Yola bir "yama" koyun ve akıllı araba yüksek hızda yoldayken kontrolü anında kaybedebilir!
İçbükey tapınaktan Qianming 13 Qubit Raporu | Genel Hesap QbitAI
Arabalar daha akıllı ve daha kullanışlı hale geliyor, ancak aynı zamanda yeni güvenlik riskleri de getiriyor.
Şeritte kalma destek sistemi, yani LKAS Geçmişte, L2 otonom sürüşün temel işlevlerini bir satış noktası olarak kullanmak, uzun mesafeleri açmak ve yüksek hızlı döngüler insan sürücüler için kolaylaştırabilir ve şimdi tüm büyük akıllı otomobillerin standart ekipmanı haline geldi.
Ancak böylesine akıllı bir sürüş sisteminin yalnızca saldırı altında olması gerekir 1.3 saniye Bir anlık ihmal, kontrol dışı Diğer şeritlere yüksek hızda dönecek şekilde.
Bu sonuç, güvenlik alanındaki en önemli konferans olan NDSS'de yapılan ve En İyi Poster Ödülü'nü kazanan (ilk 1/30) yeni bir araştırmadan geliyor Araştırmacılar arasında çok sayıda Çinli genç var.
Ve otonom sürüş alanında çok az ses var Bayt atma , Yazarın kurumunda ve onay listesinde görünür.
Huh? Bu mu? hala?
Gelin bu yeni araştırmaya birlikte daha yakından bakalım ve makalenin yazarını da soruları yanıtlamak için bulduk.
Şeritte kalma destek sistemi her saniye kontrolü kaybeder
Makale esas olarak California Üniversitesi, Irvine'den iki yazar tarafından yönetiliyor.
Makalede, saldırı vektörü olarak şerit hattını kapsamayan "kirli yol yaması" nı kullandılar ve bunu en gelişmiş açık kaynaklı şerit tutma destek sistemi olan OpenPilot'ta test ettiler: saatte 126 kilometre hızla bir araca saldırmak için yalnızca 0.9 saniye Sadece yap kontrol dışı Saatte 72 kilometre hızla giden bir arabanın 1.3 saniye .
Normalde, bir insan sürücünün aracın kontrolden çıktığını fark etmesi ve önlem alması 2,3 saniye sürer. Şu anda, Volkswagen Golf, Toyota Camry, Honda CR-V gibi 15 otomobil markasının 52 modeli OpenPilot'u desteklemektedir.
Etkilenen yalnızca OpenPilot kullanan otomobiller değildir. Araştırma ekibi, bu saldırının Tesla'nın Otopilot'u gibi etkilenebilecek herhangi bir derin sinir ağı tabanlı şerit tutma sistemi için geçerli olduğunu söyledi.
Çok çeşitli saldırı yöntemlerine ek olarak, saldırı etkisi de açıktır.
Makalede, saldırının etkinliği üç senaryoda test edildi. İlk iki senaryo, gerçek dünya otoyol sahneleri olan comma2k19-1 ve comma2k19-1 veri kümelerini kullanır.
Üçüncü senaryo, LGSVL-1 veri setinden gelir. Simüle edilmiş otoyolun doğruluğu endüstriyel düzeye ulaşabilir. Genel sonuçlar aşağıdaki gibidir:
Araştırma ekibi, dönüştürülmüş kamera görüntüsünden ve araba hareket modeli kitaplığından gelen girdiden oluşturulan ilk iki test için yalnızca bir tanıtım videosu oluşturdu.
Başka bir deyişle, BEV (üstten görünüm) görüntüsüne bir "kirli yol yaması" yerleştirilir, BEV'den kamera girişi oluşturulur ve ardından bir sonraki karenin durumu, araba hareket modeline göre güncellenir.
Otonom araçlara ilk bakış Yüksek hız (126 km / s).
Saldırı olmadığında, araç hala çok düzgün hareket ediyor ve orijinal şeridini koruyabiliyor. Ancak kirli yol yamasını ekledikten sonra araç (arabadaki bakış açımız) "Sarhoş" Benzer şekilde, şeridinizden hızla çıkın. Aşağıda, normal durum ile bir saldırı ekledikten sonraki perspektif arasında bir karşılaştırma verilmiştir:
İkinci senaryo, otonom bir araç Ortalama hız (105 km / s). Saldırıdan sonra yüksek hızda sarhoş olmak kadar abartılı olmasa da sürüş pozisyonunun hızla değiştiği görülebiliyor.
Karşılaştırma şu şekildedir:
Üçüncü simülasyon senaryosunda, otonom aracın sürüş hızı 72 km / saattir.Görece düşük bir hızda, bir saldırıya neden olmak için gereken süre 1.3 saniyedir.
Genellikle, LKAS şekerleme konusunda uzmanlaşmış bir sürüş yardımı işlevi olarak kabul edilir, ancak bu "kirli yol yamasıyla" karşılaştığınızda, Saniyeler içinde kontrolden çıktı, bir şey oldu , Cevap çok geç.
Ne tür bir saldırı otonom sürüş LKAS'ı bu kadar dengesiz hale getirebilir?
Yolda "yama"
Basit bilim ilkeleriyle başlayalım. Derin Sinir Ağına (DNN) dayalı LKAS, L2 otopilot sistem teknolojisine aittir. En temsilci olanlar, şu anda en yaygın kullanılan akıllı sürüş teknolojilerinden biri olan OpenPilot ve Tesla'nın Otopilot'udur. Daha yaygın olarak kullanılmaktadır.
Ancak kullanımı kolay olsa da güvenli midir? Sonuçta, yolda araç sürerken her gizli tehlike kişisel güvenlikle ilgilidir.
Araştırmacıların projeyi başlatmak için asıl amacı budur. Irvine, California Üniversitesi'nde doktora öğrencisi ve araştırmanın ortak yazarı Shen Junjie şunları söyledi: "Bu tür bir sistemi kullananların bakış açısından, en iyi şerit koruma sisteminin yeterince güvenli olup olmadığını bilmek istiyorum. Ve güvenliğinin nasıl sağlanacağı. "
Mart 2019'da projeyi resmen kurdular ve LKAS'ın güvenliği konusunda araştırmalara başladılar. Temel hipotez şudur: Bu LKAS'ler DNN'ye dayalıdır, DNN'ye yönelik doğrudan saldırılar hasara neden olabilir mi?
O kadar basit değil. Böyle bir LKAS'ı yok etmek için, adım atmanız gerekir. "Üç Büyük Dağ" :
- Öncelikle, optimizasyon yöntemleriyle şerit takip sistemi için sistematik olarak kötü amaçlı bir yol yaması nasıl oluşturulur.
- İkinci olarak, sürücüler ve yayalar tarafından şüphe uyandırmaktan kaçınmak için yol yamalarının gizlenmesinin nasıl sağlanacağı.
- Üçüncüsü, oluşturulan yol yamasının sürekli birden fazla görüntü karesine nasıl saldırılacağı ve şerit koruma sistemine saldırı yapıldıktan ve aracın yörüngesi değiştirildikten sonra saldırının etkinliğinin nasıl sağlanacağı.
Bu çalışma, yalnızca "üç dağ" üzerinden tırmanabilen ilk saldırı yöntemini tasarladı ve uyguladı. Bir parça "kirli yol yaması" .
Saldırganın hedefle aynı şerit takip sistemine sahip olduğunu varsayarlar ve tersine mühendislik yoluyla sinir ağı modeli parametreleri gibi sistemin ayrıntılarını öğrenebilirler.
Hedef, OpenPilot gibi açık kaynaklı bir şerit tutma sistemine dayanıyorsa, saldırgan tüm model parametrelerini ve kaynak kodunu kolayca elde edebilir.
Saldırıya uğrayan nesne Tesla Otopilot gibi kapalı kaynaklı bir sistem kullanıyorsa, saldırgan aynı zamanda tersine mühendislik yoluyla modelin yapısını ve parametrelerini elde edebilir.
Örneğin, geçen yıl Tencent'in Keen Lab'ı, Autopilot'ta modeli başarılı bir şekilde tersine çevirdi ve başarılı bir şekilde bir saldırı başlattı.
Ancak bu yalnızca ilk adımdır. Belirli bir saldırıda şunlara da ihtiyacınız var: Araç hareket modeline göre girdi oluşturun . Birbirini izleyen kamera kareleri arasındaki saldırıların karşılıklı bağımlılığı dikkate alındığında, yama oluşturma işlemi sırasında sürüş yörüngesindeki değişikliklere göre kamera girdisinin dinamik olarak güncellenmesi gerekmektedir.
Araştırmacılar, arabanın yörüngesindeki değişiklikleri simüle etmek için bir bisiklet modeli kullandı ve ardından saldırıya uğramayan orijinal kamera girişine perspektif dönüşümü uygulayarak kamera girişini güncelledi.
Aşağıdaki şekildeki kırmızı kutu, model giriş alanıdır. Perspektif dönüşümden sonra, bazı bozulmalara ve kısmi kayıplara neden olacak olsa da, merkezdeki model girdi alanı hala tam olarak kullanılabilir.
Daha sonra, kötü amaçlı bir kaldırım onarım yaması oluşturuldu ve bir optimizasyon yöntemi benimsedi - * Çok çerçeveli yol bükme hedef işlevi (Çok çerçeveli yol bükme hedefi işlevi). Aracın olabildiğince sapmasını sağlamak için amaç işlevini değiştirmek için kullanın.
Bu amaç fonksiyonuna bağlı olarak, her bir kamera girdisinin eğimi elde edilebilir. Ancak gradyan inişi, kötü amaçlı kaldırım onarım yamalarını güncellemek için doğrudan uygulanamaz.
Araştırmacılar tüm kamera girdilerini BEV'ye çevirdi, gradyanları aynı ölçeğe ayarladı ve bu sorunu çözmek için ağırlıklı bir ortalama aldı. Ayrıntılar aşağıdaki şekilde gösterilmektedir:
Aynı zamanda, normal (ancak kirli) bir yol yaması gibi davranarak güncelleme yönünü gri tonlama aralığı ile sınırladılar, böylece saldırı daha gizli bir şekilde başlatılabilir.
Öyleyse soru, gerçek dünyada böyle bir saldırganlığın olasılığı nedir? Nasıl başa çıkılır bununla?
Saldırılara nasıl yanıt verilir?
Araştırma ekibi, bu saldırının derin sinir ağlarına dayalı herhangi bir şerit tutma sistemine uygulanabileceğini söyledi.Saldırının uygulanabilirliği daha da geliştirilecek ve şerit tutma destek sistemindeki boşluklar daha fazla incelenecek.
Gazetede, eğer birisi bunu ticari veya finansal amaçlarla veya şirketler arası rekabet için kasıtlı olarak yapabilirse, gerçek dünyada kötü niyetli bir saldırı başlatmanın imkansız olmadığını söylediler.
Sonuçta, bir sosyal platformun işletmeci ortağı, bir arkadaşını kötü niyetle ihbar ettiği için tutuklandı, bu da rekabetin her şeye kadir olduğunu bir kez daha kanıtlıyor ...
Bu durumda, bu sorunla nasıl başa çıkmalıyız? Makalenin yazarlarından biri olan Shen Junjie, bir araştırmacının bakış açısından uygulanabilir bir plan verdi.
Dedi ki: "Son yıllarda, birçok araştırmacı gerçekten de rakip eğitim, girdi boyutunda rastgele değişiklikler ve doldurma vb. Gibi çeşitli farklı savunma yöntemleri önermiştir."
Ancak bu savunmalar, bu soruna ancak belirli bir ölçüde rahatlama sağlayabilir. "Şu anda çekişmeli örnekler sorununu tamamen çözebilecek bir savunma yöntemi yok." Dedi.
Olası bir yön, şerit tespitinin sonuçlarını çapraz doğrulamak için araç destek sistemindeki diğer bilgileri kullanmaktır. Örneğin, aracın yanal sapmasını belirlemek için radarın çevredeki araçlara ilişkin tahminini kullanın.
Bu nedenle, gerçekte benzer saldırıların olasılığı çok küçük olsa bile, güvenlik garanti edilemediğinde, otonom sürüşün tamamen güvenilir olup olamayacağı ihtiyatlı bir tutum gerektirir.
Aşırı durumlarda ölümcül olacaktır. Örneğin, Mayıs 2016'da Tesla'nın Otopilot'u, kamyon gövdesinin yansıması nedeniyle karşı kamyonu tanımadı ve otonom sürüş durumunda Model S'de kazaya neden olarak sürücünün ölümüne neden oldu.
Binlerce yol vardır ve güvenlik her zaman ilk sıradadır.
ByteDance liderliğindeki California Üniversitesi, Irvine
Son olarak, bir sonraki bölümün başında ortaya atılan "bayt atlatma şüphesini" yanıtlayın. ByteDance, otonom sürüşün bir düzeni değildir, ancak ileriye dönük bir yazar dahil edilmiştir.
California Irvine Üniversitesi, ByteDance ve Northeastern Üniversitesi'nden bu çalışmanın yazar ekibinin toplam 6 araştırmacısı var. Bunların arasında Northeastern Üniversitesi'nde ders veriyorum Xue Lin , Tsinghua Üniversitesi'nden mezun oldu.
Eşit katkılara sahip ilk iki yazar, Irvine, California Üniversitesi'nden. Takami Sato ile Shen Junjie .
Junjie Shen, Hangzhou Dianzi Üniversitesi'nden 2013 yılında iletişim mühendisliği alanında lisans derecesi ile mezun oldu ve 2015 yılında Kuzey Carolina Eyalet Üniversitesi'nden bilgisayar mühendisliği alanında yüksek lisans derecesi aldı.
2016 yılında, doktora eğitimi almak için California Üniversitesi, Irvine'e gitti. Chen Qi Makalenin ilgili yazarı.
Chen Qi, Nanjing Üniversitesi'nden 2012 yılında bilgisayar bilimi bölümünden mezun oldu ve ardından Michigan Üniversitesi'ne gitti. Mao Zhuqing Profesör, 2018'de sistem ve ağ güvenliği alanında doktora derecesi aldı ve aynı yılın Temmuz ayında yardımcı doçent olarak Irvine, California Üniversitesi'ne katıldı.
Shen Junjie'nin öğrenci arkadaşı Takami Sato, Tokyo Teknoloji Enstitüsü'nden lisans ve yüksek lisans derecesi ile mezun olmuştur. Buna ek olarak, California Üniversitesi, Irvine'de adında bir doktora öğrencisi var. Ningfei Wang .
Shen Junjie'ye göre, esas olarak bilgisayar güvenliği araştırmalarına odaklanıyorlar. 2018 yılından bu yana, ACM CCS, Usenix Security, ICLR, EuroSys ve NDSS'de yayınlanan otonom sürüş ve akıllı ulaşım sistemlerinin saldırı ve savunması hakkında 10'dan fazla ilgili makale yayınlandı.
Bu derin öğrenmeye dayalı şerit tutma yardım sistemi güvenlik araştırması, ekibinin en son başarısıdır. Chen Qi ekibinin araştırmacılarına ek olarak, Bytedance'tan Jia Yunhan bu araştırmaya katıldı.
Yunhan Jia, 2013 yılında Şanghay Jiaotong Üniversitesi'nden yazılım mühendisliği bölümünden mezun oldu ve ardından doktora derecesi için Michigan Üniversitesi'ne gitti. Mao Zhuqing Profesör ve Chen Qi aynı disiplinden kardeşler.
2018'de doktorasından mezun olduktan sonra, Baidu'nun X Lab'a güvenlik araştırmaları yönünde katıldı. Ağustos 2019'da katıldı ByteDance Yapay Zeka Laboratuvarı Araştırma bilimcisi olarak.
Jia Yunhan'ın son yıllarda yaptığı araştırma, özellikle akıllı araç güvenliği alanında güvenlik üzerine odaklandı. Jia Yunhan, 2015 yılından bu yana ACM CCS, NDSS ve diğer akademik konferanslarda 15 makale yayınladı ve 3 patent aldı.
Bağımsız bir araştırmacı olarak, Chen Qi'nin ekibi ile işbirliği içinde, otonom sürüş sistemlerinde hedef takibine yönelik saldırıları araştıran makalesinin ICLR 2020'ye dahil edildiği bildirildi.
Bu nedenle, işin ne yaptığı gerekli olmayabilir, eğer yeteneğiniz varsa, gerçekten istediğinizi yapabilirsiniz.
Elbette yetenek için ön koşul paraya sahip olmak ...
Portal
Kağıt adresi:
https://www.ndss-symposium.org/wp-content/uploads/2020/02/NDSS2020posters_paper_15.pdf
- Bitiş -
Qubit QbitAI · Toutiao İmzalı
Bize dikkat edin ve en son teknolojideki en son gelişmeleri alın
