鑒源實(shí)驗(yàn)室·如何通過雷達(dá)攻擊自動(dòng)駕駛汽車-針對(duì)點(diǎn)云識(shí)別模型的對(duì)抗性攻擊的科普

01

引 言

隨著自動(dòng)駕駛技術(shù)的迅速發(fā)展，雷達(dá)和激光雷達(dá)等傳感器在自動(dòng)駕駛汽車中的作用愈發(fā)重要。它們能夠生成3D點(diǎn)云數(shù)據(jù)，幫助車輛實(shí)時(shí)感知周圍環(huán)境并做出安全決策。然而，盡管這些傳感器對(duì)駕駛環(huán)境的檢測(cè)非常精確，它們也面臨一種新興的威脅——對(duì)抗性攻擊。

對(duì)抗性攻擊是一種通過微小但精心設(shè)計(jì)的擾動(dòng)，旨在欺騙機(jī)器學(xué)習(xí)模型的攻擊方式。對(duì)于自動(dòng)駕駛系統(tǒng)而言，這意味著通過對(duì)傳感器輸入的數(shù)據(jù)進(jìn)行極小的修改，攻擊者可以導(dǎo)致自動(dòng)駕駛汽車對(duì)其周圍環(huán)境作出錯(cuò)誤的判斷。例如，在點(diǎn)云識(shí)別模型中，攻擊者可以通過擾動(dòng)點(diǎn)云中的數(shù)據(jù)，使得車輛無法正確檢測(cè)障礙物或行人，從而引發(fā)嚴(yán)重的安全事故。

這種攻擊方式的危險(xiǎn)在于，擾動(dòng)往往非常微小，但它足以誤導(dǎo)深度學(xué)習(xí)模型。例如，通過使用針對(duì)3D點(diǎn)云的對(duì)抗性攻擊，攻擊者可以制造虛假目標(biāo)，或隱藏真實(shí)目標(biāo)，使車輛在物理世界中無法正確響應(yīng)。這些攻擊不僅對(duì)自動(dòng)駕駛的安全性構(gòu)成重大威脅，也對(duì)自動(dòng)駕駛系統(tǒng)的魯棒性提出了新的挑戰(zhàn)。

隨著對(duì)抗性攻擊技術(shù)的不斷演進(jìn)，了解并防御這些攻擊變得尤為關(guān)鍵。本篇文章將重點(diǎn)介紹如何通過雷達(dá)對(duì)抗性攻擊來影響自動(dòng)駕駛汽車的點(diǎn)云識(shí)別模型，揭示其潛在的危害。

02

針對(duì)點(diǎn)云識(shí)別模型的對(duì)抗性攻擊

2.1 2D對(duì)抗性攻擊方法向3D點(diǎn)云模型遷移的挑戰(zhàn)與難點(diǎn)

2014年，Goodfellow等[1]的研究指出，在待識(shí)別圖片中巧妙地加入一定的噪聲，會(huì)使得圖像被神經(jīng)網(wǎng)絡(luò)誤分類。同時(shí)，該研究也揭示了神經(jīng)網(wǎng)絡(luò)的脆弱性，使得神經(jīng)網(wǎng)絡(luò)的攻擊方法成為了近年來深度學(xué)習(xí)的研究熱點(diǎn)之一，隨后，出現(xiàn)了大量針對(duì)圖像的對(duì)抗性攻擊方法。如Su等嘗試使用更改圖像的單個(gè)像素的方式完成對(duì)神經(jīng)網(wǎng)絡(luò)的攻擊，該方法通過改變圖像中的單個(gè)像素觀察神經(jīng)網(wǎng)絡(luò)輸出概率的方式，搜索最終生成對(duì)抗樣本需要更改的像素，Wang等提出一種使用替代模型訓(xùn)練可遷移的對(duì)抗樣本的方法，通過訓(xùn)練一定數(shù)量的替代網(wǎng)絡(luò)生成可遷移的對(duì)抗樣本。

但這些方法都難以直接遷移應(yīng)用至點(diǎn)云識(shí)別模型的攻擊中：首先，2D的圖像和3D的點(diǎn)云數(shù)據(jù)結(jié)構(gòu)上存在巨大的差異，2D圖像中的像素是有序的，按行列排布，而3D點(diǎn)云數(shù)據(jù)中的點(diǎn)是無序的，點(diǎn)的排列順序?qū)c(diǎn)云的幾何結(jié)構(gòu)沒有影響。這使得許多直接基于像素位置的2D方法無法簡(jiǎn)單遷移到3D點(diǎn)云中，因?yàn)辄c(diǎn)云沒有固定的排列結(jié)構(gòu)。另外，3D點(diǎn)云相比于2D圖像通常更加稀疏。點(diǎn)云中的每個(gè)點(diǎn)可能包含有限的鄰居點(diǎn)，而2D圖像中的每個(gè)像素通常都有固定數(shù)量的鄰居。這種稀疏性增加了在3D點(diǎn)云上生成有效對(duì)抗性樣本的難度。還有，2D圖像和3D圖像的坐標(biāo)空間不同，在2D圖像中，像素位于離散的二維網(wǎng)格中，而3D點(diǎn)云的數(shù)據(jù)位于連續(xù)的三維空間中。攻擊者在2D圖像上進(jìn)行的像素?cái)_動(dòng)非常直觀，而在3D空間中，修改點(diǎn)的坐標(biāo)會(huì)影響物體的形狀、姿態(tài)和幾何結(jié)構(gòu)，使得在生成對(duì)抗性樣本時(shí)需要更復(fù)雜的幾何變換。3D點(diǎn)云模型對(duì)旋轉(zhuǎn)和平移等幾何變換相對(duì)敏感。使得對(duì)抗性攻擊在3D點(diǎn)云模型上相比于2D圖像識(shí)別模型更容易受到空間和角度的變化所影響最終導(dǎo)致失效。最后，3D模型的對(duì)抗性攻擊相比于2D模型計(jì)算量更大，3D數(shù)據(jù)的處理往往比2D圖像復(fù)雜得多，計(jì)算成本更高。在生成對(duì)抗性樣本時(shí)，算法需要處理大量點(diǎn)，這顯著增加了時(shí)間和資源的消耗。

2.2 針對(duì)點(diǎn)云識(shí)別模型的對(duì)抗性攻擊算法介紹

雖然將2D模型的對(duì)抗性攻擊方法遷移至3D點(diǎn)云的攻擊方法存在諸多挑戰(zhàn)，但還是有研究人員成功地將應(yīng)用于2D模型的對(duì)抗性攻擊方法遷移到了針對(duì)3D點(diǎn)云模型的方法中。Xiang等[2]提出了一種基于C&W的攻擊方法，稱之為3DAdv。3D Adv采用了C&W作為尋找對(duì)抗性特征使用的待優(yōu)化函數(shù)，采用Chamfer距離用于衡量?jī)蓚€(gè)點(diǎn)云之間的相似性，通過梯度下降的方法求解出最后的對(duì)抗性特征。3DAdv采用了Chamfer距離來度量原始點(diǎn)云與擾動(dòng)點(diǎn)云的相似性：這使得擾動(dòng)后的點(diǎn)云在幾何結(jié)構(gòu)上依然保持與原始點(diǎn)云的高度相似，同時(shí)允許針對(duì)特定點(diǎn)的微小擾動(dòng)，采用Chamfer距離很好地解決了L2范式等方法無法應(yīng)用于評(píng)估點(diǎn)云之間的相似度問題，一定程度上解決了3D點(diǎn)云的無序性問題和稀疏性問題。3D Adv雖然在一定程度上解決了點(diǎn)云數(shù)據(jù)和圖像數(shù)據(jù)特征不一致的問題，但其難以在現(xiàn)實(shí)世界中復(fù)現(xiàn)，另外還存在生成的計(jì)算復(fù)雜度高、適用范圍有限等局限性。

圖 1 3D Adv可視化效果[2]

另外也有其它的研究者另辟蹊徑，選擇使用別的方法生成對(duì)抗性的點(diǎn)云。比如Harmi等[3]就通過對(duì)抗性生成網(wǎng)絡(luò)進(jìn)行對(duì)抗性點(diǎn)云的生成，對(duì)抗性生成網(wǎng)絡(luò)由兩個(gè)部分——生成器和判別器組成，生成器負(fù)責(zé)生成對(duì)抗樣本，判別器用于評(píng)估這些樣本的真實(shí)性。AdvPC 通過這種對(duì)抗性訓(xùn)練，生成在幾何上與原始點(diǎn)云相似但能夠欺騙分類器的對(duì)抗樣本。通過這種方法生成的樣本具有魯棒性強(qiáng)、可遷移性強(qiáng)的特點(diǎn)：傳統(tǒng)的基于梯度的對(duì)抗性攻擊通常需要對(duì)目標(biāo)模型進(jìn)行專門優(yōu)化，生成的對(duì)抗樣本難以在不同模型之間通用。AdvPC通過生成模型，能夠生成對(duì)多個(gè)模型都有效的對(duì)抗性樣本。換句話說，生成的對(duì)抗樣本具有較強(qiáng)的可遷移性，在不同的3D點(diǎn)云分類器中依然能夠誤導(dǎo)模型。另外，由于AdvPC結(jié)合了生成對(duì)抗網(wǎng)絡(luò)的強(qiáng)大能力，它生成的對(duì)抗樣本在一定的旋轉(zhuǎn)、平移或噪聲干擾下仍然能夠保持有效。相比于直接的梯度攻擊，AdvPC生成的對(duì)抗性樣本更能適應(yīng)實(shí)際的物理環(huán)境變化，適合在現(xiàn)實(shí)應(yīng)用中使用。但是，AdvPC也存在自己的局限性：由于GAN的訓(xùn)練過程本身較為復(fù)雜，AdvPC的實(shí)現(xiàn)需要大量計(jì)算資源，尤其在生成高質(zhì)量的對(duì)抗樣本時(shí)，訓(xùn)練過程可能會(huì)消耗大量時(shí)間。另外，盡管AdvPC在數(shù)字環(huán)境中的效果顯著，但將這些對(duì)抗樣本應(yīng)用于物理世界（如激光雷達(dá)數(shù)據(jù)）時(shí)，可能仍需要克服一些現(xiàn)實(shí)中的傳感器噪聲和環(huán)境變化。

圖2 AdvPC算法流程[3]

3DAdv和AdvPC除去自身的局限性，他們還難以應(yīng)用于黑盒攻擊的場(chǎng)景下。3DAdv需要知道模型的梯度信息，AdvPC需要知道數(shù)據(jù)的輸入特征，在目標(biāo)模型的信息完全未知只能知道目標(biāo)模型的輸入輸出的情況下這種白盒的方法無法應(yīng)用。為了解決這一問題，Cao等[4]提出了EvolutionAdv，EvolutionAdv 通過進(jìn)化算法逐步優(yōu)化對(duì)抗性樣本。進(jìn)化算法模擬自然選擇過程，生成一組隨機(jī)的擾動(dòng)樣本，并通過選擇、變異和交叉操作，不斷改進(jìn)樣本，使它們逐漸演化為能夠有效欺騙模型的對(duì)抗性樣本。EvolutionAdv 假設(shè)攻擊者無法訪問目標(biāo)模型的內(nèi)部結(jié)構(gòu)或參數(shù)。因此，EvolutionAdv 不需要知道模型的細(xì)節(jié)，僅依賴模型的輸出來優(yōu)化對(duì)抗性樣本。相比于前文提到的3DAdv和AdvPC，EvolutionAdv無需了解模型的內(nèi)部結(jié)構(gòu)、梯度或參數(shù)。這使得它非常適合攻擊那些對(duì)外界保密的模型，如商用模型或云端提供的深度學(xué)習(xí)服務(wù)。但同樣的EvolutionAdv同樣存在計(jì)算上比較復(fù)雜，生成對(duì)抗樣本的時(shí)間較長(zhǎng)，效率較低等問題。

圖3 Evolution Adv攻擊效果可視化[4]

除去直接修改點(diǎn)云的方式以外，還有一種利用幾何變化的對(duì)抗性攻擊方法TSI[5]，它的核心思想是通過利用三維幾何變換保持對(duì)抗性樣本在不同幾何條件下的有效性。在獲取點(diǎn)云后，TSI會(huì)對(duì)輸入的點(diǎn)云進(jìn)行多次幾何變換，并在每次變換后通過優(yōu)化調(diào)整對(duì)抗性擾動(dòng)，使得每次變換后的樣本都能繼續(xù)誤導(dǎo)模型。通過使用最小化光譜范數(shù)作為評(píng)估攻擊前后的相似性，TSI能夠增強(qiáng)對(duì)抗性樣本的幾何魯棒性，確保它們?cè)诿鎸?duì)旋轉(zhuǎn)、平移等變換時(shí)依然能有效欺騙目標(biāo)模型。這種方法在自動(dòng)駕駛和機(jī)器人等應(yīng)用場(chǎng)景中具有重要意義，因?yàn)樗軌蛱幚韯?dòng)態(tài)的3D環(huán)境，并提高對(duì)抗性樣本的實(shí)用性。然而，TSI的計(jì)算復(fù)雜度和物理實(shí)現(xiàn)挑戰(zhàn)仍然是該方法需要進(jìn)一步解決的問題。

圖4 TSI攻擊可視化效果[5]

2.3 小結(jié)

在本章中，我們回顧了針對(duì)3D點(diǎn)云識(shí)別模型的幾種主要對(duì)抗性攻擊方法及其各自的特點(diǎn)和局限性。相較于2D圖像的對(duì)抗性攻擊，3D點(diǎn)云數(shù)據(jù)在無序性、稀疏性以及三維空間的幾何特性等方面增加了攻擊難度。3DAdv方法通過Chamfer距離保持幾何相似性，以解決點(diǎn)云無序性和稀疏性帶來的問題，但其高計(jì)算復(fù)雜度限制了應(yīng)用的廣泛性；AdvPC基于生成對(duì)抗網(wǎng)絡(luò)生成對(duì)抗性點(diǎn)云，雖然具有較強(qiáng)的可遷移性和魯棒性，但在物理環(huán)境中的表現(xiàn)仍需進(jìn)一步提升；EvolutionAdv利用進(jìn)化算法生成對(duì)抗樣本，避免了白盒攻擊的限制，但在計(jì)算效率上存在不足；TSI通過幾何變換增強(qiáng)對(duì)抗樣本的魯棒性，在動(dòng)態(tài)環(huán)境中表現(xiàn)出色，但也面臨著計(jì)算復(fù)雜度和物理實(shí)現(xiàn)的挑戰(zhàn)。

這些方法從不同角度出發(fā)解決了3D點(diǎn)云對(duì)抗性攻擊中的部分難題，但每種方法都有其適用的場(chǎng)景與限制。未來的研究可以進(jìn)一步優(yōu)化這些算法，以降低計(jì)算成本、提升對(duì)抗性樣本的魯棒性，并增強(qiáng)其在實(shí)際應(yīng)用中的可操作性。在3D點(diǎn)云識(shí)別領(lǐng)域，對(duì)抗性攻擊的研究仍有廣闊的探索空間，這不僅能夠揭示模型的脆弱性，也為提高模型的安全性和魯棒性提供了方向。

03

總 結(jié)

雖然現(xiàn)今已經(jīng)存在不少理論上可以對(duì)點(diǎn)云模型進(jìn)行攻擊的對(duì)抗性算法，但這些算法在實(shí)際應(yīng)用中仍然面臨諸多挑戰(zhàn)。首先，理論上的對(duì)抗性攻擊大多是在理想的實(shí)驗(yàn)條件下實(shí)現(xiàn)的，實(shí)際環(huán)境中的復(fù)雜性和不確定性（如傳感器噪聲、動(dòng)態(tài)光照條件、目標(biāo)物體的多變性等）可能導(dǎo)致對(duì)抗樣本失效。特別是在自動(dòng)駕駛場(chǎng)景中，車輛需要處理不斷變化的外部環(huán)境，對(duì)抗性樣本必須具備較強(qiáng)的魯棒性，才能在現(xiàn)實(shí)條件下誤導(dǎo)系統(tǒng)。

此外，物理可實(shí)現(xiàn)性仍是一個(gè)重要的瓶頸。許多對(duì)抗性攻擊算法是在數(shù)字空間中操作點(diǎn)云數(shù)據(jù)，而當(dāng)這些擾動(dòng)點(diǎn)云轉(zhuǎn)換到物理環(huán)境中（如激光雷達(dá)、相機(jī)等傳感器實(shí)際捕捉的物體），其攻擊效果可能會(huì)大打折扣。攻擊樣本必須經(jīng)過調(diào)整，以確保在不同的物理傳感器和環(huán)境條件下仍能保留其對(duì)抗性。同時(shí)，點(diǎn)云數(shù)據(jù)的稀疏性和無序性也對(duì)攻擊算法的物理實(shí)現(xiàn)提出了新的挑戰(zhàn)，如何在物理世界中精確施加微小的擾動(dòng)來影響3D點(diǎn)云仍然是一個(gè)未解決的問題。

其次，計(jì)算復(fù)雜度和資源消耗問題在實(shí)際應(yīng)用中尤為突出。大多數(shù)對(duì)抗性攻擊算法需要經(jīng)過多次迭代和優(yōu)化，才能生成有效的對(duì)抗性樣本，這在計(jì)算資源有限或要求實(shí)時(shí)處理的自動(dòng)駕駛應(yīng)用中是一個(gè)巨大挑戰(zhàn)。例如，EvolutionAdv 等基于進(jìn)化算法的方法，雖然在黑盒攻擊中表現(xiàn)優(yōu)異，但其迭代過程復(fù)雜，生成對(duì)抗樣本所需的時(shí)間過長(zhǎng)，難以滿足實(shí)時(shí)性要求。類似的，AdvPC 依賴于生成對(duì)抗網(wǎng)絡(luò)（GAN），雖然提高了對(duì)抗樣本的可遷移性和魯棒性，但GAN的訓(xùn)練開銷巨大，尤其是在處理大規(guī)模3D點(diǎn)云數(shù)據(jù)時(shí)，計(jì)算資源需求較為龐大。

最后，3D點(diǎn)云對(duì)抗性攻擊的可解釋性與安全性依然是亟待解決的問題。對(duì)抗性攻擊的生成過程往往涉及復(fù)雜的數(shù)學(xué)優(yōu)化和大量計(jì)算，使得對(duì)抗樣本的行為難以理解和預(yù)測(cè)。這種可解釋性缺失使得自動(dòng)駕駛系統(tǒng)設(shè)計(jì)者難以預(yù)防攻擊，甚至在攻擊發(fā)生后也難以追溯根源。此外，在實(shí)際應(yīng)用中，為了確保車輛和行人安全，必須在算法開發(fā)階段和模型部署前引入有效的防御機(jī)制。然而，現(xiàn)有防御方法在3D點(diǎn)云數(shù)據(jù)上效果有限，大多是針對(duì)2D圖像的算法簡(jiǎn)單延伸，尚未針對(duì)3D點(diǎn)云特性設(shè)計(jì)出適應(yīng)性強(qiáng)的防御策略。因此，盡管已有多種理論上的對(duì)抗性攻擊算法被提出來，如何在真實(shí)的自動(dòng)駕駛場(chǎng)景中實(shí)現(xiàn)穩(wěn)定有效的攻擊仍存在巨大挑戰(zhàn)。未來的研究可以集中在提高對(duì)抗性攻擊算法的物理可實(shí)現(xiàn)性、增強(qiáng)其魯棒性和可解釋性、以及設(shè)計(jì)更高效的計(jì)算方法上，以應(yīng)對(duì)自動(dòng)駕駛和其他應(yīng)用場(chǎng)景中的實(shí)際需求。同時(shí)，研究社區(qū)也需要開發(fā)針對(duì)3D點(diǎn)云的專門防御策略，以在對(duì)抗性威脅下保護(hù)自動(dòng)駕駛系統(tǒng)的安全和穩(wěn)定性。

參考文獻(xiàn)：1. Goodfellow I J, Shlens J, Szegedy C. Explaining and harnessing adversarial examples[J]. arXiv preprint arXiv:1412.6572, 2014.2.Xiang C, Qi C R, Li B. Generating 3d adversarial point clouds[C], 2019.3.Hamdi A, Rojas S, Thabet A, et al. Advpc: Transferable adversarial perturbations on 3d point clouds[C], 2020. Springer.4.Cao Y, Xiao C, Yang D, et al. Adversarial objects against lidar-based autonomous driving systems[J]. arXiv preprint arXiv:1907.05418, 2019.5.Zhao Y, Wu Y, Chen C, et al. On isometry robustness of deep 3d point cloud models under adversarial attacks[C], 2020.

審核編輯 黃宇