您好,欢迎光临2020中国自动驾驶测试验证技术创新论坛!

Baidu Apollo 系统被愚弄“看到”不存在的障碍物

发布日期:2020-04-03

IoVSecurity

2020-04-03 13:42:06


手机阅读



对于自动驾驶汽车,没有什么比感知周围发生的事情更重要的了。像人类驾驶员一样,自动驾驶汽车也需要具有即时决策的能力。







如今,大多数自动驾驶汽车都依靠多个传感器来感知世界。大多数系统结合使用摄像头,雷达传感器和LiDAR(光检测和测距)传感器。在车上,计算机将这些数据融合在一起,以全面了解汽车周围的状况。没有这些数据,自动驾驶汽车将无法安全航行于整个世界。使用多个传感器系统的汽车既性能更好,又更安全-每个系统都可以作为对其他系统的检查-但任何系统都无法免受攻击。


不幸的是,这些系统并非万无一失。只需在交通标志上贴上贴纸以完全改变其含义,就可以欺骗基于相机的感知系统。


密歇根大学RobustNet研究小组的工作表明,基于LiDAR的感知系统也可以构成。通过策略性地欺骗LiDAR传感器信号,攻击可以使车辆基于LiDAR的感知系统欺骗“看到”不存在的障碍物。如果发生这种情况,车辆可能会因阻塞交通或突然制动而导致撞车。




欺骗LiDAR信号




基于LiDAR的感知系统具有两个组件:传感器和处理传感器数据的机器学习模型。LiDAR传感器通过发射光信号并测量该信号从物体反弹并返回传感器所需的时间来计算其与周围环境之间的距离。这种来回往返的持续时间也称为“飞行时间”。


激光雷达单元每秒发出数万个光信号。然后,其机器学习模型使用返回的脉冲来绘制车辆周围世界的图片。这类似于蝙蝠如何使用回声定位来了解夜间的障碍物。


问题是这些脉冲可能会被欺骗。为了欺骗传感器,攻击者可以将自己的光信号照射到传感器上。这就是混合传感器的全部所需。


但是,要欺骗LiDAR传感器以“看到”不存在的“车辆”则更加困难。为了取得成功,攻击者需要精确计时在受害者激光雷达上发射的信号的时间。这必须在纳秒级发生,因为信号以光速传播。当LiDAR使用测得的飞行时间计算距离时,会有微小差异。


如果攻击者成功地欺骗了LiDAR传感器,那么它还必须欺骗机器学习模型。OpenAI研究实验室所做的工作表明,机器学习模型容易受到特制信号或输入的影响-这就是所谓的对抗性示例。例如,在交通标志上专门生成的贴纸可以使基于相机的感知蒙蔽。


我们发现,攻击者可以使用类似的技术来制作对LiDAR不利的干扰。它们不会是可见的标签,而是专门创建的欺骗信号,以欺骗机器学习模型,使他们认为实际上没有障碍存在。LiDAR传感器会将黑客的虚假信号提供给机器学习模型,从而将其识别为障碍。


对抗性示例-伪造的对象-可以精心设计以满足机器学习模型的期望。例如,攻击者可能发出卡车不动的信号。然后,要进行攻击,他们可能将其设置在十字路口或放置在自动驾驶汽车前方行驶的车辆上。




两种可能的攻击




为了演示设计的攻击,我们选择了许多汽车制造商使用的自动驾驶系统:Baidu Apollo 百度阿波罗。该产品拥有100多个合作伙伴,并已与多家制造商(包括沃尔沃和福特)达成了批量生产协议。


通过使用百度阿波罗团队收集的真实传感器数据,我们演示了两种不同的攻击方式。在第一个“紧急刹车攻击”中,我们展示了攻击者如何通过诱使移动车辆认为在其路径中出现障碍物而突然将其停止。在第二次“ AV冻结攻击”中,我们使用欺骗性的障碍物欺骗了在红灯处停止的车辆,使其在灯变为绿色后仍保持停止状态。


通过利用自动驾驶感知系统的漏洞,我们希望为构建自动驾驶技术的团队触发警报。对自动驾驶系统中新型安全性问题的研究才刚刚开始,我们希望在黑客发现并利用任何漏洞之前提前能发现更多可能出现的问题。



关于作者


1. Dr. Yuling Cao是密歇根大学计算机科学与工程专业的候选人。

2. Z. Morley Mao是密歇根大学的电气工程和计算机科学教授。


来源:The Conversation






END







点击上方蓝字关注我们




  • 电话咨询
  • 021-2230 6692
  • 15021948198
None