對(duì)于自動(dòng)駕駛汽車(AV),定位的安全性至關(guān)重要,它的直接威脅是GPS欺騙。幸運(yùn)的是,當(dāng)今的自動(dòng)駕駛系統(tǒng)主要使用多傳感器融合(MSF)算法,通常認(rèn)為該算法有可能解決GPS欺騙問題。但是,沒有任何研究表明當(dāng)下的MSF算法在GPS欺騙的情況下是否足夠安全。本文專注于生產(chǎn)級(jí)別的MSF,并確定了兩個(gè)針對(duì)AV的攻擊目標(biāo),即偏離攻擊和逆向攻擊。為了系統(tǒng)地了解安全性,我們首先分析了上限攻擊的有效性,并發(fā)現(xiàn)了可以從根本上破壞MSF算法的接管效果。我們進(jìn)行了原因分析,發(fā)現(xiàn)該漏洞是動(dòng)態(tài)且隨機(jī)地出現(xiàn)。利用這個(gè)漏洞,我們?cè)O(shè)計(jì)了FusionRipper,這是一種新穎的通用攻擊,可以抓住機(jī)會(huì)并利用接管漏洞。我們對(duì)6條真實(shí)的傳感器跡線進(jìn)行了評(píng)估,結(jié)果發(fā)現(xiàn),對(duì)于偏離和逆向攻擊,F(xiàn)usionRipper在所有跡線上的成功率分別至少達(dá)到97%和91.3%。我們還發(fā)現(xiàn),它對(duì)欺騙不準(zhǔn)確等實(shí)際因素具有高度的魯棒性。為了提高實(shí)用性,我們進(jìn)一步設(shè)計(jì)了一種精巧的方法,該方法可以有效地識(shí)別出攻擊參數(shù),兩個(gè)攻擊目標(biāo)的平均成功率均超過80%。我們還將討論可行的的防御方法。
01
攻擊有效性
為了系統(tǒng)地理解基于MSF的定位安全性,我們從了解攻擊有效性的上限(即最大可能的偏差)開始。
02
分析方法
為了分析攻擊有效性的上限,我們對(duì)可能的攻擊序列
進(jìn)行暴力搜索,該攻擊針對(duì)于BA-MSF。我們沒有選擇使用優(yōu)化器,因?yàn)锽A-MSF實(shí)現(xiàn)以二進(jìn)制形式發(fā)布,因此我們無(wú)法直接獲得其分析公式。對(duì)于我們分析中的給定傳感器數(shù)據(jù)跡線,存在多個(gè)可能的攻擊窗口,即前一個(gè)GPS數(shù)據(jù)和后一個(gè)GPS數(shù)據(jù)的間隙。對(duì)于每個(gè)攻擊窗口,我們迭代搜索可以使最大程度偏離的,這也是以前有關(guān)單源KF安全性的研究工作中使用的一種方法。根據(jù)我們的威脅模型,我們將對(duì)GPS欺騙數(shù)據(jù)的測(cè)量不確定性設(shè)置為BA-MSF中傳感器數(shù)據(jù)跡線的中值。
我們對(duì)兩種類型的傳感器數(shù)據(jù)跡線進(jìn)行上述分析:(1)真實(shí)數(shù)據(jù),以及(2)擬合的無(wú)噪聲數(shù)據(jù)。前者是通過在真實(shí)世界中駕駛AV時(shí)直接記錄MSF的輸入而獲得的,此類跡線的分析結(jié)果具有最高的真實(shí)性。但是我們可以執(zhí)行的操作是有限的,由于不同傳感器數(shù)據(jù)之間存在相關(guān)性,我們無(wú)法輕易地修改傳感器數(shù)據(jù);并且由于傳感器存在噪聲,分析可能不準(zhǔn)確。因此,我們利用后者進(jìn)行補(bǔ)充,其按照給定的駕駛軌跡合成MSF輸入,所有LiDAR定位和真實(shí)GPS信號(hào)定位都設(shè)置為真實(shí)位置,其測(cè)量不確定度設(shè)置為實(shí)際數(shù)據(jù)的中值,并根據(jù)駕駛軌跡擬合出IMU測(cè)量值。
03
實(shí)驗(yàn)環(huán)境
我們使用官方Apollo AD系統(tǒng)中的BA-MSF實(shí)現(xiàn)代碼。對(duì)于真實(shí)數(shù)據(jù),我們使用由Apollo開源的BA-MSF真實(shí)數(shù)據(jù),該行駛數(shù)據(jù)在加利福尼亞州,時(shí)間為4分鐘。對(duì)于擬合數(shù)據(jù),我們生成一條常見的行駛軌跡:以45mph的恒定速度在直路上行駛。我們?cè)O(shè)置一個(gè)攻擊窗口為十次攻擊,其時(shí)間為10秒,因?yàn)锳pollo的GPS數(shù)據(jù)輸入頻率為1 Hz。我們對(duì)3變量的輸入設(shè)置為0m至10m,以0.04m作為步長(zhǎng)不斷改變其輸入值進(jìn)行窮舉搜索。
04
實(shí)驗(yàn)結(jié)果
圖1:
圖1(a)顯示了在對(duì)兩種數(shù)據(jù)的攻擊中獲得的上限偏差的分布。如圖所示,在真實(shí)數(shù)據(jù)和合成數(shù)據(jù)中,攻擊效果普遍較差:大多數(shù)對(duì)真實(shí)數(shù)據(jù)的攻擊(76.0%),以及所有對(duì)合成數(shù)據(jù)的攻擊都無(wú)法達(dá)到偏離攻擊要求的最小偏差(0.895 m)。造成如此差的攻擊效果的主要原因如下。首先,由于離群值檢測(cè),第一個(gè)攻擊輸入可達(dá)到的最大偏差很小,例如最多為0.06米。接下來(lái),可以通過LiDAR定位輸入快速糾正這種微小偏差,因?yàn)樵趦蓚€(gè)GPS信號(hào)輸入之間有5個(gè)LiDAR定位輸入(在Apollo中為5 Hz)。這使得后續(xù)的攻擊輸入很難建立在先前攻擊輸入所實(shí)現(xiàn)的偏差之上。因此,如今基于KF的生產(chǎn)級(jí)MSF算法確實(shí)可以總體上增強(qiáng)針對(duì)GPS反欺騙的安全性。同時(shí),我們還觀察到,真實(shí)數(shù)據(jù)和合成數(shù)據(jù)之間的結(jié)果存在非常明顯的差異:在合成數(shù)據(jù)中,所有攻擊的上限偏差最大為0.076米。但在真實(shí)數(shù)據(jù)中,攻擊能造成的上限偏差都很大,其中90.3%的攻擊造成的上限偏差大于0.076米。這表明現(xiàn)實(shí)世界中的傳感器噪聲通常會(huì)降低MSF的安全性。如后面所示,這些現(xiàn)實(shí)因素實(shí)際上可以提供高效的攻擊,從根本上破壞了MSF。
05
接管效應(yīng)
盡管我們的結(jié)果表明,即使達(dá)到中最簡(jiǎn)單的攻擊目標(biāo)(偏離攻擊),通常也很難實(shí)現(xiàn),但我們還觀察到,對(duì)于真實(shí)數(shù)據(jù),仍然存在14%的攻擊窗口,可以實(shí)現(xiàn)2米以上的偏差,這已經(jīng)足以滿足我們的某些攻擊目標(biāo)。對(duì)于所有這些窗口,我們發(fā)現(xiàn)有的攻擊窗口所進(jìn)行的GPS欺騙能夠使偏差成指數(shù)增長(zhǎng),上圖顯示了這樣一個(gè)示例。如圖2所示,圖中左側(cè)的偏差趨勢(shì)與大多數(shù)其他常規(guī)攻擊窗口(如圖中右側(cè)所示)完全不同。
這樣的指數(shù)增長(zhǎng)趨勢(shì)與當(dāng)GPS欺騙信號(hào)是卡爾曼濾波器(KF)中唯一的數(shù)據(jù)源時(shí)的情況非常相似,這可以通過在沒有LiDAR定位輸入數(shù)據(jù)的情況下重新運(yùn)行合成軌跡中的攻擊有效性上限分析來(lái)證實(shí)。這意味著對(duì)于這些具有指數(shù)偏差增長(zhǎng)的攻擊窗口,GPS輸入將以某種方式成為主要的KF更新數(shù)據(jù)源。實(shí)際上,根據(jù)分析日志中的卡方檢驗(yàn)值,我們發(fā)現(xiàn)LiDAR定位輸入數(shù)據(jù),在攻擊窗口的后半部分變成離群值,因此LiDAR數(shù)據(jù)不再提供校正。因此,這從根本上破壞了MSF的設(shè)計(jì)原理,即將多個(gè)輸入數(shù)據(jù)源的融合,以提高魯棒性和準(zhǔn)確性。也就是前文提到的接管效應(yīng)。對(duì)于攻擊者而言,這種接管效應(yīng)是最理想的攻擊結(jié)果,因?yàn)樗梢杂行У匾鹑我馄睿瑥亩鴮?dǎo)致偏離和逆向攻擊,或著甚至?xí)?dǎo)致更嚴(yán)重的攻擊。
06
接管效應(yīng)出現(xiàn)的原因
由于并非在所有攻擊窗口中都出現(xiàn)接管效應(yīng),因此,除了攻擊輸入以外,還應(yīng)當(dāng)有一些因素可以影響接管效應(yīng)。為了分析產(chǎn)生接管效應(yīng)的原因,我們使用理論分析和實(shí)驗(yàn)驗(yàn)證來(lái)確定可能的影響因素,然后使用相關(guān)分析來(lái)確定在我們的分析中觀察到造成接管效應(yīng)的最重要因素。
07
可能因素
為了確定可能導(dǎo)致MSF偏差的因素,我們首先對(duì)基于KF的MSF算法進(jìn)行理論分析。從分析(經(jīng)過數(shù)學(xué)推導(dǎo))中,我們確定了除了攻擊輸入3之外的4個(gè)理論上有關(guān)的因素:(1)初始MSF狀態(tài)不確定性Po(2)LiDAR測(cè)量不確定性4(3) 純LiDAR定位與無(wú)攻擊下的MSF定位之間的差異5以及(4)IMU的測(cè)量結(jié)果6。為了驗(yàn)證這4個(gè)因素確實(shí)影響了實(shí)際的BA-MSF實(shí)施,我們?cè)诤铣蓴?shù)據(jù)中對(duì)它們進(jìn)行建模,并通過實(shí)驗(yàn)測(cè)量它們與偏差的關(guān)系。結(jié)果表明,所有四個(gè)因素都可以對(duì)偏差產(chǎn)生積極影響。
08
因素權(quán)重分析
我們使用因果關(guān)系分析方法來(lái)判斷這四個(gè)因素對(duì)接管效應(yīng)的所造成的影響權(quán)重。上表展示了實(shí)驗(yàn)結(jié)果,對(duì)于這兩種統(tǒng)計(jì)檢驗(yàn)方法,p<0.05 表示具有顯著性差異,而r>0.5和or>9被認(rèn)為是高度相關(guān)的。如圖所示,在兩種方法中,只有和po的p值具有顯著性差異,它們的r值非常接近高度相關(guān)性,而其or值則顯示出高度相關(guān)性。相反,和的r和or值都沒有顯示出很強(qiáng)的相關(guān)性,對(duì)于而言,結(jié)果甚至不具有顯著性差異。這表明我們?cè)诠粲行苑治鲋杏^察到的接管效應(yīng)很可能是由攻擊窗口中相對(duì)較大的po和引起的。
對(duì)于這兩個(gè)最重要的影響因素,反映了在攻擊窗口期間基于LiDAR的定位算法缺乏一致性,而po反映了攻擊窗口開始時(shí)KF狀態(tài)的缺乏一致性。這意味著當(dāng)MSF處于相對(duì)不確定的時(shí)期時(shí),就會(huì)出現(xiàn)接管效應(yīng)或漏洞。因此,MSF算法需要把GPS數(shù)據(jù)輸入(該時(shí)段內(nèi)相對(duì)最可靠的輸入源)增加更高的權(quán)重,從而允許GPS輸入支配KF更新并觸發(fā)接管效應(yīng)。
由于是LiDAR定位的不確定性,因此在實(shí)際中,較高的的值是由其LiDAR定位算法的不準(zhǔn)確引起的。從KF方程得知,較高po的值主要是由LiDAR定位的不確定性和攻擊窗口前的GPS更新引起的。因此,接管效應(yīng)總體上是由于LiDAR定位算法的不準(zhǔn)確和GPS信號(hào)噪聲所致。這也解釋了為什么我們無(wú)法在合成數(shù)據(jù)中觀察到任何接管效應(yīng)。這些實(shí)際因素從根本上很難避免,這正是MSF旨在補(bǔ)償單個(gè)數(shù)據(jù)源的誤差和噪聲的原因。但是,正如我們的分析所示,即使對(duì)于當(dāng)今AV中使用的高端傳感器,這些誤差和噪聲也很大并且出現(xiàn)的足夠頻繁,以至于MSF是不能完全防范GPS欺騙的。
在下一部分我們將討論針對(duì)此效應(yīng)設(shè)計(jì)的FusionRipper攻擊工具以及可行的防御方法。
fqj
-
傳感器
+關(guān)注
關(guān)注
2551文章
51134瀏覽量
753887 -
gps
+關(guān)注
關(guān)注
22文章
2896瀏覽量
166270
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論