|
机械之心专栏 作者:Yulong Cao 近些年的研究讲明,神经网络等机械学习模型能够被精心设计的匹敌样本进犯。这些精心设计的匹敌样本能够坑骗模型输出任意指定的输出。在深度学习被越来越多的使用在现实糊口中,尤其是对平安性要求极高的应用中的时候,这些能够坑骗模型的匹敌样本就变得尤为危险。 最近有很多研究发明,通过贴贴纸等方式可使基于图像的检测器无法辨认路标甚至是障碍物。然而当今绝大大都的自动驾驶平台城市使用含有激光雷达(LiDAR)的多传感器交融作为障碍物是此外解决方案。那么在基于激光点云的检测器几近统治性占领 KITTI 榜单的时候,只坑骗基于图像的检测器可能就不敷了。 然而想要改变 LiDAR 的数据却不像改变摄像头所拍下的图像,只需打印贴纸那样简略。为此,来自密歇根大学,加州大学尔湾分校的研究人员提出 Adv-LiDAR——连系进犯传感器和匹敌学习来进犯基于激光点云的检测器的新方式。 arxiv 地点:http://arxiv.org/abs/1907.06826
图 1. Adv-LiDAR 的进程图示 进犯模型 作者斟酌通过对 LiDAR 传感器实施坑骗进犯来窜改激光点云数据。这种针对 LiDAR 的传感器进犯是由 Shin 等人提出并实现 [1]。通过这种能够添加激光点云的传感器进犯,作者把进犯目标设定为:在受害者自动驾驶车辆火线较近处伪造一个「障碍物」。这样的「障碍物」将更易改变自动驾驶车辆的行驶决策与路径。
图 2. LiDAR 传感器进犯图示 Adv-LiDAR:平安阐发新方式 作者首先测验考试了直接使用传感器进犯来伪造「障碍物」。通过复现传感器进犯,作者在实验室情况内收集了能够添加的激光点云数据,并用该收集的数据和自动驾驶汽车收集的路面数据进行合成来生成进犯所用的激光点云数据。作者测验考试多种实验,通过随机安排伪造激光点云来进行进犯。然而作者发明这样其实不可以成功使基于激光点云的目标检测器将其辨认为障碍物。作者认为可能原因是传感器进犯发生的伪造点云数据只有一个比力狭窄的视角(大约 8 度),其不足以直接被辨认为路上的障碍物。
图 3. 合成生成传感器进犯所用的激光点云图示 为了晋升传感器进犯所能造成的影响,作者测验考试哄骗神经网络模型的缺陷来测验考试是否能成功使目标检测器误辨认不存在的障碍物。为领会决该问题,作者首先必要将其表述为一个优化问题。这里 A 代表一系列能够通过传感器进犯来新增的激光点云数据,而 Phi 则代表了将激光点云预处置为模型输入特征的进程。
图 4. 将进犯目标转化为解优化问题 在表述优化问题的进程中,作者发明能够用空间变换和一个传感器进犯伪造的激光点云来描述传感器进犯新增的激光点云数据纠合。于是作者将该优化问题表述成找到一个最优的对伪造的激光点云的空间变换方法。找到了最优的空间变换之后,就能够很容易的生成对应的激光点云样本。 实验 作者在baidu apollo 自动驾驶平台长进行进犯实验。成效显示进犯伪造「看不见」的障碍物能够到达接近 75% 的成功率。作者也通过模拟仿真的方法研究了该障碍物对自动驾驶系统决策和路径计划造成的影响并提出了两种分歧的进犯场景。在移动进程中,模拟成效显示,该障碍物能够造成自动驾驶系统做出告急刹车的决策。而对静止期待交通灯的车辆,模拟成效显示,由于该障碍物,无人汽车将因无律例划出正确的行进路线而停滞在原地。
图 5. 移动中的无人车因伪造的障碍物告急刹车
图 6. 即便绿灯亮起也无法行进的无人车 总结 作者在这篇工作中提出 adv-LiDAR,一个用匹敌学习来增强传感器进犯进而使其能坑骗基于激光点云的目标辨认系统。该进犯由于不成见,加倍难以被人类发明和预防。现阶段 adv-LiDAR 仍然受限于传感器进犯的较高本钱,不敷不乱以及其依赖于白盒进犯的限制。我们等待着这一标的目的有更多的研究,为未来更平安的自动驾驶技能做好筹备。 更多关于智能交通的研究详见 https://sites.谷歌.com/view/cav-sec/home?authuser=0 Reference [1] Shin, Hocheol, Dohyun Kim, Yujin Kwon and Yongdae Kim.「Illusion and Dazzle: Adversarial Optical Channel Exploits against Lidars for Automotive Applications.」IACR Cryptology ePrint Archive 2017 (2017): 613. |
