Novo Método de Defesa para LiDAR Contra Ataques
Um novo preditor protege a condução automatizada de obstáculos manipulados.
― 9 min ler
Índice
- O Problema dos Ataques de Aparição
- Nossa Abordagem: Previsor de Objetos Locais
- Contexto sobre a Tecnologia LiDAR
- O Papel dos Detectores de Objetos 3D
- Compreendendo Exemplos Adversariais
- Tipos de Ataques em Sistemas LiDAR
- Defesas Atuais e Suas Limitações
- Nossa Estratégia de Defesa
- Treinando o Previsor de Objetos Locais
- Resultados e Avaliação
- Aplicações no Mundo Real
- Desafios e Direções Futuras
- Conclusão
- Fonte original
- Ligações de referência
Sistemas de direção automatizada dependem de tecnologia que ajuda os carros a entenderem o que tá ao redor. Uma parte vital dessa tecnologia é a capacidade de detectar objetos ao redor usando sensores como o LiDAR. O LiDAR coleta pontos de dados que representam objetos no espaço 3D. Mas um tipo recente de ataque pode enganar esses sistemas, fazendo com que pensem que objetos falsos, como carros que não existem, estão na sua área. Isso pode levar a situações perigosas na estrada, como paradas súbitas ou engarrafamentos.
As formas atuais de proteger esses sistemas geralmente focam em métodos estatísticos que podem não lidar bem com todos os tipos de ataques. Eles podem funcionar apenas contra certos tipos de ameaças ou depender de regras específicas que podem limitar sua efetividade. Para melhorar a segurança e confiabilidade, é essencial desenvolver um método de defesa mais flexível.
O Problema dos Ataques de Aparição
Pesquisas mostraram que atacantes podem criar obstáculos falsos, como carros que não existem, usando apenas alguns pontos enganosos nos dados coletados pelo LiDAR. Isso é chamado de "ataque de aparição". Uma tática comum nesses ataques é fazer com que os carros falsos pareçam tão convincentes que o sistema de direção não consiga perceber a diferença facilmente.
Duvidas significativas foram notadas nesses ataques. Primeiro, os detalhes locais desses obstáculos falsos geralmente mostram diferenças claras quando comparados a objetos reais. Segundo, existem regras físicas que relacionam a profundidade de um objeto, ou a distância do sensor, à densidade da nuvem de pontos. Carros reais normalmente exibem uma relação específica entre sua profundidade e densidade de pontos que carros falsos têm dificuldade em replicar.
Nossa Abordagem: Previsor de Objetos Locais
Para resolver esse problema, propomos um novo módulo que trabalha junto com detectores de objetos baseados em LiDAR já existentes. Esse módulo visa reconhecer e remover esses obstáculos falsos. Nossa solução é chamada de Previsor de Objetos Locais (LOP). Esse previsor avalia a probabilidade de que partes específicas de um objeto pertencem a um objeto real.
Nosso LOP leva em consideração a informação de profundidade dos pontos, ajudando a entender melhor a relação entre profundidade e densidade de pontos. Ao observar essa relação, podemos atribuir uma pontuação a cada parte local de um objeto, indicando quão provável é que seja real.
Nos nossos testes, descobrimos que nossa defesa proposta consegue identificar e remover uma quantidade substancial de carros falsos criados por vários ataques de aparição. Em muitos casos, nosso método teve um desempenho melhor do que as técnicas de defesa existentes, tudo isso com um overhead mínimo para o sistema.
Contexto sobre a Tecnologia LiDAR
LiDAR, que significa Detecção e Distância de Luz, funciona enviando feixes de laser e medindo quanto tempo leva para a luz voltar depois de atingir um objeto. Isso permite que o sistema calcule a distância até esses objetos e gere uma nuvem de pontos 3D do ambiente.
Essas nuvens de pontos contêm informações detalhadas sobre as posições e formas dos objetos que cercam o sistema de direção automatizada. Por causa dessa precisão, muitos carros autônomos, como os desenvolvidos por empresas conhecidas, priorizam o LiDAR como seu método de sensoriamento principal.
O Papel dos Detectores de Objetos 3D
Para entender os dados coletados pelo LiDAR, sistemas autônomos usam detectores de objetos 3D. Esses detectores analisam as nuvens de pontos e identificam objetos, categorizando-os com base em suas características. Normalmente, esses sistemas consistem em três partes principais: pré-processamento dos dados, extração de características deles e fazer previsões sobre os objetos detectados.
Embora os detectores de objetos sejam bem eficazes, ainda têm vulnerabilidades. Atacantes podem explorar essas fraquezas para criar obstáculos falsos que parecem reais, fazendo com que sistemas de direção automatizada respondam de forma incorreta. Isso pode levar a riscos sérios de segurança na estrada.
Compreendendo Exemplos Adversariais
Um exemplo adversarial é uma entrada manipulada projetada para enganar um modelo de aprendizado de máquina a fazer previsões incorretas. No contexto de sistemas de direção automatizada, esses exemplos podem criar uma falsa sensação de segurança ou provocar respostas perigosas ao enganar o sistema a detectar objetos que não existem.
Existem dois tipos principais de ataques: ataques não direcionados, que visam enganar o modelo sem um objetivo específico, e ataques direcionados, que visam fazer o modelo prever um resultado particular. Ambos os tipos de ataques representam riscos significativos para a confiabilidade da tecnologia de direção autônoma.
Tipos de Ataques em Sistemas LiDAR
Pesquisas recentes mostram que ataques de aparição em sistemas LiDAR podem forjar carros que não existem nos resultados de detecção. Isso pode criar um caos na estrada, pois o sistema reage a obstáculos fictícios.
Um exemplo inicial de um ataque de aparição envolveu injetar aleatoriamente pontos em uma nuvem de pontos para criar a ilusão de um carro. Outros avanços refinaram essa abordagem, permitindo que atacantes usassem técnicas específicas para driblar as defesas dos sistemas autônomos.
Esses ataques têm implicações sérias para a segurança, já que podem levar a paradas súbitas ou comportamentos de direção erráticos, colocando todos na estrada em risco.
Defesas Atuais e Suas Limitações
As defesas existentes contra ataques de aparição muitas vezes têm limitações significativas. Por exemplo, técnicas estatísticas como Amostragem Aleatória Simples (SRS) e Remoção de Outliers Estatísticos (SOR) não reconhecem a natureza específica dos ataques de aparição. Em vez disso, elas removem pontos com base em suposições gerais, o que pode levar a perdas desnecessárias na precisão da detecção.
Defesas específicas, como o CARLO, exploram algumas leis físicas para detectar anomalias, mas muitas vezes dependem de regras pré-estabelecidas. Isso pode resultar em um desempenho ruim se as regras não estiverem alinhadas com as características reais do ataque.
Em resumo, essas defesas podem ser muito rígidas, falhando em se adaptar a novos tipos de ataques, ou muito gerais, perdendo os específicos de uma ameaça particular.
Nossa Estratégia de Defesa
Em resposta às limitações dos métodos existentes, propomos uma nova estratégia que foca na localidade do objeto. Nosso Previsor de Objetos Locais (LOP) foi projetado para avaliar a natureza das partes locais dos objetos detectados. Ao determinar se pontos específicos pertencem a objetos reais, podemos filtrar obstáculos falsos de maneira mais eficaz.
O LOP é construído para aprender com dados reais, incorporando informação de profundidade. Isso permite que ele desenvolva uma melhor compreensão das características de obstáculos reais em comparação com os falsificados.
Essa abordagem nos permite manter uma alta precisão de detecção enquanto defendemos efetivamente contra ataques de aparição.
Treinando o Previsor de Objetos Locais
O processo de treinamento do LOP envolve a criação de um conjunto de dados que inclui nuvens de pontos de objetos reais e rótulos correspondentes. O LOP é treinado para prever uma pontuação de objeto para cada parte local de um objeto, ajudando o sistema a diferenciar entre objetos reais e forjados.
Para tornar esse processo mais eficaz, usamos uma abordagem de aprendizado auto-supervisionado. Isso permite que o LOP aprenda com as características de objetos reais sem precisar de dados rotulados adicionais.
Resultados e Avaliação
Através de experimentos extensivos, validamos a eficácia do nosso LOP. Quando testado contra vários ataques de aparição, descobrimos que ele consegue eliminar uma proporção significativa de carros falsificados enquanto mantém alta precisão para objetos reais.
Nosso método de defesa teve um desempenho melhor do que as técnicas existentes na maioria dos cenários, demonstrando uma resiliência aprimorada contra ataques. Além disso, teve um overhead menor, permitindo que sistemas de direção automatizada funcionassem suavemente sem sacrificar desempenho.
Aplicações no Mundo Real
Para validar nossa defesa em cenários do mundo real, integramos o LOP na estrutura de direção autônoma Apollo da Baidu. Nossos testes demonstraram que o LOP pode defender efetivamente contra ataques de aparição enquanto mantém o desempenho do sistema.
Em testes de direção prática, o sistema conseguiu navegar corretamente, evitando perigos potenciais criados por obstáculos falsificados enquanto continuava a operar dentro de parâmetros seguros.
Desafios e Direções Futuras
Apesar do sucesso da nossa defesa proposta, ainda existem desafios a serem enfrentados. Por exemplo, o LOP pode ter dificuldades com obstáculos distantes ou em situações de alta complexidade. Trabalhos futuros podem envolver melhorar a adaptabilidade do LOP para lidar melhor com esses casos.
Além disso, à medida que os ataques evoluem, nossos métodos de defesa precisarão de refinamento contínuo para acompanhar novas técnicas. Essa pesquisa em andamento pode contribuir para a confiabilidade e segurança geral dos sistemas de direção automatizada.
Conclusão
Em resumo, nosso trabalho destaca a necessidade urgente de defesas melhoradas contra ataques de aparição em sistemas LiDAR usados em direção automatizada. Através do desenvolvimento do Previsor de Objetos Locais, oferecemos uma solução nova e eficaz para identificar e eliminar obstáculos falsificados dos resultados de detecção.
Nossas avaliações extensivas e implementações no mundo real demonstram a robustez desse método, tornando-o uma adição valiosa ao conjunto de ferramentas para aumentar a segurança na tecnologia de direção automatizada. Continuamos a buscar avanços nesse campo para garantir estradas mais seguras para todos.
Título: Exorcising ''Wraith'': Protecting LiDAR-based Object Detector in Automated Driving System from Appearing Attacks
Resumo: Automated driving systems rely on 3D object detectors to recognize possible obstacles from LiDAR point clouds. However, recent works show the adversary can forge non-existent cars in the prediction results with a few fake points (i.e., appearing attack). By removing statistical outliers, existing defenses are however designed for specific attacks or biased by predefined heuristic rules. Towards more comprehensive mitigation, we first systematically inspect the mechanism of recent appearing attacks: Their common weaknesses are observed in crafting fake obstacles which (i) have obvious differences in the local parts compared with real obstacles and (ii) violate the physical relation between depth and point density. In this paper, we propose a novel plug-and-play defensive module which works by side of a trained LiDAR-based object detector to eliminate forged obstacles where a major proportion of local parts have low objectness, i.e., to what degree it belongs to a real object. At the core of our module is a local objectness predictor, which explicitly incorporates the depth information to model the relation between depth and point density, and predicts each local part of an obstacle with an objectness score. Extensive experiments show, our proposed defense eliminates at least 70% cars forged by three known appearing attacks in most cases, while, for the best previous defense, less than 30% forged cars are eliminated. Meanwhile, under the same circumstance, our defense incurs less overhead for AP/precision on cars compared with existing defenses. Furthermore, We validate the effectiveness of our proposed defense on simulation-based closed-loop control driving tests in the open-source system of Baidu's Apollo.
Autores: Qifan Xiao, Xudong Pan, Yifan Lu, Mi Zhang, Jiarun Dai, Min Yang
Última atualização: 2023-03-16 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2303.09731
Fonte PDF: https://arxiv.org/pdf/2303.09731
Licença: https://creativecommons.org/publicdomain/zero/1.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.