郗来乐 等: 智能网联汽车自动驾驶安全: 威胁、攻击与防护                                                   1871


                 能够高效地完成模型的具体任务. 然而, 与车载操作系统类似, 这样的中央操作单元在模型执行阶段中可能会受到
                 非法访问   [5] , 进而使得正确部署的模型在实际运行中得到错误的结果. 模型篡改攻击一般表现为模型扰动攻击和
                 模型扩展攻击     [93] . 其中模型扰动攻击通过对模型二进制数据进行篡改, 导致模型神经元权重变化, 进而对总体模
                 型产生精度影响      [90] . 如文献  [91] 生成一组加权扰动并不断迭代以寻找最佳扰动和相应神经元, 并在提权后将扰动
                 添加到网络中; 文献      [92] 利用恶意软件来修改受害者进程地址空间中的模型神经元权重, 从而造成模型的更改.
                 模型扩展攻击通过对模型结构进行特定修改, 实现神经网络的后门植入, 从而令受害模型对特定输入输出错误结
                 果  [102] . 如文献  [94] 将精心制作的木马网络与受害者网络合并, 达到修改最终预测结果的目的; 文献                   [95] 将  DNN
                 模型的二进制文件分解为一个数据流图, 在数据流图中添加木马子图以识别特定样本, 最后将它重新编译为一个
                 带有后门的模型.
                    3) 模型滥用攻击: 为了保护模型与数据的机密性, 自动驾驶汽车厂商并不对外公布模型实现与训练数据的具
                 体细节, 相关模型     API 也不对外开放. 但如果攻击者在执行环境中获取了任意调用车内模型                       API 的权限, 就可以
                 通过特定的模型参数输入与调用序列, 分析出模型本身信息与训练集                      [103] , 从而降低对抗性样本生成等攻击方式的
                 实现难度. 模型滥用可能导致模型提取攻击、成员推理攻击与模型逆向攻击. 模型提取攻击指通过循环发送数据
                    首先自动驾驶汽车向云端发送模型梯度或其他数据, 云端向自动驾驶汽车返回再训练后更新的模型参数, 这
                 并查看对应的响应结果, 来推测机器学习模型的参数或功能, 复制出一个功能相似的机器学习模型                               [96] . 如文献  [97]
                 使用对抗训练训练一个逼近受害者模型的模型来近似获取模型信息. 成员推理攻击指通过分析黑盒模型对给定数
                 据样本的输出, 以判断该样本是否在模型的训练集中. 如文献                   [98] 在模型提取攻击成功的前提下, 将提取的模型
                 使用不同的数据进行训练, 并将样本分别输入原始模型与提取出的模型, 通过分析置信度的方式来判定样本是否
                 处于原始模型的训练集中. 模型逆向攻击指在得到模型初步信息与调用权限的前提下, 通过逆向分析模型得到训
                 练数据集的统计特征. 如文献         [99] 在仅拥有数据标签的情况下, 通过最大化模型在目标预测值上的置信度获得模
                 型训练数据的平均值.
                    就总体而言, 自动驾驶在模型执行阶段可能受到的攻击种类繁多, 角度多样. 目前在自动驾驶汽车上已经实现
                 的攻击主要集中在对抗样本攻击上, 而模型篡改攻击与模型滥用攻击的具体应用较少. 但相对于对抗样本攻击, 后
                 两者可以实现对汽车的完全控制与数据窃取, 亟待学者的进一步研究.

                 5.3   驾驶模型更新面临威胁: 更新信息
                    模型更新阶段是自动驾驶汽车与云端进行行驶记录或模型相关参数的交互, 对模型进行更新优化的过程. 传
                 统汽车更新仅需要以远程升级           (over-the-air, OTA) 的方式下载对应升级包, 只要保证      OTA  通道的安全性, 就可以
                 保证更新的安全性.
                    自动驾驶汽车模型更新过程有其特殊性, 需要向云端提供运行数据, 以实现车载模型再训练的精确性和泛化
                 性, OTA  方式并不能满足这一要求. 为了适应这一特点, 特斯拉等厂商将联邦学习应用在自动驾驶汽车模型更新
                 过程. 联邦学习将模型训练过程分散到多个本地设备上进行, 每个设备只训练自己本地的数据, 然后将模型参数聚
                 合起来形成全局模型       [104] .
                    联邦学习一定程度上避免了中央服务器集中处理大量敏感数据所带来的数据直接泄露的风险, 但是由于汽车
                 与云端不定期进行信息交互, 攻击者可以通过获取模型再训练时车云之间交互的更新信息                              (攻击作用点    I), 窃取目
                 标汽车或其他自动驾驶汽车的模型数据, 从而给自动驾驶汽车引入新的攻击威胁.


                 一过程有可能被攻击者劫持或监听, 导致模型梯度的泄露, 从而攻击者可以推理出车辆运行数据, 如行驶图像, 车
                 辆位置等. 此外, 由于联邦学习通过梯度共享机制实现联合建模, 攻击者可以学习梯度差异来窃取其他车辆模型数
                 据, 如文献  [100] 在整个模型更新梯度的过程中通过不断减少梯度差异, 反推更新输入样本和标签信息, 从而实现
                 对其他自动驾驶汽车模型数据窃取.
                    随着未来自动驾驶汽车的普及以及机构与个人对于敏感数据的愈发重视, 联邦学习将成为自动驾驶汽车模型
                 再训练的首选技术, 而其引入的模型更新威胁也将得到研究者更多的关注.