摘要
对于高级自动驾驶汽车(AV),定位是高度安全的关键。对它的一个直接威胁是GPS欺骗,但幸运的是,AV系统如今主要使用多传感器融合(MSF)算法,人们普遍认为这有可能实际击败GPS欺骗。然而,之前没有工作研究过MSF算法在GPS欺骗下是否确实足够安全,特别是在AV设置下。在本文中,我们进行的第一个研究是填补这一关键的空白。作为第一个研究,我们以一个具有设计和实现两种代表性的生产级MSF为研究对象,确定了两种特定的AV攻击目标:偏离道路攻击*(off-road)* 和错误道路攻击*(wrong-way)*。
为了系统地了解其安全性,我们首先分析了上限攻击*(upper-bound)的有效性,并发现了一种能够从根本上击败MSF设计原则的接管效应(take-over effect)*。我们进行了原因分析,发现这样的漏洞表现出动态性和不确定性。利用这一特点,我们设计了FusionRipper,一种新颖、普遍的攻击,适时地捕捉和利用接管漏洞(take-over vulnerabilities)。我们在6条真实世界的传感器轨迹上进行评估,发现FusionRipper在所有轨迹上对越野攻击和错路攻击的成功率分别至少达到97%和91.3%。我们还发现,它对实际因素,如欺骗的不准确性是高度鲁棒的。为了提高实用性,我们进一步设计了一种离线方法,对两个攻击目标均能有效识别攻击参数,平均成功率超过80%,且最多花费半天。我们还讨论了有前景的防守方向。
1. 简介
如今,许多公司都在开发高级自动驾驶汽车,如四级自动驾驶汽车,其中一些公司已经在公共道路上提供服务,如谷歌Waymo One的自动驾驶出租车和TuSimple的自动驾驶卡车。为了实现这样高水平的驾驶自动化,自动驾驶系统(AD)不仅需要感知周围的障碍物,还需要厘米级的全球定位。这种定位功能在自动驾驶环境下具有高度的安全性,因为定位错误会直接导致一辆自动驾驶汽车偏离道路或走上错误的道路。因为在高级的自动驾驶系统中,感知模块只用于障碍检测,而定位模块全权负责识别道路偏差,即使感知模块功能完美,它也不能防止定位错误带来的各种道路上的危险,例如驶离道理撞到围栏,跌落高速公路的悬崖,或被其他无法掌控的车辆撞到,尤其是当自动驾驶汽车处于一条错误的道路。然而,最近的自动驾驶系统安全性研究集中在系统感知模块上,例如交通标志上的恶意贴纸,这使得自动驾驶系统的定位安全成为一个开放的问题。
对于一般的户外定位来说,GPS是定位源,因此对其构成直接威胁的是GPS欺骗,这是一个长期存在但仍未解决的安全问题,其实用性已在广泛的终端系统上得到验证,包括低自主性的自动驾驶汽车,如特斯拉*(Tesla cars)*。幸运的是,为了实现鲁棒定位,当今世界的高级自动驾驶系统主要使用多传感器融合(Multi-Sensor Fusion, MSF)算法,将GPS输入与其他传感器的输入相结合,通常是IMU(惯性测量单元)和LiDAR(光探测和测距)。由于在这样的设计中,单靠GPS输入并不能决定定位输出,因此一般认为它具有抵抗GPS欺骗干扰的潜力。然而,最先进的MSF算法主要是为了提高准确性和鲁棒性而设计的,而不是为了提高安全性。因此,在很大程度上,它们在GPS欺骗下的安全性不得而知。鉴于MSF在自动驾驶汽车中的广泛应用以及对道路安全的重要性,尽早系统地了解这一点是非常必要的。
为了填补这一关键的研究空白,本研究首次对基于MSF的定位在自动驾驶环境中的安全性进行了研究。由于GPS欺骗是对MSF输入源最成熟的攻击矢量之一,因此我们将其作为该方向的第一个研究对象。
我们关注生产级MSF实现——百度Apollo MSF (BA-MSF),由于其在设计(基于KF的MSF)和实现(由真实世界的无人驾驶汽车评估的厘米级精度)方面的高度代表性,将在后续§2.1中详细介绍。我们认为攻击目标是利用GPS欺骗干扰在MSF输出中造成较大的横向偏离,即向左或向右偏离。这可能会导致自动驾驶汽车偏离道路或走上错误的道路,我们分别称之为偏离道路攻击*(off-road)和错误道路攻击(wrong-way)*。
为了系统地了解其安全性,由于BA-MSF以二进制形式发布,我们首先通过动态黑盒分析来分析上界攻击的有效性。我们发现,在真实的轨迹中,即使是这样的上界攻击结果,大部分(71%)也只能造成小于50 cm的偏差,远远不能造成偏离式和错路攻击(分别需要超过90 cm和2.4 m)。这表明MSF确实可以大体上增强抵御GPS欺骗的安全性。有趣的是,我们也观察到仍然存在一些上界攻击结果,可以造成超过2米的偏差。对所有这些方法,我们发现GPS欺骗干扰能够导致偏差的指数增长。这种偏差使得被欺骗的GPS在融合过程中成为主导的输入源,并最终导致MSF拒绝其他输入源,从而从根本上违背了MSF的设计原则。在本文中,我们称之为接管效应*(take-over effect)*。然后我们进行原因分析,发现这只会出现在MSF处于相对不确定的时期,由于动态和不确定的现实世界因素的结合,如传感器噪声和算法不准确。
这种接管漏洞对于攻击者来说非常有吸引力,因为他们可以利用指数偏差增长来实现任意的偏差目标。然而,正如前面所发现的,脆弱期是动态且不确定的。因此,我们设计了一种新颖的、普遍的攻击方法FusionRipper,它适时地捕捉和利用接管漏洞,分为两个阶段:(1)漏洞分析,它衡量何时出现脆弱期;(2)侵略性欺骗,它执行指数欺骗来利用接管机会。
我们实现了FusionRipper,并在来自Apollo和KAIST复杂城市数据集的6个真实世界的传感器轨迹上评估它。研究结果表明,在攻击持续2分钟的情况下,始终存在一组FusionRipper的攻击参数,对于偏离道路攻击和错误道路攻击,在所有路径上分别达到至少97%和91.3%的成功率,平均成功时间小于35秒。为了了解攻击的实用性,我们用实际因素进行评估:欺骗干扰的不准确性和AD控制的有效性,发现两种情况下攻击成功率的影响都小于4%。端到端的攻击演示显示在https://sites.google.com/view/cav-sec/fusionripper
此外,我们观察到攻击的有效性对攻击参数的选择是敏感的。因此,为了提高实用性,我们进一步设计了一种离线攻击参数分析方法,该方法可以在分析过程中收集有效参数,而不会造成明显的安全问题,从而保持隐身性。在真实轨迹上的实验结果表明,该方法能够有效识别攻击参数,对偏离道路攻击和错误道路攻击的识别成功率分别为84.2%和80.7%,分析代价最多为半天。
考虑到定位对于安全和正确的无人自动驾驶的关键作用,发现对最先进MSF算法的攻击需要立即关注和讨论。为了促进这一点,我们还讨论了长期和短期的防御方向。
总的来说,本工作做出了以下贡献:
- 在GPS欺骗干扰下,我们首次对基于MSF的高级别自动驾驶定位进行了安全性研究。我们将重点放在具有设计和实现级别代表性的产品级MSF上,并确定针对AV设置的两个特定攻击目标。
- 我们分析了上限攻击的有效性,并发现了一个接管效应,可以从根本上击败MSF设计原则。我们进一步进行了原因分析,发现这样的漏洞只会动态和不确定地出现。
- 我们设计了FusionRipper,一个新颖、普遍的攻击,适时地捕捉和利用接管漏洞,我们发现。我们在6条真实世界的传感器轨迹上评估了它,发现它对于偏离道路攻击和错误道路攻击都能达到很高的有效性(超过97%和91.3%的成功率)。我们还发现,这种高效率对各种实际因素都是鲁棒的。
- 为了提高攻击的实用性,我们进一步设计了一种离线攻击参数分析方法,对偏离道路攻击和错误道路攻击分别能有效识别攻击参数,识别成功率为84.2%和80.7%,分析成本最多半天。我们还讨论了有前景的防御方向。
2.背景介绍
2.1AD(自动驾驶系统)定位和多传感器融合
在现实世界的高级自动驾驶系统设计中,定位是一个关键模块,需要根据定位传感器的输入实时计算车辆在地图上的全球位置。如图1所示,它的输出被AD系统中其他各个模块使用,如感知模块检测障碍物,规划模块进行驾驶决策,控制模块执行这些决策。这直接影响到自动驾驶的各个关键决策步骤,因此本地化输出具有很高的安全性。
为了保证安全正确的驾驶,AD定位不仅需要在车道水平上具有厘米级的精度,还需要在各种道路和天气条件下具有较高的鲁棒性。因此,基于多传感器融合(Multi-Sensor Fusion, MSF)的设计已经成为学术界和业界的主流,因为它可以融合多个独立的定位传感器,如GPS、IMU、LiDAR,从而产生总体上更高的精度和鲁棒性的结果。例如,现在的AV级GPS接收器通过地面站的误差校正,可以达到厘米级的定位精度。然而,由于大气延迟和多径效应(multi-path effect)等自然现象,GPS信号质量容易降低。基于激光雷达的定位算法,即激光雷达定位器,将激光扫描与高清地图中预先生成的图像匹配,以提供高精度定位。然而,这种匹配的性能很容易受到恶劣天气条件的影响,如下雨或雾,也会受到未及时更新的高清地图的影响。因此,MSF的目标是利用这些不同来源的优势,同时弥补它们的弱点。
基于卡尔曼滤波(KF)的MSF及其代表性
在基于MSF的AD系统定位算法中,基于KF的MSF在学术界和业界应用最广泛,具有最先进的性能。为了具体展示其代表性,我们对最近2年来自顶级机器人会议(top-tier robotics conferences)的基于MSF的定位论文进行了综述。如表1所示,18篇论文中有14篇(77.8%)采用基于KF的MSF,显示了在MSF设计中明显的优势。在Udacity和Coursera的所有自动驾驶汽车课程中,都教授了相关知识,这也体现了它的代表性。
KF是一种贝叶斯滤波器,它从传感器测量分布中计算出具有最低不确定度的最优状态分布。在AD定位的背景下,状态由车辆的位置、速度和姿态(PVA)及其不确定性(或协方差或方差矩阵)组成。具体来说,KF迭代应用两个步骤:预测和更新,如图1所示。在预测步骤中,由IMU得到的加速度和角速度集成KF生成一个中间状态(图中黑色箭头1)。在更新步骤中,KF从GPS或激光雷达得到位置信息,并基于不确定性的状态和测量更新一小部分KF状态。较大的KF状态不确定度或较小的测量不确定度将导致更多的KF状态的更新。
异常值检测(Outlier detection)
为了防止KF状态被现实世界中偶尔太大的噪声的测量干扰,KF更新通常被一个异常值检测器限定。图1显示了一个由于位置偏离KF状态太多而丢弃GPS测量结果的例子。卡方检验是应用最广泛的KF异常值检测器之一,当卡方检验值大于统计显著性阈值(通常为3.841)时,将测量值视为异常值。异常测量值可以被丢弃或部分更新。
有针对性的MSF实现和代表性
在本文中,我们从实用性和现实性的角度对具体的MSF实现进行了安全性研究。特别地,我们的主要目标是来自百度阿波罗(Baidu Apollo)团队的MSF的设计和实现,我们称之为BA-MSF。它发表在ICRA 2018,一个顶级机器人会议,遵循基于KF的MSF设计,使用高端GPS、LiDAR和IMU,以卡方检验作为符合惯例的异常值检测器。如前所述,这种设计在当今基于MSF的无人驾驶定位中最具代表性(表1)。
除了设计之外,BA-MSF的实现在当今基于MSF的无人驾驶系统定位中也具有高度代表性:它已经在各种具有挑战性的场景,例如城市市区、公路、隧道等进行了无人驾驶汽车编队的测试,在最近2年顶级机器人会议的所有基于MSF定位的论文中(包括基于KF和不基于KF),表现出最高的定位精度(0.054米)。今天,它已经被百度阿波罗团队采用,这是目前在中国提供自动驾驶出租车服务的生产级无人驾驶系统。
除了BA-MSF,我们还考虑了另外两个开源可用的基于KF的MSF,用于一般性评估(§6.4)。我们遵循常见的参数调整过程,但最多只能达到1-2米的精度,远低于AD系统要求的厘米级精度。因此,在我们的大多数实验中,我们以BA-MSF为目标,因为它更具有AD系统的代表性。
2.2GPS欺骗和实用性
由于基础设施中缺乏信号认证,GPS欺骗一直是民用GPS系统的一个基本问题。在GPS欺骗中,攻击者发送比真实GPS信号更强的功率的GPS信号,从而导致受害者接收机锁定攻击者的信号,并相信由攻击者提供的位置。GPS欺骗在理论上和经验上都是可行的。到目前为止,它已经在智能手机、游艇、无人机等各种终端系统上进行了演示,最近还在特斯拉汽车等低级无人驾驶汽车上进行了演示。最近,一项长达一年的调查发现,自2016年以来,俄罗斯发生了9883起GPS欺骗事件,影响了1311个民用船舶系统。虽然GPS欺骗器在美国是非法销售的,但它们可以从商用的现成组件中廉价制造出来。例如,一个低端欺骗器的价格为223美元,而能够同时跟踪10个以上卫星并传输10个以上虚假GPS信号的高端欺骗器的价格仅相当于一台笔记本电脑。考虑到GPS欺骗的低成本与简易实现,本文将其作为一种实用的AD定位攻击向量。
3.攻击模型和问题规划
3.1攻击目标和激励
攻击目标
在本文中,我们针对的攻击场景是,攻击车辆在发动GPS欺骗攻击时尾随被攻击的无人驾驶汽车,根据之前使用真实车辆的工作评估,哪种攻击既实用又有效。在这种情况下,我们考虑的攻击目标是引入较大的横向偏移到被攻击车辆的定位输出,即向左或向右偏移。由于所有车辆都需要在指定的车道内行驶以保证安全,这种横向偏移可能会对道路安全构成直接威胁。
特别是,在本文中,我们针对无人驾驶汽车环境考虑了两个具体的攻击目标:偏离道路攻击和错误道路攻击。如图2所示,前者的目标是向左或向右偏离,直到被攻击者驶离预定道路;后者的目标是向左偏离,直到被攻击者驶上相反的车道。表2列出了实现这两个目标所需的偏差,我们将在后续的安全性分析中继续应用。
在无人驾驶汽车(AV)环境中,这两个攻击目标会导致各种针对定位错误的安全危险,如驶离道路撞上路障或跌落高速公路的悬崖。由于在高级无人驾驶(AD)系统中,感知模块仅用于障碍物检测,定位模块仅负责道路偏移的识别,因此即使感知模块功能良好,这些危险也无法避免。而且,即使高级无人驾驶(AD)系统直接使用感知传感器(如摄像头和超声波传感器)来避免碰撞,这种危险也无法避免。这两个攻击目标也可能导致车辆碰撞,例如与相邻或对面车道的车辆发生碰撞。即使无人驾驶汽车能够进行自动紧急刹车,也无法避免被其他未能及时让行的车辆,特别是驾驶员平均反应时间超过2秒的人工驾驶车辆撞击。
攻击动机
无论是否发生交通事故,被攻击的无人驾驶汽车在两个攻击目标下已经违反了交通规则,表现出不安全驾驶行为。这些已经损害了相应生成无人驾驶汽车(AV)公司的声誉。因此,一种可能的攻击动机是商业竞争,它可以让AV公司故意损害其竞争对手公司的声誉,从而不公平地获得竞争优势。尤其在当下,有超过40家公司在竞争无人驾驶汽车市场,这一点动机尤为现实。同时,考虑到直接的安全影响,我们也不能排除恐怖袭击或有针对性的谋杀的可能动机,例如针对平民,或有争议的政客或名人。
3.2威胁模型
攻击者的能力
我们假设攻击者可以启动GPS欺骗来控制被攻击者的GPS接收机的定位数据,具有与自然GPS信号相似的测量不确定性水平。我们还假设在攻击车辆尾随过程中,攻击者可以实时跟踪被攻击者的物理位置。这可以通过计算攻击车辆自身的位置并将其与攻击车辆与被攻击车辆之间的相对位置相抵消来实现。一个具体的场景是,攻击车辆也是一辆带有类似传感器的无人驾驶汽车,并运行最先进的AD定位算法进行自身定位,运行AD感知算法计算相对位置。在这种情况下,攻击者可以准确跟踪被攻击者的位置,因为对于无人驾驶汽车来说,实时精确跟踪周围障碍物的位置是确保正确安全驾驶的最基本任务之一。当攻击来自竞争对手公司时,这种情况尤其现实。
无人驾驶汽车控制假设
我们假设无人驾驶系统被设计成在交通车道的中心行驶,并且不断纠正驶离中心的偏移。学术界和工业界的最先进的AD系统都遵循这种设计,并在控制模块中使用横向控制器*(lateral controllers )*以高频率强制执行(例如阿波罗为100赫兹)。这意味着,当攻击者引入偏移到MSF输出中(例如图2),被攻击者将积极修正驶离中心的偏移,从而导致其物理位置有相同数量的偏移,但方向相反(例如,左边的图2)。
3.3攻击简述
基于上述攻击模型,我们的攻击可以表述为以下优化问题:
如上所示,从数学上讲,我们对MSF的攻击就是寻找一系列欺骗距离使偏差D最大。
4.MSF算法的安全性分析
为了系统地了解基于MSF的无人驾驶定位系统的安全特性,我们从必要的第一步开始:在攻击公式下,了解上限值攻击有效性,即最大可能偏差。
4.1上限攻击有效性
分析方法
为分析上界攻击的有效性,我们基于BA-MSF算法,对可能的MSF输入进行彻底搜索,使偏差D达到最大。我们没有选择使用优化器,因为BA-MSF实现是以二进制形式发布的,因此我们不能直接得到它的解析公式。对于我们分析中的给定传感器输入轨迹,有多个可能的攻击窗口,即从一个GPS输入到另一个之后。
4836
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
