A First Physical-World Trajectory Prediction Attack via LiDAR-induced Deceptions in Autonomous Driving

要約

軌道予測は、過去の軌道に基づいて近くのエージェントの動きを予測します。
自動運転車にとって正確な軌道予測は非常に重要です。
既存の攻撃は、攻撃者 AV の履歴軌跡を直接操作することにより、被害者 AV の予測モデルを侵害しますが、現実世界への適用性は限られています。
この論文では、被害者 AV の認識モジュールに対する攻撃を介して予測エラーを誘発する間接的な攻撃アプローチを初めて調査します。
LiDAR ベースの知覚に対する物理的に実現可能な攻撃は、いくつかのオブジェクトを戦略的な位置に配置することで可能であることが示されていますが、下での予測に対して効果的な攻撃を開始するために、広大な探索空間からオブジェクトの位置を見つけることはまだ未解決の課題です。
被害者の AV の速度を変化させます。
分析を通じて、予測モデルはシーン内の単一点に焦点を当てた攻撃を受けやすいことがわかりました。
そこで、我々は単一点攻撃を実現するための新たな二段階攻撃フレームワークを提案する。
予測側攻撃の第 1 段階では、知覚に対するオブジェクトベースの攻撃における検出結果の分布に基づいて、効果的で速度に依存しない予測モデルの状態摂動を効率的に特定します。
位置マッチングの第 2 段階では、実現可能なオブジェクトの位置と見つかった状態の摂動を照合します。
公開されている自動運転データセットを使用した評価では、私たちの攻撃が最大 63% の衝突率と、被害者 AV のさまざまな危険な反応を引き起こすことが示されています。
私たちの攻撃の有効性は、実際のテストベッド車でも実証されています。
私たちの知る限り、この研究は、自動運転における LiDAR ベースの認識から予測にまで及ぶ初のセキュリティ分析であり、予測に対する現実的な攻撃につながります。
提案された攻撃に対抗するために、考えられる防御策が議論されます。

要約(オリジナル)

Trajectory prediction forecasts nearby agents’ moves based on their historical trajectories. Accurate trajectory prediction is crucial for autonomous vehicles. Existing attacks compromise the prediction model of a victim AV by directly manipulating the historical trajectory of an attacker AV, which has limited real-world applicability. This paper, for the first time, explores an indirect attack approach that induces prediction errors via attacks against the perception module of a victim AV. Although it has been shown that physically realizable attacks against LiDAR-based perception are possible by placing a few objects at strategic locations, it is still an open challenge to find an object location from the vast search space in order to launch effective attacks against prediction under varying victim AV velocities. Through analysis, we observe that a prediction model is prone to an attack focusing on a single point in the scene. Consequently, we propose a novel two-stage attack framework to realize the single-point attack. The first stage of prediction-side attack efficiently identifies, guided by the distribution of detection results under object-based attacks against perception, the state perturbations for the prediction model that are effective and velocity-insensitive. In the second stage of location matching, we match the feasible object locations with the found state perturbations. Our evaluation using a public autonomous driving dataset shows that our attack causes a collision rate of up to 63% and various hazardous responses of the victim AV. The effectiveness of our attack is also demonstrated on a real testbed car. To the best of our knowledge, this study is the first security analysis spanning from LiDAR-based perception to prediction in autonomous driving, leading to a realistic attack on prediction. To counteract the proposed attack, potential defenses are discussed.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google