抽象的な
自動運転車(AV)では、道路上の他の車両や歩行者を感知するために、LIDAR ベースの物体検出システムを使用するケースが増えています。現在、LiDAR ベースの自動運転アーキテクチャに対する攻撃は、主に自動運転物体検出モデルの信頼性を低下させて障害物の誤検出を誘発することに焦点を当てていますが、私たちの研究では、レーザーベースの欺瞞技術を活用してセンサーレベルで選択する方法を発見しています。実際の障害物を除去したクラウド データは、自動運転の認識の入力として使用されます。これらの重要な LiDAR 情報が除去されると、自動運転障害物検知器が障害物を識別して位置を特定できなくなり、自動運転車が危険な自動運転の決定を下すことになります。
この論文では、自動運転フレームワークと統合された LIDAR センサー データの固有の自動変換およびフィルタリング プロセスを活用することで、人間の目には見えずに物体を隠し、自動運転車の障害物検知器を騙す方法を提案します。私たちはこのような攻撃を物理的除去攻撃 (PRA) と呼び、3 つの一般的な自動運転障害物検知装置 (Apollo、Autoware、PointPillars) に対するその有効性を実証し、45° の攻撃能力を達成しました。産業グレードのシミュレーター LGSVL を使用して、3 つの融合モデル (Frustum-ConvNet、AVOD、統合セマンティック レベル融合) に対する攻撃の影響と、意思決定の推進への影響を評価しました。移動車両のシナリオでは、目標の障害物雲点の 90% を除去する成功率 92.7% を達成しました。最後に、スプーフィング攻撃とオブジェクト隠蔽攻撃に対する 2 つの一般的な防御策に対する攻撃の成功を実証し、攻撃を軽減するための 2 つの強化された防御戦略について説明します。
導入
自動運転車 (AV) で使用される認識システムは、自動運転の基本要素であり、ドライバーによる安全で信頼性の高い自動意思決定の基礎です。これらの認識システムは、障害物回避やナビゲーション制御のために LIDAR、カメラ、レーダーなどのセンサーを利用します。特に、LiDAR センサーは、障害物を検出するために、車両周囲の深度測定値を 3D 点群で高精度に取得するために使用されます。ただし、以前の研究では、自動運転 (AD) フレームワークは、障害物検出の知覚モデルを悪用する LIDAR センサーからの攻撃に対して脆弱であることが示されています[10、15、42、54、56、58] 。
通常、これらの攻撃は、攻撃者が AV の知覚モデルを操作して、存在しない障害物を「見る」か、実際の障害物を検出できない現実世界の状況を作り出すことに重点を置いています。 59]。たとえば、研究者は、レーザー注入を使用して追加の LIDAR 点群を偽装し、誤検出を誘発するために小さな摂動を追加するなど、敵対的な例を作成しました [10]。
しかし、これまでの研究は主に物体検出モデルのパフォーマンスを低下させることに焦点を当てていたため、現実世界の運転シナリオにおいて、現実の障害物から LiDAR 点群を完全に除去し、自動運転車の動作に影響を与える物理的な攻撃は存在するのでしょうか?まだ研究されていません。したがって、この文書では主に次の研究課題に対処します: (i) 実際の障害点群は、LiDAR センサーから離れた場所で遠隔かつ密かに感知できますか? (ii) 攻撃者は現実的な条件下でそのような攻撃をどのように実行できますか? (iii) これらの攻撃は何ですか?自動運転フレームワークと障害物検出モデルへの影響と、それらに対する防御方法は何ですか?
これらの質問に答えるために、私たちは新しい攻撃ファミリー、つまり物理的除去攻撃 (PRA) を提案します。LIDAR センサーに対する既存のレーザーベースのスプーフィング攻撃 [10] を利用して、AD フレームワークによる検出から実際の障害物を隠すために、LIDAR センサーのデータ取得を操作する実現可能性が研究されました。これにより、歩行者や他のドライバーに対する安全上のリスクがさらに高まります。図 1 に示すように、LIDAR センサーの近く (つまり、特定の距離しきい値以下) に不可視のレーザー パルスを注入することにより、センサーはシーン内の実際の障害物から正当な曇り点を強制的に破棄することができます。この攻撃は、AD フレームワークに統合された LIDAR センサーのカスケード効果を悪用し、次の 2 つの主な要因に依存します。1) 強い反射に対する LIDAR センサーの固有の優先順位、2) 自動フィルターを収容する LIDAR センサーから一定の距離内の曇点。
図 1: LIDAR 物理的除去攻撃 (PRA) の概要。LIDAR ベースの認識スタックの内部自動フィルタリングを活用して、選択した 3D 点群をシーンから物理的に削除します。この場合、歩行者の点群です。
まず、LIDAR センサーの内部機能とレーザー注入によって生成されるポイント除去との関係について説明します。次に、さまざまなシナリオにおける攻撃者の攻撃能力が定量化され、その方法を検証するために、水平迎え角 45 度の能力を実現するベロダイン VLP-16 LIDAR センサーの実証実験を通じて曇点除去の有効性が確認されました。標準的な認識システム (Baidu Apollo [7]、pointpillar [19]、Autoware [44] など) における攻撃の有効性は、さまざまなシナリオで攻撃者の能力に対する安定した欺瞞を生成することによって障害物の除去を誘導することによって分析されます。さまざまな距離にあるさまざまな種類の障害物 (車や歩行者など)。PRA は、3 台のカメラとライダーの最先端の融合モデルでさらに評価されます。実験結果は、3 つのテスト モデルでは障害物の検出率が 43% ~ 76% 低下し、ターゲットの障害物が完全に除去されると、Autoware 統合セマンティック レベルの融合 [44] が失敗する可能性があることを示しています。
攻撃能力は屋外シナリオで評価され、歩行者の排除を達成し、さまざまな照明条件下およびなりすましデバイスからのさまざまな距離 (最大 10 メートル) での攻撃の堅牢性を実証しました。AD シミュレーター [33] を使用したエンドツーエンドの評価も実行され、理想的な環境での攻撃をシミュレートすることで、歩行者との衝突や横断歩道での車両停止に対する攻撃の結果が実証されました。概念実証実験を通じて、ロボットや自動車などの移動体への攻撃の実用性を実証し、追跡システムを設計および試作します。実験結果によると、車両が時速 5km で走行している場合、障害物の曇点の 90% を除去する成功率は 92.7% です。
私たちは、レーザー スプーフィング攻撃とターゲット隠蔽攻撃に対する既存の防御方法を体系的に研究し、それらが除去攻撃に対して効果がないことを証明し、偽の影の検出と方向ベースの検出と呼ばれる 2 つの防御戦略をまとめます。合成および実際の攻撃軌跡に基づく防御方法がさらに議論および評価され、最初の防御では 82.5% の真陰性率 (TNR) と 91.2% の真陽性率 (TPR) を達成し、真陽性率 (TPR) を達成しました。 2度目の防衛では91.2%、TNR99.98%、TPR100%を達成。要約すると、この研究の目的は、レーザーベースのスプーフィング技術を利用して LIDAR センサー情報を削除し、現在および将来の AD フレームワークおよび AV からの脅威に対する防御を支援する能力をモデル化、測定、実証することです。
要約すると、次の貢献を強調します。
- LIDAR センサーに対するレーザーベースのなりすまし攻撃は、内部の雲点変換とフィルタリングを利用して実際の点群を削除することによって特定され、モデル化されます。
- PRA の攻撃者の能力、課題、制限は、3 つの一般的な商用および学術的な広告認識モデル (Baidu Apollo [7]、pointpillar [19]、および Autoware [44]) に基づいてモデル化されています。3 つの最新の融合モデル (Frustum-ConvNet [52]、AVOD [17]、および Autoware 統合セマンティックレベル融合 [44]) の攻撃効果が評価されました。
- この発見は、量産グレードの AD シミュレータ LGSVL [33] で自動運転車の影響を実証し、移動ロボットや車両に対して現実世界の攻撃を実行することによって検証されます。
- CARLO [42] と隠れた攻撃防御 [16] という 2 つの既存のクラウド ポイント欺瞞防御方法に対するこの攻撃の有効性が検証されています。最後に、脅威を軽減するために 2 つの強化戦略が提案されています。