第二种场景(AS2):攻击者无法获得无人驾驶系统的信息,但可以通过诸如USB等接口接入车辆,获取传感器信息。第三种场景(AS3):攻击无法直接接触无人车,只能通过跟车的方式,间接获取无人驾驶系统的信息。所有场景的数据均来源于对KAIST数据集的模拟获得。我们也同时对Apollo-ESKF和Sola-ESKF两种ESKF所产生的数据进行了评估比对。

G.O.S.S.I.P 阅读推荐 2022-12-15 Play the Imitation Game

攻击模型

本工作着重对Q和R两种协方差矩阵进行参数逆向。鉴于ESKF与传统RNN/LSTM模型的相似性,我们仿照首先仿照RNN,在迭代若干次后,与参照值对比建立损失函数。在优化过程中,除了运用随机梯度下降(SGD)算法,我们还对搜索空间进行针对性缩减。同时,我们还运用多步优化的方法,提升结果准确性并减少训练所需时间。最终,我们所提出的攻击方法,利用无人车在40秒内收集的数据,成功在AS1, Sola-ESKF上取得了厘米级精度的结果;并且在其他攻击场景与Apollo-ESKF上取得了分米级精度的结果。两者证明了本攻击的可行性。


论文下载:https://dl.acm.org/doi/pdf/10.1145/3564625.3567977

投稿作者:张起帆


原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-12-15 Play the Imitation Game

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月17日00:08:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   G.O.S.S.I.P 阅读推荐 2022-12-15 Play the Imitation Gamehttp://cn-sec.com/archives/1467427.html

发表评论

匿名网友 填写信息