财讯：仿真环境跟车2分钟，就让自动驾驶系统撞上马路牙子，攻破率超90%，多

本篇文章3762字，读完约9分钟

原创关注尖端科技量子位话题#自动驾驶5#模拟1#加利福尼亚大学欧文分校1

鱼羊萧发自凹非寺

量子比特报道|公众号qbitai

自动驾驶行业目前最强的msf (多传感器融合)定位算法再次被打破。

受到攻击，平均30秒内，正常行驶中的自动驾驶车撞到了路边的牙齿。

不仅gps变得不方便，lidar、车轮速度计、imu都停不下来。

另外，攻击算法的成功率达到了90%以上。

多传感器融合定位算法达到sota的百度apollo在模拟环境中也成了把戏。

这项最新的研究来自加利福尼亚大学欧文分校( uci )，现在发表在新闻安全行业四大顶级会议之一usenix security上。

多传感器融合是怎么被骗的？

gps欺骗是目前常见的攻击手段，对高端智能手机、无人机、游艇甚至特斯拉车都有效。

一项调查显示，俄罗斯自2009年以来发生了9883起gps欺诈，影响了1311个民间船舶系统。

但是在自动驾驶行业，研究者们一般认为多传感器融合( msf )算法可以有效地对抗gps欺骗。

但是加利福尼亚大学欧文分校的研究者们在模拟环境测试中发现桥豆麻袋上有个洞。

msf方法安全分解

研究者通过实验分解发现，由于传感器噪声和算法误差等实用上存在的动态因素的影响，msf出现了可靠性相对下降的窗口期。

在此期间，gps欺骗可以以指数方式增加msf输出的偏差。

根据分解日志可知，在这种情况下，lidar输入实际上是偏离值，不能提供修正。

也就是说，变得不方便的gps在某种程度上成为自动驾驶车定位的主导输入源，多传感器交叉检查的机制无效。

研究者称之为继承效应( take-off effect )。

fusionripper攻击的做法

根据交接效果，研究者设计了一种名为fusionripper的攻击方法，可以抓住交接大厅中出现的窗边，攻击行驶中的自动驾驶车辆。

攻击方法有两种。

其中之一是偏离车道的攻击。 目的是把目标自动驾驶车向左或向右从车道上卸下，直到离开路面。

其二，错误的道路攻击。 目标自动驾驶车向左偏移进入逆向车道。

攻击成功后，很明显有撞到道路牙齿、从道路悬崖上掉下来、撞到传统车的危险。

在该研究中，假设攻击者可以开始gps欺骗来控制对象车辆的gps定位，需要证明受到攻击的gps接收机输出可靠性高但实际误差大的位置新闻。 另外，攻击者可以在攻击中实时跟踪受害者车辆的物理位置。

攻击的做法具体分为两个阶段。

首先是漏洞的解体。 在这个阶段，攻击者开始gps欺骗，在msf可靠度下降的窗边，测量目标自动驾驶车的反馈新闻进行了分解。

认识到窗边后，进入攻击性欺骗阶段，攻击者开始指数欺骗，引起交接效果，迅速诱发最大偏差。

fusionripper的凶猛

那么，这样的攻击算法，成功率是多少呢？

研究者们首先使用6种现实世界的传感器，在模拟环境中判断fusionripper，一次实验时间为2分钟。

其中，攻击成功的结果通常分为偏离车道行驶还是进入反车道。

也就是说，如果攻击算法在两分钟内把车从车道上移开，或者开到逆向车道上，攻击就会成功。

如下图所示，两种攻击方法分别可以达到至少97%和91%的成功率。

也就是说，在fusionripper的攻击下，自动驾驶车和车在两分钟内以97%的概率偏离车道，91%有可能去逆向车道。

不仅如此，以其他攻击算法为对象的结果表明，fusionripper可以完美地攻击现在的“最强”自动驾驶算法。

在三种比较先进的msf算法中，研究者们测试了fusionripper和常规随机攻击算法。

下图是测试的结果，可以看到在js-msf和eth-msf两种自动驾驶算法中，通常的随机攻击是有用的，车辆偏离车道的成功率比反向行驶的成功率高。

但是，如果通常的随机攻击算法遇到ba-msf，则根据图示的数据结果，成功地将车从车道上卸下，或者逆向行驶的概率只有3.7%和0.2%。

对此，fusionripper算法依然保持势头。

面对ba-msf，fusionripper也以97%的概率将自动驾驶车从轨道上移开。

实际上，该算法对攻击参数的选择非常敏感，因此研究者们提出了在实际攻击前可以选择有效攻击参数的离线方法。

当然，这也限制了攻击条件本身，攻击者必须有与受害者模型相同的自动驾驶车辆。 也就是说，攻击完成需要相同的传感器组。

如下图所示，测试结果表明，该离线方法在攻击时，最终发生偏离车道和逆行的概率至少在80%以上。

这个漏洞的结果可能听起来很严重，但研究者说可以找到应对方法。

这种攻击的根本原理仍然是gps信号欺诈。

如果使用现有的gps信号欺骗检测技术(例如，监视信号功率、基于多天线的信号到达立场检测或基于密码认证的gps基础设施)，则可以在某种程度上进行防御，但这些现有技术不能完全处理问题。

从根本上说，必须提高msf的定位可靠性。 这是克服系统弱点的唯一方法，但目前尚不清楚何时能实现这种突破。

但是，用独立的定位源交叉检查定位结果，减轻攻击仍然是可能的方向，其中之一是利用摄像机进行车道检测。

当然，要实现这种攻击，其实并不便宜。

据作者介绍，在硬件方面，主要包括价值2500美元(约1.7万人民币)左右的高端gps spoofer和能够实时与车一起准确定位目标车辆的自动驾驶车辆两部分。

因此，研究者作为这种攻击算法可能适用的比较现实的状况之一，叙述了攻击者是自动驾驶领域的同行竞争对手。

瞄准最强的自动驾驶开源系统

为什么球队不选择特斯拉，不选择谷歌，而是这次选择百度的apollo着手？

对此，论文一作，uci据博士沈骏杰介绍，选择apollo的理由其实是现实的，是系统的开源。

apollo拥有当今世界上最大的自动驾驶开源社区，影响范围广，便于研究。

当然，选择apollo的理由也不止于此。

百度apollo msf(ba msf )正是生产级多传感器融合算法实现的典型例子。

这次实验使用的apollo系统已经通过了现实厘米级精度的判断，算法的定位方法不仅非常先进，而且是基于msf的定位算法中“最美的孩子”( sota )。

不仅如此，apollo工程师至今为止也在实验中进行了说明。 那个自动驾驶系统可以用多传感器融合等方法来防御gps信号的欺骗。

拥有毫无防备的自动驾驶系统没什么大不了的。

但是，如果你能在这种带有防御能力的高级系统上转弯行驶呢？

在这种情况下，apollo即使躺着也可以“中枪”。

研究小组的算法有直接称为“多传感器融合”的防御算法。

他们在实验时，特意以apollo为例，发现采用特定的gpd信号欺骗方法，可以给汽车带来10m以上的偏移，同时该攻击成功率在90%以上。

据作者介绍，现在他们联系了29家自动驾驶企业，就这种新的攻击算法进行了交流。 在收到的回答中，已经有17家公司开始比较这个问题进行调查。 其中一家公司已经开始开发防御/缓和手段。

这样的攻击有现实的可行性吗？

百度apollo也同样与研究小组进行了一系列的信息表现。

对于这项技术，apollo在收到研究报告的第一时间，非常重视人身安全、无人车安全，他们已经在现实环境中测试了实车。

但是，与研究小组展示的模拟结果不同，apollo的工程师发现fusionripper对实车没有影响。

苹果方面进一步解释说，无人车是软硬件结合的产物。 真正运转的车辆无论是硬件设备还是软件系统，都与实验室的条件完全不同。

在实际测试中，apollo实车使用了rtk gps技术。 这项技术的定位精度是厘米级，远远高于通常使用的gps接收机的米级精度。 受到论文中设想的欺骗干扰时，不能发生厘米水平的可靠性错误rtk。

欺骗gnss接收机产生错误的rtk结果，需要极高的硬件价格，对抗几十个卫星检查和车辆两个天线检查，理论上几乎是不可能的。 最后，apollo有多传感器融合和gps伪造检测能力，辅助欺骗的识别。

另外，apollo工程师指出，该研究中使用的apollo msf是版本，在模拟场景中攻击成功的是，当时版本的msf将lidar等传感器数据与gnss位置新闻实时强烈匹配。

在最新的工程实践中，apollo对此进行了优化。 攻击者在近距离长时间跟踪自动驾驶车，持续发送gps欺骗信号，即使无人车车载高精度接收机的所有通道被欺骗，最终位置输出偏移的情况下，msf也比较稳定，强烈检查没有干扰的激光定位作为观测值，

apollo方面还建议，同样的硬件安全研究为了最终落地于工业，应该在实际环境中进行进一步的测试。 因此，apollo的未来也将与各大学合作。

结果，让自动驾驶车保持跛脚不是攻防研究的本质目的。

发掘现有做法背后的安全问题，使自动驾驶系统更安全，是相关研究的意义。

我相信开放的技术交流、合作会从更安全的自动驾驶中更进一步。

你说吗？

传送门:

项目链接: sites.Google/view/CAV-sec/fusion ripper

结束了

本文是网易信息网易号特色复制激励计划账户【量子位】原始复制，未经账户授权，禁止擅自转载。

原标题:“模拟环境和车2分钟，自动驾驶系统撞到道路牙齿，破坏率超过90%，多传感器融合系统故障。”

阅读原文。