任睿晗 等: 面向整车系统的自动驾驶安全测试研究综述                                                       169


                  4.3.1    分类问题
                    分类问题通常应用于目标识别模型中. 根据输入源和攻击入口的差异, 将针对分类问题的安全研究工作划分
                 为  3  类, 分别为攻击相机、激光雷达和多传感器融合架构, 如图               10  所示.


                                                   分类问题
                                                             相机  多传感器融合    激光雷达
                                         对抗样本生成
                                                   回归问题
                                                             静态扰动        动态扰动
                                                  图 10 对抗样本生成分类

                    相机是重要的传感器, 价格低廉, 应用广泛, 以特斯拉为代表的一批厂商正在探索纯视觉方案. 但是, 相机一般
                 只提供二维视角, 无法对外部环境形成立体的认知. 一些工作对以相机为输入源的模型进行安全研究. 交通信号灯
                 是城市环境的典型特征之一, Yan         等人  [73] 研究了交通信号灯识别系统. 他们基于信号灯图像搜索出攻击成功率最
                 大的激光参数集, 以在相机捕获的图像中创建彩色条纹, 误导模型的识别过程, 进而通过实验证明对抗样本可能使
                 汽车闯红灯或紧急制动. 为了增强对抗样本在不同距离和视角下的鲁棒性, Wang                        等人  [72] 提出了一种可以嵌入现
                 有对抗攻击工作的系统框架          SysAdv, 设计了新的对象尺寸分布, 并根据控制模型选取合适的采样范围, 在实验中
                 使自动驾驶系统错误识别停车标志和行人, 平均提高了对象逃逸攻击                      70%  的成功率.
                    激光雷达提供了三维视角, 能够描述物体的形状和纹理信息, 但是容易受到天气干扰, 且成本较高. 一些工作
                 对以激光雷达为输入源的模型进行安全研究. Cao              等人  [74] 分析了  Apollo  中基于激光雷达的目标检测过程, 得出结
                 论: 传统的对抗攻击方法可以更改目标检测模型的输出, 却无法在感知模块的工作过程生成虚假物体. 随后, 他们
                 向激光雷达注入激光脉冲, 添加少量点云, 欺骗目标检测模型, 使其在车辆前方检测到不存在的障碍物, 在注入                                60
                 个欺骗点时有     75%  攻击成功率, 最终导致自动驾驶车辆紧急制动或永久静止. 但是, 该方法需要在攻击车上放置
                 激光雷达, 攻击的隐蔽性较弱. 为了提高攻击的可行性, Yang              等人  [75] 对激光雷达及其目标检测模型进行仿真, 设计
                 出误导模型检测结果的障碍物. 通过在路边放置该对抗样本生成欺骗性点云, 使系统误检测为存在车道入侵事件,
                 导致自动驾驶车辆紧急制动或不规则变道.
                    多传感器融合算法能够综合不同传感器的优点和缺点, 通过多个输入源对外部环境进行实时检测, 使感知结
                 果的鲁棒性更强, 是当前厂商的主流解决方案. 当前对该算法的基本共识是, 在非所有输入源同时受到攻击的情况
                 下, 感知模块的输出是可靠的. 因此, 为了验证该算法的安全性, 研究人员试图设计出能够干扰所有输入源的对抗
                 样本. Cao  等人  [76] 分析了同时攻击相机和激光雷达的可行性, 并将其建模为优化问题, 逐步生成对抗性的物理世界
                 对象. 由仿真实验可知, 对抗样本会引发障碍物检测模型产生漏报, 导致碰撞等交通事故, 攻击成功率远高于基于
                 遗传算法生成扰动的基线实验. 上述研究需要使用逆向工程等方法预先获取模型知识, 属于白盒方法, 局限性较
                 大. Hallyburton  等人  [77] 则提出一种黑盒方法——视锥体攻击. 他们将攻击车检测框与受害车传感器连接形成的几
                 何范围称为视锥体, 使用激光在视锥体内部注入虚假点. 在保持相机和激光雷达语义一致性的前提下, 破坏了二者
                 的融合架构, 诱导感知模型产生误报或漏报, 损害自动驾驶功能. 该攻击方法对于各种                          LiDAR  欺骗防御技术的平
                 均攻击成功率超过       90%, 验证了该方法的有效性.
                  4.3.2    回归问题
                    回归问题负责预测车辆和行人的未来运动轨迹, 研究人员致力于干扰模型的预测值. 根据对抗样本的类型, 将
                 该部分的工作划分为静态扰动和动态扰动这               2  类, 如图  10  所示.
                    最简单的对抗样本只修改单帧图片, 部署静态扰动. Boloor 等人                [78] 在车道上覆盖由长宽、颜色和旋转角度等
                 多个参数表征的对抗性线条, 通过网格搜索和贝叶斯优化算法搜索输入空间, 结合目标函数逐步提高对抗样本的
                 攻击成功率. 在以绝对转向角差为目标函数时, 平均攻击成功率超过                    90%. Pavlitskaya 等人  [79] 选取了特定环境、天