多传感器融合定位是否足够安全?(一)

  • A+
所属分类:安全闲碎

对于自动驾驶汽车(AV),定位的安全性至关重要,它的直接威胁是GPS欺骗。幸运的是,当今的自动驾驶系统主要使用多传感器融合(MSF)算法,通常认为该算法有可能解决GPS欺骗问题。但是,没有任何研究表明当下的MSF算法在GPS欺骗的情况下是否足够安全。本文专注于生产级别的MSF,并确定了两个针对AV的攻击目标,即偏离攻击和逆向攻击。为了系统地了解安全性,我们首先分析了上限攻击的有效性,并发现了可以从根本上破坏MSF算法的接管效果。我们进行了原因分析,发现该漏洞是动态且随机地出现。利用这个漏洞,我们设计了FusionRipper,这是一种新颖的通用攻击,可以抓住机会并利用接管漏洞。我们对6条真实的传感器迹线进行了评估,结果发现,对于偏离和逆向攻击,FusionRipper在所有迹线上的成功率分别至少达到97%和91.3%。我们还发现,它对欺骗不准确等实际因素具有高度的鲁棒性。为了提高实用性,我们进一步设计了一种精巧的方法,该方法可以有效地识别出攻击参数,两个攻击目标的平均成功率均超过80%。我们还将讨论可行的的防御方法。

如今,各家公司都在开发自动驾驶汽车,例如level 4的自动驾驶汽车(AV),其中一些公司已经在公共道路上提供服务,例如Google的Waymo提供的自动驾驶出租车TuSimple的一辆和自动驾驶卡车。为了实现驾驶自动化,AV中的自动驾驶(AD)系统不仅需要感知周围的障碍物,还需要在地图上对其自身所在位置进行厘米级定位。这种定位在自动驾驶场景下需要保证高度的安全性,因为错误定位会直接导致AV车道偏离或走错路。在高级AD系统中,感知模块仅用于障碍物检测,而定位模块则负责识别道路偏离。意味着即使感知模块运行正常,也无法阻止由于定位模块错误而造成车道偏离的危险,例如偏离后撞到路边,跌落悬崖或被其他的车辆撞到,特别是当AV行驶方向相反时。但是,许多学者对于AD系统中的安全性研究集中于AD感知,例如,交通标志上的恶意标签,这使AD定位的安全性成为一个悬而未决的问题。

一般而言,对于室外定位,GPS是最直接的数据来源,因此对GPS的直接威胁是GPS欺骗,它是一个长期存在但仍未解决的安全性问题。幸运的是,为了实现可靠的定位,当前许多主机厂的AD系统主要使用多传感器融合(MSF)算法,该算法将GPS输入与其他传感器的位置输入相结合,通常是IMU(惯性测量单元)和LiDAR(光学雷达)。在这种算法中,仅靠GPS数据不能决定具体定位位置,因此主流观点认为MSF是防止GPS欺骗的最佳解决方案。但是,实际上MSF算法主要是为了提高定位的准确性和鲁棒性,而不是为了安全性而设计的。鉴于其在自动驾驶汽车中的广泛使用以及对道路安全的高度重视,因此必须尽早系统地理解这一点。

为了填补这一关键的研究空白,本文中,我们首次对AV中基于MSF的定位的安全性进行了研究。作为此方向上的第一个研究,我们将GPS欺骗作为攻击媒介,因为它是MSF输入源中最成熟的攻击媒介之一。我们专注于生产级MSF实施,即百度Apollo MSF(BA-MSF)。我们认为攻击目标是使用GPS欺骗引起MSF输出的较大横向偏差,即向左或向右偏斜。这可能会导致AV偏离道路或驶入错误的道路,我们分别将其称为偏离攻击和逆向攻击。

为了系统地了解安全性,由于BA-MSF以二进制形式发布,因此我们首先通过动态黑盒分析来分析上限攻击的效果。我们发现,在现实世界中,即使是这种上限攻击结果,大部分(71%)也只能引起小于50厘米的偏差,这远远不能造成偏离或逆向攻击(分别需要至少90厘米和2.4 米)。这表明MSF确实可以总体上增加GPS定位的安全性。有趣的是,我们还观察到仍然存在一些上限攻击结果,这些结果可能会导致超过2米的偏差。对于所有这些结果,我们发现GPS欺骗能够引起定位偏差成指数级增长。这是因为欺骗的GPS成为融合过程中的主要输入源,并最终导致MSF拒绝其他输入源,从而根本上破坏了MSF的设计原理。在本文中,我们称其为接管效应。然后,我们对其进行原因分析,发现只有在MSF处于相对不确定的时期时才出现这种情况,这是由于动态和不确定性的现实因素(例如传感器噪声和算法不准确)共同导致的。

这种接管漏洞对于攻击者非常有吸引力,因为它们可以利用指数级偏差增长来实现攻击目标。但是,正如之前发现的那样,脆弱时期是动态且不确定地出现的。因此,我们设计了FusionRipper,这是一种新颖的通用攻击,可通过两个阶段来尝试性地捕获和利用接管漏洞:(1)漏洞分析(评估何时出现脆弱时期),以及(2)gps欺骗攻击,利用接管效应攻击,达到定位偏差指数级增长的目标。

我们测试FusionRipper,并根据来自Apollo和KAIST Complex Urban数据集的6条真实世界的传感器轨迹对其进行评估。结果表明,当攻击可持续2分钟时,对于偏离和逆向攻击,FusionRipper始终存在一组攻击参数,分别在所有轨迹中获得至少97%和91.3%的成功率,成功时间平均超过35秒。为了了解攻击的实用性,我们用一些实际因素进行评估,例如(1)欺骗信号不准确,以及(2)AD系统控制接管。发现这两种情况下,攻击成功率只会受不到4%的影响。

此外,我们观察到攻击效果与攻击参数的选择有关。因此,为了提高实用性,我们进一步设计了一种精确的攻击参数配置方法,该方法可以收集有效参数,而在配置过程中不会引起明显的安全问题,从而保持隐蔽性。在现实世界中的跟踪结果表明,我们的方法可以有效地识别出攻击参数,偏离和逆向攻击的成功率分别为84.2%和80.7%。

攻击目标

如上文所述,我们考虑的攻击目标是向受害者AV的定位输出引入较大的横向偏差,即向左或向右偏斜。由于所有车辆都需要在其指定的车道内行驶,因此这种横向偏离会直接威胁到道路安全。特别地,在本文中,我们考虑了针对自动驾驶环境的两个具体的攻击目标:偏离攻击和逆向攻击。如下图所示,前者旨在向左或向右偏离,直到受害者驶离道路,而后者则旨在向左偏离,直到受害者驶向相反的行车道。下表列出了实现这两个目标所需的偏差,这些偏差将在我们的后续安全分析中使用。

多传感器融合定位是否足够安全?(一)

多传感器融合定位是否足够安全?(一)

自驾控制假设

我们假设自动驾驶系统被设计为在交通车道的中心行驶,并不断尝试纠正与中心的任何偏差。来自学术界和行业的最先进的AD系统都遵循这种设计,并使用横向控制器在控制模块中以较高的频率(例如,Apollo中为100 Hz)强制实施。这意味着,当攻击者向MSF输出(例如,图中的右侧)引入偏差时,受害者AV将主动对其进行纠正,从而导致其物理世界位置具有相同的偏差量,但方向相反(例如,在图的左侧)。

攻击模型

我们可以把上述攻击建模为以下公式:

其中,表示欺骗位置和受害者AV所在真实位置之间的距离,是没有受到攻击的MSF输出,是受到攻击的MSF输出,是LiDAR定位输出(通过LiDAR实时扫描获得的点云图与预先准备好的高精地图做比对),是IMU测量,D表示两条轨迹的横向偏差,M表示基于卡尔曼滤波器的多传感器数据融合算法,k表示迭代次数。

因此,数学的表示我们对MSF的攻击即为找到一个距离差序列,其能最大化第n次攻击下MSF输出的偏差。


在下一部分我们将讨论具体的攻击有效性及接管效应。

本文始发于微信公众号(轩辕实验室):多传感器融合定位是否足够安全?(一)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: