多传感器融合定位是否足够安全？(一)

对于自动驾驶汽车（AV），定位的安全性至关重要，它的直接威胁是GPS欺骗。幸运的是，当今的自动驾驶系统主要使用多传感器融合（MSF）算法，通常认为该算法有可能解决GPS欺骗问题。但是，没有任何研究表明当下的MSF算法在GPS欺骗的情况下是否足够安全。本文专注于生产级别的MSF，并确定了两个针对AV的攻击目标，即偏离攻击和逆向攻击。为了系统地了解安全性，我们首先分析了上限攻击的有效性，并发现了可以从根本上破坏MSF算法的接管效果。我们进行了原因分析，发现该漏洞是动态且随机地出现。利用这个漏洞，我们设计了FusionRipper，这是一种新颖的通用攻击，可以抓住机会并利用接管漏洞。我们对6条真实的传感器迹线进行了评估，结果发现，对于偏离和逆向攻击，FusionRipper在所有迹线上的成功率分别至少达到97％和91.3％。我们还发现，它对欺骗不准确等实际因素具有高度的鲁棒性。为了提高实用性，我们进一步设计了一种精巧的方法，该方法可以有效地识别出攻击参数，两个攻击目标的平均成功率均超过80％。我们还将讨论可行的的防御方法。

如今，各家公司都在开发自动驾驶汽车，例如level 4的自动驾驶汽车（AV），其中一些公司已经在公共道路上提供服务，例如Google的Waymo提供的自动驾驶出租车TuSimple的一辆和自动驾驶卡车。为了实现驾驶自动化，AV中的自动驾驶（AD）系统不仅需要感知周围的障碍物，还需要在地图上对其自身所在位置进行厘米级定位。这种定位在自动驾驶场景下需要保证高度的安全性，因为错误定位会直接导致AV车道偏离或走错路。在高级AD系统中，感知模块仅用于障碍物检测，而定位模块则负责识别道路偏离。意味着即使感知模块运行正常，也无法阻止由于定位模块错误而造成车道偏离的危险，例如偏离后撞到路边，跌落悬崖或被其他的车辆撞到，特别是当AV行驶方向相反时。但是，许多学者对于AD系统中的安全性研究集中于AD感知，例如，交通标志上的恶意标签，这使AD定位的安全性成为一个悬而未决的问题。

一般而言，对于室外定位，GPS是最直接的数据来源，因此对GPS的直接威胁是GPS欺骗，它是一个长期存在但仍未解决的安全性问题。幸运的是，为了实现可靠的定位，当前许多主机厂的AD系统主要使用多传感器融合（MSF）算法，该算法将GPS输入与其他传感器的位置输入相结合，通常是IMU（惯性测量单元）和LiDAR（光学雷达）。在这种算法中，仅靠GPS数据不能决定具体定位位置，因此主流观点认为MSF是防止GPS欺骗的最佳解决方案。但是，实际上MSF算法主要是为了提高定位的准确性和鲁棒性，而不是为了安全性而设计的。鉴于其在自动驾驶汽车中的广泛使用以及对道路安全的高度重视，因此必须尽早系统地理解这一点。

为了填补这一关键的研究空白，本文中，我们首次对AV中基于MSF的定位的安全性进行了研究。作为此方向上的第一个研究，我们将GPS欺骗作为攻击媒介，因为它是MSF输入源中最成熟的攻击媒介之一。我们专注于生产级MSF实施，即百度Apollo MSF（BA-MSF）。我们认为攻击目标是使用GPS欺骗引起MSF输出的较大横向偏差，即向左或向右偏斜。这可能会导致AV偏离道路或驶入错误的道路，我们分别将其称为偏离攻击和逆向攻击。

为了系统地了解安全性，由于BA-MSF以二进制形式发布，因此我们首先通过动态黑盒分析来分析上限攻击的效果。我们发现，在现实世界中，即使是这种上限攻击结果，大部分（71％）也只能引起小于50厘米的偏差，这远远不能造成偏离或逆向攻击（分别需要至少90厘米和2.4 米）。这表明MSF确实可以总体上增加GPS定位的安全性。有趣的是，我们还观察到仍然存在一些上限攻击结果，这些结果可能会导致超过2米的偏差。对于所有这些结果，我们发现GPS欺骗能够引起定位偏差成指数级增长。这是因为欺骗的GPS成为融合过程中的主要输入源，并最终导致MSF拒绝其他输入源，从而根本上破坏了MSF的设计原理。在本文中，我们称其为接管效应。然后，我们对其进行原因分析，发现只有在MSF处于相对不确定的时期时才出现这种情况，这是由于动态和不确定性的现实因素（例如传感器噪声和算法不准确）共同导致的。

这种接管漏洞对于攻击者非常有吸引力，因为它们可以利用指数级偏差增长来实现攻击目标。但是，正如之前发现的那样，脆弱时期是动态且不确定地出现的。因此，我们设计了FusionRipper，这是一种新颖的通用攻击，可通过两个阶段来尝试性地捕获和利用接管漏洞：（1）漏洞分析（评估何时出现脆弱时期），以及（2）gps欺骗攻击，利用接管效应攻击，达到定位偏差指数级增长的目标。

我们测试FusionRipper，并根据来自Apollo和KAIST Complex Urban数据集的6条真实世界的传感器轨迹对其进行评估。结果表明，当攻击可持续2分钟时，对于偏离和逆向攻击，FusionRipper始终存在一组攻击参数，分别在所有轨迹中获得至少97％和91.3％的成功率，成功时间平均超过35秒。为了了解攻击的实用性，我们用一些实际因素进行评估，例如（1）欺骗信号不准确，以及（2）AD系统控制接管。发现这两种情况下，攻击成功率只会受不到4％的影响。

此外，我们观察到攻击效果与攻击参数的选择有关。因此，为了提高实用性，我们进一步设计了一种精确的攻击参数配置方法，该方法可以收集有效参数，而在配置过程中不会引起明显的安全问题，从而保持隐蔽性。在现实世界中的跟踪结果表明，我们的方法可以有效地识别出攻击参数，偏离和逆向攻击的成功率分别为84.2％和80.7％。

攻击目标

如上文所述，我们考虑的攻击目标是向受害者AV的定位输出引入较大的横向偏差，即向左或向右偏斜。由于所有车辆都需要在其指定的车道内行驶，因此这种横向偏离会直接威胁到道路安全。特别地，在本文中，我们考虑了针对自动驾驶环境的两个具体的攻击目标：偏离攻击和逆向攻击。如下图所示，前者旨在向左或向右偏离，直到受害者驶离道路，而后者则旨在向左偏离，直到受害者驶向相反的行车道。下表列出了实现这两个目标所需的偏差，这些偏差将在我们的后续安全分析中使用。

自驾控制假设

我们假设自动驾驶系统被设计为在交通车道的中心行驶，并不断尝试纠正与中心的任何偏差。来自学术界和行业的最先进的AD系统都遵循这种设计，并使用横向控制器在控制模块中以较高的频率（例如，Apollo中为100 Hz）强制实施。这意味着，当攻击者向MSF输出（例如，图中的右侧）引入偏差时，受害者AV将主动对其进行纠正，从而导致其物理世界位置具有相同的偏差量，但方向相反（例如，在图的左侧）。

攻击模型

我们可以把上述攻击建模为以下公式：

其中，表示欺骗位置和受害者AV所在真实位置之间的距离，是没有受到攻击的MSF输出，是受到攻击的MSF输出，是LiDAR定位输出（通过LiDAR实时扫描获得的点云图与预先准备好的高精地图做比对），是IMU测量，D表示两条轨迹的横向偏差，M表示基于卡尔曼滤波器的多传感器数据融合算法，k表示迭代次数。

因此，数学的表示我们对MSF的攻击即为找到一个距离差序列，其能最大化第n次攻击下MSF输出的偏差。