Neue Verteidigungsmethode für LiDAR gegen Angriffe
Ein neuer Prädiktor schützt das automatisierte Fahren vor manipulierten Hindernissen.
― 8 min Lesedauer
Inhaltsverzeichnis
- Das Problem der Auftauchangriffe
- Unser Ansatz: Lokaler Objektivitätsvorhersager
- Hintergrund zur LiDAR-Technologie
- Die Rolle von 3D-Objekterkennungen
- Verständnis von adversarialen Beispielen
- Arten von Angriffen auf LiDAR-Systeme
- Aktuelle Verteidigungen und ihre Einschränkungen
- Unsere Verteidigungsstrategie
- Training des Lokalen Objektivitätsvorhersagers
- Ergebnisse und Bewertung
- Anwendungen in der realen Welt
- Herausforderungen und zukünftige Richtungen
- Fazit
- Originalquelle
- Referenz Links
Automatisierte Fahrzeugsysteme setzen auf Technologie, die den Autos hilft, ihre Umgebung zu verstehen. Ein wichtiger Teil dieser Technik ist die Fähigkeit, Objekte um sie herum mit Sensoren wie LiDAR zu erkennen. LiDAR sammelt Datenpunkte, die Objekte im 3D-Raum darstellen. Allerdings kann eine neue Art von Angriff diese Systeme dazu bringen, zu glauben, dass falsche Objekte, wie nicht existente Autos, in ihrer Umgebung sind. Das kann zu gefährlichen Situationen auf der Strasse führen, wie plötzlichen Stopps oder Staus.
Aktuelle Möglichkeiten, diese Systeme zu schützen, konzentrieren sich oft auf statistische Methoden, die nicht alle Arten von Angriffen gut abdecken. Sie könnten nur gegen bestimmte Bedrohungen wirken oder auf bestimmten Regeln basieren, die ihre Effektivität einschränken können. Um Sicherheit und Zuverlässigkeit zu verbessern, ist es wichtig, eine flexiblere Abwehrmethode zu entwickeln.
Das Problem der Auftauchangriffe
Untersuchungen haben gezeigt, dass Angreifer mit nur wenigen irreführenden Punkten in den von LiDAR gesammelten Daten falsche Hindernisse, wie nicht existente Autos, erstellen können. Das nennt man einen "Auftauchangriff". Eine gängige Taktik bei diesen Angriffen besteht darin, die falschen Autos so glaubwürdig zu machen, dass das Fahrzeugsystem den Unterschied nicht leicht erkennen kann.
Es wurden zwei wesentliche Schwächen in diesen Angriffen festgestellt. Erstens zeigen die lokalen Details dieser falschen Hindernisse oft klare Unterschiede im Vergleich zu echten Objekten. Zweitens gibt es physikalische Regeln, die die Tiefe eines Objekts oder den Abstand zum Sensor mit der Dichte seiner Punktwolke verbinden. Echte Autos zeigen normalerweise eine spezifische Beziehung zwischen ihrer Tiefe und Punktdichte, die gefälschte Autos schwer reproduzieren können.
Unser Ansatz: Lokaler Objektivitätsvorhersager
Um dieses Problem anzugehen, schlagen wir ein neues Modul vor, das neben bestehenden LiDAR-basierten Objekterkennungen arbeitet. Dieses Modul soll helfen, diese gefälschten Hindernisse zu erkennen und zu entfernen. Unsere Lösung heisst Lokaler Objektivitätsvorhersager (LOP). Dieser Vorhersager bewertet die Wahrscheinlichkeit, dass bestimmte Teile eines Objekts zu einem echten Objekt gehören.
Unser LOP berücksichtigt die Tiefeninformationen der Punkte, was ihm hilft, die Beziehung zwischen Tiefe und Punktdichte besser zu verstehen. Indem wir diese Beziehung betrachten, können wir jedem lokalen Teil eines Objekts eine Punktzahl zuweisen, die angibt, wie wahrscheinlich es ist, dass es echt ist.
In unseren Tests haben wir festgestellt, dass unsere vorgeschlagene Verteidigung erfolgreich eine erhebliche Anzahl gefälschter Autos, die durch verschiedene Auftauchangriffe erstellt wurden, identifiziert und entfernt. In vielen Fällen hat unsere Methode besser abgeschnitten als bestehende Verteidigungstechniken und das bei minimalem Overhead für das System.
Hintergrund zur LiDAR-Technologie
LiDAR, was für Light Detection and Ranging steht, funktioniert, indem es Laserstrahlen aussendet und misst, wie lange es dauert, bis das Licht zurückkommt, nachdem es auf ein Objekt getroffen ist. Dadurch kann das System die Entfernung zu diesen Objekten berechnen und eine 3D-Punktwolke der Umgebung erzeugen.
Diese Punktwolken enthalten detaillierte Informationen über die Positionen und Formen von Objekten rund um das automatisierte Fahrzeugsystem. Aufgrund dieser Genauigkeit priorisieren viele selbstfahrende Autos, wie die von bekannten Firmen entwickelten, LiDAR als ihre primäre Erfassungsmethode.
Die Rolle von 3D-Objekterkennungen
Um die von LiDAR gesammelten Daten zu verstehen, nutzen selbstfahrende Systeme 3D-Objekterkenner. Diese Erkenner analysieren die Punktwolken und identifizieren Objekte, indem sie sie je nach ihren Merkmalen kategorisieren. Typischerweise bestehen diese Systeme aus drei Hauptteilen: der Vorverarbeitung der Daten, der Extraktion von Merkmalen und der Vorhersage über die erkannten Objekte.
Obwohl Objekterkenner recht effektiv sind, haben sie immer noch Schwachstellen. Angreifer können diese Schwächen ausnutzen, um falsche Hindernisse zu schaffen, die echt wirken, wodurch automatisierte Fahrzeugsysteme falsch reagieren. Das kann ernsthafte Sicherheitsrisiken auf der Strasse zur Folge haben.
Verständnis von adversarialen Beispielen
Ein adversariales Beispiel ist ein manipuliertes Eingangssignal, das dazu gedacht ist, ein maschinelles Lernmodell in die Irre zu führen, sodass es falsche Vorhersagen trifft. Im Kontext von automatisierten Fahrzeugsystemen können diese Beispiele ein falsches Sicherheitsgefühl erzeugen oder gefährliche Reaktionen hervorrufen, indem sie das System dazu bringen, nicht existente Objekte zu erkennen.
Es gibt zwei Haupttypen von Angriffen: ungezielte Angriffe, die darauf abzielen, das Modell ohne spezifisches Ziel zu täuschen, und gezielte Angriffe, die darauf abzielen, das Modell dazu zu bringen, einen bestimmten Ausgang vorherzusagen. Beide Angriffsarten stellen erhebliche Risiken für die Zuverlässigkeit der selbstfahrenden Technologie dar.
Arten von Angriffen auf LiDAR-Systeme
Neueste Forschungen zeigen, dass Auftauchangriffe auf LiDAR-Systeme nicht existente Autos in den Erkennungsergebnissen fälschen können. Das kann Chaos auf der Strasse erzeugen, da das System auf fiktive Hindernisse reagiert.
Ein frühes Beispiel für einen Auftauchangriff bestand darin, zufällig Punkte in eine Punktwolke einzufügen, um die Illusion eines Autos zu erzeugen. Andere Fortschritte haben diesen Ansatz verfeinert, sodass Angreifer spezifische Techniken nutzen können, um die Abwehrmechanismen selbstfahrender Systeme zu umgehen.
Diese Angriffe haben ernsthafte Sicherheitsimplikationen, da sie plötzliche Stopps oder unberechenbares Fahrverhalten verursachen können, was alle Verkehrsteilnehmer gefährdet.
Aktuelle Verteidigungen und ihre Einschränkungen
Bestehende Verteidigungen gegen Auftauchangriffe haben oft erhebliche Einschränkungen. Statistische Techniken wie Simple Random Sampling (SRS) und Statistical Outlier Removal (SOR) erkennen nicht die spezifische Natur von Auftauchangriffen. Stattdessen entfernen sie Punkte basierend auf allgemeinen Annahmen, was zu unnötigen Verlusten in der Erkennungsgenauigkeit führen kann.
Spezifische Verteidigungen, wie CARLO, nutzen einige physikalische Gesetze, um Anomalien zu erkennen, stützen sich jedoch oft auf vordefinierte Regeln. Das kann zu einer schlechten Leistung führen, wenn die Regeln nicht mit den tatsächlichen Merkmalen des Angriffs übereinstimmen.
Zusammenfassend können diese Verteidigungen entweder zu starr sein und nicht auf neue Angriffsarten reagieren oder zu allgemein, sodass sie die spezifischen Merkmale einer bestimmten Bedrohung übersehen.
Unsere Verteidigungsstrategie
Als Antwort auf die Einschränkungen bestehender Methoden schlagen wir eine neue Strategie vor, die sich auf lokale Objektivität konzentriert. Unser Lokaler Objektivitätsvorhersager (LOP) ist darauf ausgelegt, die Natur lokaler Teile erkannter Objekte zu bewerten. Indem wir bestimmen, ob bestimmte Punkte zu echten Objekten gehören, können wir gefälschte Hindernisse effektiver herausfiltern.
Der LOP ist so entwickelt, dass er aus echten Daten lernt und Tiefeninformationen einbezieht. Dadurch kann er ein besseres Verständnis für die Eigenschaften echter Hindernisse im Vergleich zu gefälschten entwickeln.
Dieser Ansatz ermöglicht es uns, eine hohe Erkennungsgenauigkeit aufrechtzuerhalten und gleichzeitig effektiv gegen Auftauchangriffe zu verteidigen.
Training des Lokalen Objektivitätsvorhersagers
Der Trainingsprozess für den LOP umfasst die Erstellung eines Datensatzes, der Punktwolken von echten Objekten und entsprechende Labels enthält. Der LOP wird darauf trainiert, einen Objektivitätswert für jeden lokalen Teil eines Objekts vorherzusagen, was dem System hilft, zwischen echten und gefälschten Objekten zu unterscheiden.
Um diesen Prozess effektiver zu gestalten, verwenden wir einen selbstüberwachenden Lernansatz. Das ermöglicht es dem LOP, aus den Eigenschaften echter Objekte zu lernen, ohne zusätzliche gelabelte Daten zu benötigen.
Ergebnisse und Bewertung
Durch umfassende Experimente haben wir die Effektivität unseres LOP validiert. Bei Tests gegen verschiedene Auftauchangriffe fanden wir heraus, dass er einen erheblichen Anteil gefälschter Autos entfernen konnte, während die Genauigkeit für echte Objekte hoch blieb.
Unsere Verteidigungsmethode übertraf in den meisten Szenarien bestehende Techniken und zeigte eine verbesserte Widerstandsfähigkeit gegenüber Angriffen. Zudem verursachte sie weniger Overhead, sodass die automatisierten Fahrzeugsysteme reibungslos arbeiten konnten, ohne die Leistung zu beeinträchtigen.
Anwendungen in der realen Welt
Um unsere Verteidigung in realen Szenarien zu validieren, integrierten wir den LOP in Baidus Apollo selbstfahrendes Framework. Unsere Tests zeigten, dass der LOP effektiv gegen Auftauchangriffe verteidigen kann, während die Systemleistung erhalten bleibt.
In praktischen Fahrtests konnte das System korrekt navigieren und potenziellen Gefahren ausweichen, die durch gefälschte Hindernisse geschaffen wurden, während es weiterhin innerhalb sicherer Parameter operierte.
Herausforderungen und zukünftige Richtungen
Trotz des Erfolgs unserer vorgeschlagenen Verteidigung gibt es weiterhin Herausforderungen zu bewältigen. Beispielsweise könnte der LOP Schwierigkeiten mit entfernten Hindernissen oder in Situationen mit hoher Komplexität haben. Zukünftige Arbeiten könnten darauf abzielen, die Anpassungsfähigkeit des LOP zur besseren Handhabung dieser Fälle zu verbessern.
Ausserdem müssen unsere Verteidigungsmethoden kontinuierlich verfeinert werden, während sich die Angriffe weiterentwickeln. Diese fortlaufende Forschung kann zur Gesamtzuverlässigkeit und Sicherheit automatisierter Fahrzeugsysteme beitragen.
Fazit
Zusammenfassend hebt unsere Arbeit die dringende Notwendigkeit hervor, die Verteidigung gegen Auftauchangriffe auf LiDAR-Systeme, die in automatisiertem Fahren verwendet werden, zu verbessern. Durch die Entwicklung des Lokalen Objektivitätsvorhersagers bieten wir eine neuartige und effektive Lösung zur Identifizierung und Eliminierung gefälschter Hindernisse aus den Erkennungsergebnissen.
Unsere umfangreichen Bewertungen und Implementierungen in der realen Welt zeigen die Robustheit dieser Methode und machen sie zu einer wertvollen Ergänzung für das Toolkit zur Verbesserung der Sicherheit in der automatisierten Fahrtechnologie. Wir streben weiterhin Fortschritte in diesem Bereich an, um sicherere Strassen für alle zu gewährleisten.
Titel: Exorcising ''Wraith'': Protecting LiDAR-based Object Detector in Automated Driving System from Appearing Attacks
Zusammenfassung: Automated driving systems rely on 3D object detectors to recognize possible obstacles from LiDAR point clouds. However, recent works show the adversary can forge non-existent cars in the prediction results with a few fake points (i.e., appearing attack). By removing statistical outliers, existing defenses are however designed for specific attacks or biased by predefined heuristic rules. Towards more comprehensive mitigation, we first systematically inspect the mechanism of recent appearing attacks: Their common weaknesses are observed in crafting fake obstacles which (i) have obvious differences in the local parts compared with real obstacles and (ii) violate the physical relation between depth and point density. In this paper, we propose a novel plug-and-play defensive module which works by side of a trained LiDAR-based object detector to eliminate forged obstacles where a major proportion of local parts have low objectness, i.e., to what degree it belongs to a real object. At the core of our module is a local objectness predictor, which explicitly incorporates the depth information to model the relation between depth and point density, and predicts each local part of an obstacle with an objectness score. Extensive experiments show, our proposed defense eliminates at least 70% cars forged by three known appearing attacks in most cases, while, for the best previous defense, less than 30% forged cars are eliminated. Meanwhile, under the same circumstance, our defense incurs less overhead for AP/precision on cars compared with existing defenses. Furthermore, We validate the effectiveness of our proposed defense on simulation-based closed-loop control driving tests in the open-source system of Baidu's Apollo.
Autoren: Qifan Xiao, Xudong Pan, Yifan Lu, Mi Zhang, Jiarun Dai, Min Yang
Letzte Aktualisierung: 2023-03-16 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2303.09731
Quell-PDF: https://arxiv.org/pdf/2303.09731
Lizenz: https://creativecommons.org/publicdomain/zero/1.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.