G.O.S.S.I.P 学术论文推荐 2021-08-16

admin 2021年8月16日14:25:52评论8 views字数 3196阅读10分39秒阅读模式

大家好,今天我们推荐的是来自USENIX Security 2021的一篇论文—“Dirty Road Can Attack: Security of Deep Learning based Automated Lane Centering under Physical-World Attack”  


G.O.S.S.I.P 学术论文推荐 2021-08-16


本次研究作者团队,来自加州大学尔湾分校、字节跳动和东北大学,一共6名研究人员。其中两位共同第一作者Takami Sato和Junjie Shen。三作Ningfei Wang和Qi Alfred Chen教授均来自加州大学尔湾分校,Yunhan Jack Jia研究员任职于字节跳动,Xue Lin教授任职于美国东北大学。作者们研究了「产品级L2自动驾驶系统中的自动车道居中辅助系统(ALC,Automated Lane Centering)」的安全,并且设计了脏路补丁(DRP)攻击,即通过在车道上部署「添加了对抗样本攻击生成的路面污渍图案的道路补丁」便可误导OpenPilot (开源的产品级驾驶员辅助系统) ALC系统,并使车辆在1秒内就偏离其行驶车道,远低于驾驶员的平均接管反应时间(2.5 秒),造成严重交通危害。


【背景介绍】

ALC是一种L2自动驾驶技术,可自动控制车辆方向盘以使其保持在车道中心。由于其提供的高度便利性,现如今它被广泛应用于各种车型中,例如特斯拉、通用凯迪拉克、本田雅阁、丰田RAV4、沃尔沃XC90等。尽管方便,但ALC系统需要具有较高的安全性:当ALC系统做出错误的转向决策时,人类驾驶员可能没有足够的反应时间来防止即将发生的安全隐患,例如开出路面或与相邻车道上的车辆相撞。因此,了解ALC系统的安全属性势在必行。


在ALC系统中,最关键的一步是车道线检测,它通常由基于深度神经网络(DNN)的车道线检测模型来实现。最近很多研究表明,DNN容易受到物理世界对抗性攻击,例如在交通标志上贴恶意贴纸。然而,由于两个主要的设计挑战,这些方法不能直接应用于攻击ALC系统。(1) 在ALC系统中,由于车辆行驶轨迹受攻击影响,相机的视角会逐渐向左或右偏移,捕捉不同的道路区域。所以在攻击生成的过程中需要考虑相机图片中每帧之间的相互依赖性。(2) 前人研究中的攻击优化目标函数主要针对图像分类或目标检测模型,并不能直接应用到车道线检测的这类回归模型上。


为了填补这一关键的研究空白,在这项工作中,作者们首次在物理世界对抗性攻击下对最先进的基于DNN的ALC系统在其「运行设计域(即具有完整车道线的道路)」中进行了安全分析。作者们用一个新颖的领域特定的攻击方法:「脏路补丁(DRP,Dirty Road Patches)」(如图1所示)。作者们之所以选择脏路补丁是因为现实生活中这类路面污渍非常普遍,如果攻击生成的脏路补丁类似此类路面污渍,就会较难引起人类驾驶员注意,从而让攻击更加隐蔽。图2是在加州尔湾市附近收集到的一些路面污渍图片。


G.O.S.S.I.P 学术论文推荐 2021-08-16 图1:易于部署的路面补丁和现实生活中常见的路面污渍图案


G.O.S.S.I.P 学术论文推荐 2021-08-16

 图2:加州尔湾市附近的路面污渍例子


【漏洞细节】

为了系统地生成脏路补丁,作者们采用基于优化的方法并克服上述设计挑战。图3展示了DRP攻击生成脏路补丁的流程。整个补丁生成过程结合了「车辆运动模型」和「最优化」,整个的输入是车辆在目标道路上正常行驶时的相机图片。首先,作者们利用透视变换将图片从相机视角转换到俯视视角(BEV,Bird’s Eye View)。有了俯视视角的道路图片之后,再根据车辆在道路上的纵向位置将补丁叠加到每帧图片中的相应位置。接下来,根据车辆运动模型仿真出来的车辆行驶轨迹(即车辆朝向和横向偏移)把这些俯视视角图片进行仿射变换(即旋转和平移)。然后再把这些图片通过透视变换转换回相机视角。这样,就得到了该行驶轨迹下的近似相机图片。因为通常ALC系统只需要路面的信息,将图片中的感兴趣区域(ROI,Region of Interest)截取出来当作ALC系统的输入并获得车辆方向盘角度。而方向盘角度即为车辆运动模型的输入,便能通过该模型获得新的行驶轨迹,来进行下一轮仿真。作者们根据每帧图片中ALC系统识别的车道线形状设计了一个基于车道弯曲角度的目标函数。在最优化过程中,通过计算梯度来迭代更新补丁的图案,从而最大化这个弯曲角度来实现攻击目标。为了实现更高的隐蔽性和易部署性,作者们还在脏路补丁生成过程中添加多种限制,包括(1)限制路面污渍图案为灰度图案,(2)限制亮度,(3)保证车道本身的道路线不被改变,(4)限制路面污渍图案区域等。


G.O.S.S.I.P 学术论文推荐 2021-08-16

 3:DRP攻击的脏路补丁生成流程


【攻击展示】

为了了解DRP攻击在物理世界中的可实现性和严重性,作者们在一个微缩测试场景中放置了打印的脏路补丁,并用OpenPilot官方设备(EON)进行评估(图4)。发现DRP攻击可以导致OpenPilot的道路线检测严重出错,例如图3中,添加了脏路补丁后,车道线会非常明显地偏向左边,而正常道路下检测出来的车道线和真实车道线重合度非常高。为了验证DRP攻击的鲁棒性,作者们还测试了27种不同驶入角度和横向偏移的组合,发现DRP攻击仍能保持非常高(>=95%)的攻击成功率。


G.O.S.S.I.P 学术论文推荐 2021-08-16

 图4:微缩测试场景和结果(攻击演示视频:https://youtu.be/4BXJsXcJXjE)


为了了解针对L2自动驾驶系统端到端的安全影响,作者们使用产品级的自动驾驶模拟器LGSVL进一步评估DRP攻击(图5)。在100次运行中,脏路补丁对部署了OpenPilot的自动驾驶车造成100%的车辆碰撞率。比之下,正常道路的碰撞率为0%。


G.O.S.S.I.P 学术论文推荐 2021-08-16 图5:仿真验证结果(攻击演示视频:https://youtu.be/UFTRMMu1YxU)


为了了解现有的车辆主动安全技术对DRP攻击的影响,如图6所示,作者们将攻击数据(即受攻击时的到路线检测结果)直接注入到部署了OpenPilot的真车(2019年款丰田凯美瑞)上,测试车辆受攻击情况下能否真正偏出车道并撞上障碍物(纸箱)。尽管该车本身自带车道偏移预警(LDW),自动紧急刹车(AEB)和前方碰撞预警(FCW)等主动安全技术,在10次试验中作者们发现DRP攻击可以造成100%的碰撞率,并且LDW从未被触发。其中,FCW被触发了5次,但是由于FCW只起到预警作用,并未能防止碰撞的发生。另外FCW的平均触发时间是在碰撞发生前0.46秒,相比于人类驾驶员的2.5秒平均反应时间,绝大部分驾驶员就算想要接管车辆也太晚了。


G.O.S.S.I.P 学术论文推荐 2021-08-16

 图6:基于注入攻击数据的真车碰撞试验(演示视频:https://youtu.be/zQ8eb4g8Afw)


在论文中,作者们还探讨可能的防御措施,比如基于DNN对抗样本攻击的防御措施和基于传感器/数据融合的防御措施。作者们评估了DRP在五种常见的防御DNN对抗样本攻击的方法下的有效性,比如添加高斯噪声、JPEG的压缩等等,但发现由于这些防御都是针对像素级别人眼不可见的DNN攻击的,他们对于物理世界模仿自然污渍的攻击并不奏效。对于基于传感器/数据融合的防御措施,主要问题是成本太高且难以扩展,比较难在短期内部署。由于需要更多的研究来实现这样的防御措施,作者们提出了短期缓解措施:建议至少应该把路面污渍和脏路补丁放到ALC系统现阶段不可处理的场景列表中。作者们检查了11家公司的ALC手册(例如特斯拉、通用Cruise、OpenPilot、本田Sensing和丰田LTA),目前没有一家公司在他们不可处理的场景列表中列出路面污渍或脏路补丁。作者们认为,这种明确在手册中提及的方法至少可以有助于用户提前认识到风险,从而更可能主动观察去避免遭到DRP攻击。


原文PDF: https://arxiv.org/abs/2009.06701


原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 学术论文推荐 2021-08-16

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年8月16日14:25:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   G.O.S.S.I.P 学术论文推荐 2021-08-16https://cn-sec.com/archives/923506.html

发表评论

匿名网友 填写信息