Yulong Cao作者

Adv-LiDAR: 只被激光雷达所见的「障碍物」

arxiv 地址:http://arxiv.org/abs/1907.06826

引言

近些年的研究表明,神经网络机器学习模型可以被精心设计的对抗样本攻击。这些精心设计的对抗样本可以欺骗模型输出任意指定的输出。在深度学习被越来越多的使用在现实生活中,尤其是对安全性要求极高的应用中的时候,这些可以欺骗模型的对抗样本就变得尤为危险。

最近有不少研究发现,通过贴贴纸等方法可以使基于图像的检测器无法识别路标甚至是障碍物。然而现今绝大多数的自动驾驶平台都会使用含有激光雷达(LiDAR)的多传感器融合作为障碍物是别的解决方案。那么在基于激光点云的检测器几乎统治性占领KITTI榜单的时候,只欺骗基于图像的检测器可能就不够了。

然而想要改变LiDAR的数据却不像改变摄像头所拍下的图像,只需打印贴纸那样简单。为此,来自密歇根大学,加州大学尔湾分校的研究人员提出Adv-LiDAR——结合攻击传感器和对抗学习来攻击基于激光点云的检测器的新方法。

图1. Adv-LiDAR的过程图示

攻击模型

作者考虑通过对LiDAR传感器实施欺骗攻击来篡改激光点云数据。这种针对LiDAR的传感器攻击是由Shin等人提出并实现[1]。通过这种可以添加激光点云的传感器攻击,作者把攻击目标设定为:在受害者自动驾驶车辆前方较近处伪造一个“障碍物”。这样的“障碍物”将更容易改变自动驾驶车辆的行驶决策与路径。

图2.  LiDAR传感器攻击图示

Adv-LiDAR:安全分析新方法

作者首先尝试了直接使用传感器攻击来伪造“障碍物”。通过复现传感器攻击,作者在实验室环境内采集了可以添加的激光点云数据,并用该采集的数据和自动驾驶汽车采集的路面数据进行合成来生成攻击所用的激光点云数据。作者尝试多种实验,通过随机放置伪造激光点云来进行攻击。然而作者发现这样并不能够成功使基于激光点云的目标检测器将其识别为障碍物。作者认为可能原因是传感器攻击产生的伪造点云数据只有一个比较狭窄的视角(大约8度),其不足以直接被识别为路上的障碍物。

图3. 合成生成传感器攻击所用的激光点云图示

为了提升传感器攻击所能造成的影响,作者尝试利用神经网络模型的缺陷来尝试是否能成功使目标检测器误识别不存在的障碍物。为了解决该问题,作者首先需要将其表述为一个优化问题。这里A代表一系列可以通过传感器攻击来新增的激光点云数据,而Phi则代表了将激光点云预处理为模型输入特征的过程。

图4.  将攻击目标转化为解优化问题

在表述优化问题的过程中,作者发现可以用空间变换和一个传感器攻击伪造的激光点云来描述传感器攻击新增的激光点云数据集合。于是作者将该优化问题表述成找到一个最优的对伪造的激光点云的空间变换方式。找到了最优的空间变换之后,就可以很容易的生成对应的激光点云样本。

实验

作者在百度apollo自动驾驶平台上进行攻击实验。结果显示攻击伪造“看不见”的障碍物可以达到接近75%的成功率。作者也通过模拟仿真的方式研究了该障碍物对自动驾驶系统决策和路径规划造成的影响并提出了两种不同的攻击场景。在移动过程中,模拟结果显示,该障碍物可以造成自动驾驶系统做出紧急刹车的决策。而对静止等待交通灯的车辆,模拟结果显示,由于该障碍物,无人汽车将因无法规划出正确的行进路线而停滞在原地。

图5.  移动中的无人车因伪造的障碍物紧急刹车图6.  即使绿灯亮起也无法行进的无人车

总结

作者在这篇工作中提出adv-LiDAR,一个用对抗学习来加强传感器攻击进而使其能欺骗基于激光点云的目标识别系统。该攻击由于不可见,更加难以被人类发现和预防。现阶段adv-LiDAR仍然受限于传感器攻击的较高成本,不够稳定以及其依赖于白盒攻击的限制。我们期待着这一方向有更多的研究,为将来更安全的自动驾驶技术做好准备。

更多关于智能交通的研究详见https://sites.google.com/view/cav-sec/home?authuser=0

Reference

[1] Shin, Hocheol, Dohyun Kim, Yujin Kwon and Yongdae Kim. “Illusion and Dazzle: Adversarial Optical Channel Exploits against Lidars for Automotive Applications.” IACR Cryptology ePrint Archive 2017 (2017): 613.

智能交通安全
智能交通安全

自动驾驶安全,车联网安全

理论沉浸式技术自动驾驶技术智能硬件3D视觉自动驾驶对抗学习
相关数据
深度学习技术

深度学习(deep learning)是机器学习的分支,是一种试图使用包含复杂结构或由多重非线性变换构成的多个处理层对数据进行高层抽象的算法。 深度学习是机器学习中一种基于对数据进行表征学习的算法,至今已有数种深度学习框架,如卷积神经网络和深度置信网络和递归神经网络等已被应用在计算机视觉、语音识别、自然语言处理、音频识别与生物信息学等领域并获取了极好的效果。

自动驾驶技术技术

从 20 世纪 80 年代首次成功演示以来(Dickmanns & Mysliwetz (1992); Dickmanns & Graefe (1988); Thorpe et al. (1988)),自动驾驶汽车领域已经取得了巨大进展。尽管有了这些进展,但在任意复杂环境中实现完全自动驾驶导航仍被认为还需要数十年的发展。原因有两个:首先,在复杂的动态环境中运行的自动驾驶系统需要人工智能归纳不可预测的情境,从而进行实时推论。第二,信息性决策需要准确的感知,目前大部分已有的计算机视觉系统有一定的错误率,这是自动驾驶导航所无法接受的。

激光雷达技术

自动驾驶车辆传感器的一种,采用激光扫描和测距来建立车辆周围环境的详细三维模型。Lidar 图像具有高度准确性,这使得它可以与摄像头、超声波探测器和雷达等常规传感器相提并论。然而激光传感器面临体积过大的问题,同时,它的机械结构非常复杂。

机器学习技术

机器学习是人工智能的一个分支,是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、计算复杂性理论等多门学科。机器学习理论主要是设计和分析一些让计算机可以自动“学习”的算法。因为学习算法中涉及了大量的统计学理论,机器学习与推断统计学联系尤为密切,也被称为统计学习理论。算法设计方面,机器学习理论关注可以实现的,行之有效的学习算法。

自动驾驶汽车技术

自动驾驶汽车,又称为无人驾驶汽车、电脑驾驶汽车或轮式移动机器人,是自动化载具的一种,具有传统汽车的运输能力。作为自动化载具,自动驾驶汽车不需要人为操作即能感测其环境及导航。

规划技术

人工智能领域的「规划」通常是指智能体执行的任务/动作的自动规划和调度,其目的是进行资源的优化。常见的规划方法包括经典规划(Classical Planning)、分层任务网络(HTN)和 logistics 规划。

神经网络技术

(人工)神经网络是一种起源于 20 世纪 50 年代的监督式机器学习模型,那时候研究者构想了「感知器(perceptron)」的想法。这一领域的研究者通常被称为「联结主义者(Connectionist)」,因为这种模型模拟了人脑的功能。神经网络模型通常是通过反向传播算法应用梯度下降训练的。目前神经网络有两大主要类型,它们都是前馈神经网络:卷积神经网络(CNN)和循环神经网络(RNN),其中 RNN 又包含长短期记忆(LSTM)、门控循环单元(GRU)等等。深度学习是一种主要应用于神经网络帮助其取得更好结果的技术。尽管神经网络主要用于监督学习,但也有一些为无监督学习设计的变体,比如自动编码器和生成对抗网络(GAN)。

路径规划技术

路径规划是运动规划的主要研究内容之一。运动规划由路径规划和轨迹规划组成,连接起点位置和终点位置的序列点或曲线被称为路径,构成路径的策略则被称为路径规划。路径规划在很多领域都具有广泛的应用,如机器人的自主无碰行动;无人机的避障突防飞行等。

对抗样本技术

对抗样本是一类被设计来混淆机器学习器的样本,它们看上去与真实样本的几乎相同(无法用肉眼分辨),但其中噪声的加入却会导致机器学习模型做出错误的分类判断。

百度机构

百度(纳斯达克:BIDU),全球最大的中文搜索引擎、最大的中文网站。1999年底,身在美国硅谷的李彦宏看到了中国互联网及中文搜索引擎服务的巨大发展潜力,抱着技术改变世界的梦想,他毅然辞掉硅谷的高薪工作,携搜索引擎专利技术,于 2000年1月1日在中关村创建了百度公司。 “百度”二字,来自于八百年前南宋词人辛弃疾的一句词:众里寻他千百度。这句话描述了词人对理想的执着追求。 百度拥有数万名研发工程师,这是中国乃至全球最为优秀的技术团队。这支队伍掌握着世界上最为先进的搜索引擎技术,使百度成为中国掌握世界尖端科学核心技术的中国高科技企业,也使中国成为美国、俄罗斯、和韩国之外,全球仅有的4个拥有搜索引擎核心技术的国家之一。

http://home.baidu.com/
目标检测技术

一般目标检测(generic object detection)的目标是根据大量预定义的类别在自然图像中确定目标实例的位置,这是计算机视觉领域最基本和最有挑战性的问题之一。近些年兴起的深度学习技术是一种可从数据中直接学习特征表示的强大方法,并已经为一般目标检测领域带来了显著的突破性进展。

推荐文章
暂无评论
暂无评论~