郗来乐 等: 智能网联汽车自动驾驶安全: 威胁、攻击与防护                                                   1869


                 KNN  和  SVM  算法检测虫洞攻击    [65] .
                    此外, 为了应对     Platoon  控制攻击, 文献  [78] 提出了一种  Platoon  弹性控制器的设计方法, 基于      DoS  攻击对系
                 统传输延迟和服务时间的影响考虑, 通过对闭环系统的动态进行多面体过近似来合成鲁棒控制器, 进而推导出满
                 足     L2  字符串稳定性的条件以优化控制器参数, 从而保证           Platoon  在各种攻击模式的稳定性和性能.
                 5   驾驶模型安全分析: 威胁、攻击与防护

                    在端到端自动驾驶迅速发展的情况下, 以深度神经网络                  (deep neural network, DNN) 为代表的各类模型是实现
                 自动驾驶汽车各项功能的控制核心, 广泛应用于自动驾驶汽车的图像识别、轨迹追踪、路径规划、行为预测等领
                 域  [79] , 一般分为前馈神经网络   (feed-forward neural network, FFNN)、卷积神经网络  (convolutional neural network,
                 CNN)、循环神经网络       (recurrent neural network, RNN) 及其变体. 它们的具体特点与在自动驾驶汽车中的应用如
                 表  4  所示.

                                             表 4 神经网络在自动驾驶汽车中的应用

                                                自动驾驶处理单元
                     名称                   特点                                  解决任务
                     FFNN              单向信号传播                         车辆速度预测、路径规划、控制
                     CNN           卷积计算的前馈神经网络                     车道线识别、目标检测、人体姿态估计          [80]
                     RNN         输入是序列数据, 可以表征记忆               命令语音识别、视频处理, 车辆状态精准预测与控制            [81]

                    出于实现成本、运行效率和数据表征等多方面考虑, 汽车厂商在自动驾驶汽车中所使用模型的总体架构往往
                 是表  4  中多种神经网络的叠加. 如特斯拉使用的            HydraNet 架构以及  Google 的自动驾驶汽车     Waymo  使用的主动
                 学习框架   [82] . 此外, 端到端学习技术的发展克服了传统的自动驾驶模型需要人为设计特征提取器的弊病, 能够直
                 接从原始输入数据中学习数据特征、理解复杂时空条件, 既能节约人力与时间成本, 又能更好地适应多变的交通
                 环境  [83] , 因此未来自动驾驶的模型架构更有可能使用端到端学习. 综上所述, 本节对自动驾驶汽车中模型安全的
                 分析, 将重点关注汽车运行时共性安全问题, 不再区分感知、规划和控制等不同模块.
                    以数据驱动的视角来看, 自动驾驶汽车驾驶模型往往具有训练、执行、更新                         3  个阶段, 如图  5  所示. 云端使用
                 训练集和车辆运行中采集作为样本进行训练得到神经网络模型, 并将模型部署到车辆中, 使车辆辆能够在实际驾
                 驶中执行障碍物识别, 物体分割, 车道检测, 轨迹预测, 行为决策等任务, 同时在运行中持续采集相关数据, 进行新
                 一轮训练. 本节梳理了      3  个阶段所面临的安全威胁和攻击方式, 如表            5  所示.


                                                                云端
                                    模型训练阶段                     数据扩充
                                                               模型训练

                                    模型更新阶段          数据或梯度               模型参数
                                                                 车辆
                                                              感知数据            外界信息
                                                                       传感器
                                                   智能感知
                                    模型执行阶段
                                                   轨迹预测
                                                   路径规划       具体指令            驾驶行为
                                                   决策执行                执行器
                                               图 5 驾驶模型运行各阶段攻击面

                 5.1   驾驶模型训练面临威胁: 训练样本
                    驾驶模型训练阶段是将样本数据输入模型以调整其参数, 从而使神经网络学习特征与结论的潜在映射关系,
                 增强其判断准确性的过程. 模型训练阶段的攻击主要发生在训练样本                       (攻击作用点    G) 上. 自动驾驶汽车在模型训