最近有一篇论文“你看不到我:基于激光雷达的自动驾驶车辆驾驶框架的物理移除攻击”,通过一种名为物理移除攻击(PRA)的方法,揭示了如何利用基于激光雷达的自动驾驶车辆感知系统中的自动转换和过滤过程,选择性地删除真实障碍物的LiDAR点云数据,从而欺骗自动驾驶汽车的障碍物检测器。这种攻击会导致自动驾驶汽车无法识别和定位障碍物,可能导致危险的自动驾驶决策。研究人员测试了该攻击对不同AV障碍物检测器的有效性,成功实施了45°攻击。这项研究发表在第32届USENIX安全研讨会上,具有潜在的重要性,因为它揭示了自动驾驶围绕激光雷达的感知系统的新型安全威胁。
攻击的目标是让自动驾驶车辆看不见
● 攻击的新玩法
自动驾驶汽车代表了未来交通领域的一个重大突破,随着技术的发展,我们也不得不面对新的安全挑战。近年来,基于LiDAR的物体检测系统扮演了关键角色,通过激光扫描来感知道路上的其他车辆和行人。最近的研究表明,LiDAR传感器可能会成为潜在的攻击目标,从而危及自动驾驶系统的安全性。一种新型攻击,称为物理去除攻击(Physical Removal Attacks,PRA),通过删除LiDAR传感器的点云数据来欺骗自动驾驶汽车的障碍物检测器。在传感器级别删除LiDAR点云数据的PRA攻击,具有潜在危险性,能够在自动驾驶决策中引入错误,导致潜在的事故和危险情况。
● 攻击原理
PRA攻击利用LiDAR传感器的工作原理和自动驾驶框架的数据处理过程,攻击者通过向LiDAR传感器注入不可见的激光脉冲,可以远程且隐蔽地导致传感器丢弃场景中真实障碍物的合法点云。攻击的核心思想是在LiDAR传感器的视场内注入高强度的虚假回波信号,使传感器将这些虚假回波识别为最强的回波,而忽略了更远处的真实障碍物的回波。攻击者可以利用LiDAR操作阈值(Minimum Operation Threshold,MOT)以及自动驾驶框架的内部过滤机制,进一步确保攻击效果。
● 攻击影响
PRA攻击的影响不容忽视,由于LiDAR传感器在自动驾驶中负责感知周围环境,删除关键的LiDAR点云信息会导致自动驾驶障碍物检测器无法识别和定位障碍物。
这将直接影响自动驾驶汽车的决策制定过程,可能导致危险的自动驾驶操作。攻击者可以选择性地删除点云数据,以隐藏特定区域或障碍物,从而增加潜在的碰撞风险或引发危险情况。
● 攻击场景
攻击者可以选择不同的攻击场景,以实施PRA攻击。攻击场景包括隐藏特定区域,例如受害车辆的前视图,以及隐藏特定障碍物,例如行人或其他车辆。攻击者可以将欺骗设备放置在道路旁边,靠近人行横道和交叉口等地点,向行驶的自动驾驶车辆发射恶意激光脉冲。
如果攻击目标是隐藏特定的静态障碍物,攻击者可能需要了解该物体在受害AV的前视图中的角度位置,以更好地定位欺骗设备。如果障碍物在移动,攻击者可以使用摄像头技术来检测目标障碍物相对于移动的AV的位置,并相应地改变攻击角度和欺骗设备的瞄准。此外,攻击者还可以将攻击设备放置在一辆车辆中,跟随受害车辆,从而在攻击受害车辆的前方隐藏特定区域。
● 威胁模型
攻击的威胁模型假设攻击者的目标是影响自动驾驶车辆的安全性。攻击者可能会通过选择性地删除点云区域,远程注入激光脉冲来实现这一目标,从而阻止来自场景中真实障碍物的合法回波被LiDAR传感器感知。攻击者可以利用这一效果来隐藏在车辆前面的物体、其他车辆或行人,从而增加潜在的碰撞风险或诱发危险的自动驾驶操作。
● 防御措施
PRA攻击带来了严重的安全威胁,但研究也提到了一些防御方法。在这里有两种增强的防御策略,以减轻这种攻击对AV框架和AV的威胁。
随着自动驾驶技术的不断发展,安全研究和防御策略也将持续演化。
总的来说,PRA攻击揭示了自动驾驶技术面临的新的安全挑战。虽然自动驾驶汽车的潜力巨大,但也需要不断投入研究和开发来确保其安全性和可靠性。只有通过共同努力,我们才能确保自动驾驶汽车在道路上安全运行,为未来的交通领域带来更多便利和创新。