Adv-LiDAR: 只被激光雷達所見的「障礙物」

機器之心專欄

作者：Yulong Cao近些年的研究表明，神經網路等機器學習模型可以被精心設計的對抗樣本攻擊。這些精心設計的對抗樣本可以欺騙模型輸出任意指定的輸出。在深度學習被越來越多的使用在現實生活中，尤其是對安全性要求極高的應用中的時候，這些可以欺騙模型的對抗樣本就變得尤為危險。

最近有不少研究發現，通過貼貼紙等方法可以使基於圖像的檢測器無法識別路標甚至是障礙物。然而現今絕大多數的自動駕駛平台都會使用含有激光雷達（LiDAR）的多感測器融合作為障礙物是別的解決方案。那麼在基於激光點雲的檢測器幾乎統治性佔領 KITTI 榜單的時候，只欺騙基於圖像的檢測器可能就不夠了。

然而想要改變 LiDAR 的數據卻不像改變攝像頭所拍下的圖像，只需列印貼紙那樣簡單。為此，來自密歇根大學，加州大學爾灣分校的研究人員提出 Adv-LiDAR——結合攻擊感測器和對抗學習來攻擊基於激光點雲的檢測器的新方法。

arxiv 地址：http://arxiv.org/abs/1907.06826

圖 1. Adv-LiDAR 的過程圖示

攻擊模型

作者考慮通過對 LiDAR 感測器實施欺騙攻擊來篡改激光點雲數據。這種針對 LiDAR 的感測器攻擊是由 Shin 等人提出並實現 [1]。通過這種可以添加激光點雲的感測器攻擊，作者把攻擊目標設定為：在受害者自動駕駛車輛前方較近處偽造一個「障礙物」。這樣的「障礙物」將更容易改變自動駕駛車輛的行駛決策與路徑。

圖 2. LiDAR 感測器攻擊圖示

Adv-LiDAR：安全分析新方法

作者首先嘗試了直接使用感測器攻擊來偽造「障礙物」。通過復現感測器攻擊，作者在實驗室環境內採集了可以添加的激光點雲數據，並用該採集的數據和自動駕駛汽車採集的路面數據進行合成來生成攻擊所用的激光點雲數據。作者嘗試多種實驗，通過隨機放置偽造激光點雲來進行攻擊。然而作者發現這樣並不能夠成功使基於激光點雲的目標檢測器將其識別為障礙物。作者認為可能原因是感測器攻擊產生的偽造點雲數據只有一個比較狹窄的視角（大約 8 度），其不足以直接被識別為路上的障礙物。

圖 3. 合成生成感測器攻擊所用的激光點雲圖示

為了提升感測器攻擊所能造成的影響，作者嘗試利用神經網路模型的缺陷來嘗試是否能成功使目標檢測器誤識別不存在的障礙物。為了解決該問題，作者首先需要將其表述為一個優化問題。這裡 A 代表一系列可以通過感測器攻擊來新增的激光點雲數據，而 Phi 則代表了將激光點雲預處理為模型輸入特徵的過程。

圖 4. 將攻擊目標轉化為解優化問題

在表述優化問題的過程中，作者發現可以用空間變換和一個感測器攻擊偽造的激光點雲來描述感測器攻擊新增的激光點雲數據集合。於是作者將該優化問題表述成找到一個最優的對偽造的激光點雲的空間變換方式。找到了最優的空間變換之後，就可以很容易的生成對應的激光點雲樣本。

實驗

作者在百度 apollo 自動駕駛平台上進行攻擊實驗。結果顯示攻擊偽造「看不見」的障礙物可以達到接近 75% 的成功率。作者也通過模擬模擬的方式研究了該障礙物對自動駕駛系統決策和路徑規劃造成的影響並提出了兩種不同的攻擊場景。在移動過程中，模擬結果顯示，該障礙物可以造成自動駕駛系統做出緊急剎車的決策。而對靜止等待交通燈的車輛，模擬結果顯示，由於該障礙物，無人汽車將因無法規划出正確的行進路線而停滯在原地。

圖 5. 移動中的無人車因偽造的障礙物緊急剎車

圖 6. 即使綠燈亮起也無法行進的無人車

總結

作者在這篇工作中提出 adv-LiDAR，一個用對抗學習來加強感測器攻擊進而使其能欺騙基於激光點雲的目標識別系統。該攻擊由於不可見，更加難以被人類發現和預防。現階段 adv-LiDAR 仍然受限於感測器攻擊的較高成本，不夠穩定以及其依賴於白盒攻擊的限制。我們期待著這一方向有更多的研究，為將來更安全的自動駕駛技術做好準備。

更多關於智能交通的研究詳見 https://sites.google.com/view/cav-sec/home?authuser=0

Reference[1] Shin, Hocheol, Dohyun Kim, Yujin Kwon and Yongdae Kim.「Illusion and Dazzle: Adversarial Optical Channel Exploits against Lidars for Automotive Applications.」IACR Cryptology ePrint Archive 2017 (2017): 613.

本文為機器之心專欄，轉載請聯繫本公眾號獲得授權。

?------------------------------------------------

加入機器之心（全職記者 / 實習生）：hr@jiqizhixin.com

投稿或尋求報道：content@jiqizhixin.com

廣告 & 商務合作：bd@jiqizhixin.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！