路面污渍也能用来攻击！基于深度学习的自动车道居中辅助系统的安全研究

2022年1月14日08:00:56评论50 views字数 4018阅读13分23秒阅读模式

本文研究内容来自加州大学尔湾分校（UC Irvine）的一个专攻自动驾驶和智能交通的安全研究团队。该团队一项工作的成果报告在8月13日正式发表在USENIX Security 2021（计算机安全四大顶会之一），且该工作的早期版本获得了NDSS 2020（计算机安全四大顶会之一）Best Technical Poster Award。

研究主要展示了产品级L2自动驾驶系统中的自动车道居中辅助系统（ALC，Automated Lane Centering）的安全。L2自动驾驶车通常利用深度神经网络（DNN）的车道检测来实现ALC。由于DNN模型对对抗性样本攻击的脆弱性已被广泛报道，该团队首次在物理世界对抗性样本攻击下对最先进的基于DNN的ALC系统在其运行设计域（即具有完整车道线的道路）中进行了安全分析。

研究发现，DNN模型层面的漏洞可以导致整个 ALC 系统层面的攻击效果。团队设计了脏路补丁（DRP）攻击，即通过在车道上部署，添加了对抗样本攻击生成的路面污渍图案的道路补丁，便可误导OpenPilot （开源的产品级驾驶员辅助系统） ALC系统，并使车辆在1秒内就偏离其行驶车道，远低于驾驶员的平均接管反应时间（2.5 秒），造成严重交通危害。相关材料详见本文最后。

作者：Takami Sato*, Junjie Shen*, Ningfei Wang, Yunhan Jack Jia, Xue Lin, Qi Alfred Chen (* Co-first Authors)

研究工作概览和亮点

ALC是一种L2自动驾驶技术，可自动控制车辆方向盘以使其保持在车道中心。由于其提供的高度便利性，现如今它被广泛应用于各种车型中，例如特斯拉、通用凯迪拉克、本田雅阁、丰田RAV4、沃尔沃XC90等。尽管方便，但ALC系统需要具有较高的安全性：当ALC系统做出错误的转向决策时，人类驾驶员可能没有足够的反应时间来防止即将发生的安全隐患，例如开出路面或与相邻车道上的车辆相撞。因此，了解ALC系统的安全属性势在必行。

在ALC系统中，最关键的一步是车道线检测，它通常由基于深度神经网络（DNN）的车道线检测模型来实现。最近很多研究表明，DNN容易受到物理世界对抗性攻击，例如在交通标志上贴恶意贴纸。然而，由于两个主要的设计挑战，这些方法不能直接应用于攻击ALC系统。

(1) 在ALC系统中，由于车辆行驶轨迹受攻击影响，相机的视角会逐渐向左或右偏移，捕捉不同的道路区域。所以在攻击生成的过程中需要考虑相机图片中每帧之间的相互依赖性。

(2) 前人研究中的攻击优化目标函数主要针对图像分类或目标检测模型，并不能直接应用到车道线检测的这类回归模型上。

为了填补这一关键的研究空白，在这项工作中，该团队首次在物理世界对抗性攻击下对最先进的基于DNN的ALC系统在其「运行设计域（即具有完整车道线的道路）」中进行了安全分析。用一个新颖的领域特定的攻击向量：「脏路补丁（DRP，Dirty Road Patches）」（如图1所示）。

之所以选择脏路补丁是因为现实生活中这类路面污渍非常普遍，如果攻击生成的脏路补丁类似此类路面污渍，就会较难引起人类驾驶员注意，从而让攻击更加隐蔽。图2是研究团队在加州尔湾市附近收集到的一些路面污渍图片。