《智能網(wǎng)聯(lián)汽車安全》課件第9章

9.1

自動駕駛概述

9.1.1

自動駕駛汽車概念

關于自動駕駛汽車，維基百科給出的定義是：

自動駕駛汽車（AutonomousVehicles；Self〖CD*2〗pilotingAutomobile）又稱電腦駕駛汽車，或輪式移動機器人，是一種通過電腦系統(tǒng)實現(xiàn)自動駕駛的智能汽車。自動駕駛汽車依靠人工智能、視覺計算、監(jiān)控裝置、定位導航系統(tǒng)等協(xié)同合作，讓計算機可以在沒有人類主動的操作下，自動安全地操作機動車輛。圖9．1所示為一輛自動駕駛汽車。圖9．1

自動駕駛汽車

9.1.2

自動駕駛原理概述

自動駕駛汽車系統(tǒng)的體系結構描述了汽車系統(tǒng)各部分組織架構以及各部分之間的交互關系，定義了汽車軟/硬件的組織原則、集成方法及支持程序，確定了系統(tǒng)的各組成模塊的輸入和輸出。自動駕駛汽車系統(tǒng)的體系結構包括系統(tǒng)信息的交流和控制，起著神經(jīng)系統(tǒng)的作用。自動駕駛汽車系統(tǒng)的體系結構主要分為三種：分層遞階式體系結構、反應式體系結構以及混合式體系結構。

分層遞階式體系結構由感知、建模、任務規(guī)劃、運動規(guī)劃、運動控制和執(zhí)行器等模塊串聯(lián)起來構成，前者的輸出結果為后者的輸入，又稱為感知—模型—規(guī)劃—行動結構。在這種體系結構下，執(zhí)行器產(chǎn)生的動作不是傳感器直接作用的結果，而是經(jīng)過了一系列的感知、建模、規(guī)劃和控制等階段，具有執(zhí)行特定任務的能力。

反應式體系結構是針對各種目標設計的基本行為，形成各種不同層次的能力的并聯(lián)體系結構。每個控制層根據(jù)傳感器的輸入進行決策，高層次對低層次施加影響，低層次具備獨立的控制系統(tǒng)，故可以產(chǎn)生快速的響應，實時性強。

混合式體系結構的規(guī)則在于，在較低層次上采用面向目標搜索的反應式行為，在較高層次上采用面向目標定義的遞階式行為。混合式體系結構包括傳感器、數(shù)據(jù)處理、數(shù)據(jù)存儲、計算機建模和控制，可以實現(xiàn)一個或多個系統(tǒng)的控制，并且其中的體系可以完全自主，或通過其他方式進行交互。體系的層次之間以時間/空間進行劃分，高層次的時間和空間跨度很大，但分辨率很低；低層次的時間和空間跨度很小，但分辨率很高。

對于自動駕駛汽車系統(tǒng)，無論哪一種體系結構都可以分成環(huán)境感知、決策規(guī)劃、控制執(zhí)行等主要部分，如圖9．2所示。圖9．2

自動駕駛汽車系統(tǒng)的體系結構

1.環(huán)境感知

自動駕駛汽車在行駛過程中需要對環(huán)境信息進行實時獲取并處理。從目前的大多數(shù)技術方案來看，首先是激光雷達對周圍環(huán)境的三維空間感知，完成60%~75%的環(huán)境信息獲取，其次是攝像頭獲取的圖像信息，再次是毫米波雷達獲取的定向目標距離信息以及GPS定位及慣性導航獲取的車輛位置及自身姿態(tài)信息，最后是超聲波傳感器、紅外線傳感器等其他光電傳感器獲取的各種信息。圖9．3所示為自動駕駛汽車的主要傳感器和模塊。圖9．3

自動駕駛汽車的主要傳感器和模塊

對于不同的駕駛?cè)蝿斩?，需要不同的感知設備，并非要配置最全、最多、最貴的感知設備才能完成駕駛?cè)蝿眨且匀蝿招枨鬄閷?，有針對性地選取合適的感知設備，組合實現(xiàn)、優(yōu)化配置。表9－1列出了車身傳感器的各項技術指標。

2.決策規(guī)劃

決策規(guī)劃是自動駕駛的關鍵部分之一，它首先融合多種傳感信息，接著根據(jù)駕駛需求進行任務決策，最后在能避開可能存在的障礙物的前提下，通過一些特定的約束條件，規(guī)劃出兩點間多條可選安全路徑，并在這些路徑中選取一條最優(yōu)的路徑作為車輛行駛軌跡。決策規(guī)劃按照劃分的層面不同可分為全局規(guī)劃和局部規(guī)劃兩種。

自動駕駛決策規(guī)劃系統(tǒng)的開發(fā)和集成基于遞階系統(tǒng)的層次性特征，可分為四個關鍵環(huán)節(jié)，分別是信息融合、任務決策、軌跡規(guī)劃和異常處理。其中，信息融合完成多傳感器的數(shù)據(jù)關聯(lián)和融合及周邊環(huán)境模型建立任務；任務決策完成智能汽車的全局路徑規(guī)劃任務；軌跡規(guī)劃在不同的局部環(huán)境下，進行智能駕駛車輛的運動軌跡狀態(tài)規(guī)劃；異常處理負責智能汽車的故障預警和預留安全機制。

1）信息融合

在環(huán)境感知方面，通常會使用到多種傳感器來進行行駛環(huán)境數(shù)據(jù)的采集與分析，分為環(huán)境傳感器（如單目攝像頭、立體攝像頭、毫米波雷達、激光雷達、超聲波傳感器、紅外傳感器等）、定位導航設備（如GPS和北斗等）以及V2X車聯(lián)網(wǎng)通信設備三種信息來源。

數(shù)據(jù)融合具體技術中包括數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)關聯(lián)、融合計算等，其中數(shù)據(jù)轉(zhuǎn)換與數(shù)據(jù)關聯(lián)在融合架構的實現(xiàn)中已經(jīng)體現(xiàn)，而數(shù)據(jù)融合的核心可以認為是融合計算，其中有很多可選擇的方法，常用的方法包括：加權平均、卡爾曼濾波、貝葉斯估計、統(tǒng)計決策理論、證據(jù)理論、熵理論、模糊推理、神經(jīng)網(wǎng)絡以及產(chǎn)生式規(guī)則等。

2）任務決策

任務決策作為智能駕駛的智能核心部分，接收到傳感感知融合信息，通過智能算法學習外界場景信息，從全局的角度規(guī)劃具體行駛?cè)蝿眨瑥亩鴮崿F(xiàn)智能車輛擬人化控制。

3）軌跡規(guī)劃

軌跡規(guī)劃是根據(jù)局部環(huán)境信息、上層決策任務和車身實時位姿信息，在滿足一定的運動學約束下，為提升智能汽車安全、高效和舒適性能，規(guī)劃決斷出局部空間和時間內(nèi)車輛期望的運動軌跡，包括行駛軌跡、速度、方向和狀態(tài)等，并將規(guī)劃輸出的期望車速以及可行駛軌跡等信息導入下層車輛控制執(zhí)行系統(tǒng)。

4）異常處理

異常處理作為預留的智能駕駛系統(tǒng)安全保障機制，一方面是在遇到不平坦及復雜路面，易造成車輛機械部件松動、傳感部件失效等問題時，通過預警和容錯控制維持車輛安全運行；另一方面是在決策過程中，因某些算法參數(shù)設置不合理、推理規(guī)則不完備等原因?qū)е轮悄芷囋谛袨閯幼髦兄貜统霈F(xiàn)某些錯誤并陷入死循環(huán)時，能夠建立錯誤修復機制，使智能汽車自主地跳出死循環(huán)，朝著完成既定任務的方向繼續(xù)前進，以減少人工干預。

3.控制執(zhí)行

自動駕駛控制的核心技術是車輛的縱向控制技術和橫向控制技術?？v向控制，即車輛的驅(qū)動與制動控制；橫向控制，即方向盤角度的調(diào)整以及輪胎力的控制。實現(xiàn)了縱向和橫向自動控制，就可以按給定目標和約束條件控制車輛自動運行。

自動駕駛控制需要在智能駕駛汽車上配置各種對應的系統(tǒng)才能實現(xiàn)，目前包括車道保持系統(tǒng)、自適應巡航控制系統(tǒng)、自動泊車系統(tǒng)、緊急制動和衛(wèi)星導航系統(tǒng)等。

1）縱向控制

車輛縱向控制是指對行車速度和方向的控制，即車速以及本車與前/后車或障礙物距離的自動控制。巡航控制和緊急制動控制都是典型的自動駕駛縱向控制案例。這類控制問題可歸結為對電機、發(fā)動機、傳動和制動系統(tǒng)的控制。各種電機—發(fā)動機—傳動模型、汽車運行模型和剎車過程模型與不同的控制器算法結合，構成了各種各樣的縱向控制模式，典型結構如圖9．4所示。圖9．4

縱向控制典型結構

2）橫向控制

橫向控制指垂直于運動方向上的控制，對于汽車而言就是轉(zhuǎn)向控制。橫向控制的目的是控制汽車自動保持期望的行車路線，并在不同的車速、載荷、風阻、路況下有很好的乘坐舒適性和穩(wěn)定性。

車輛橫向控制系統(tǒng)主要有兩種基本設計方法：一種是基于駕駛員的方法；另一種是基于運動力學模型的方法?；隈{駛員的方法，一種策略是使用較簡單的運動力學模型和駕駛員操縱規(guī)則進行設計；另一策略是用駕駛員操縱過程的訓練控制器獲取控制算法。基于運動力學模型的方法要建立較精確的汽車橫向運動模型。典型模型是所謂的單軌模型，或稱為自行車模型，也就是認為汽車左右兩側(cè)特性相同，控制目標一般是車中心與路中心線間的偏移量，同時受舒適性等指標約束。圖9．5所示為橫向控制系統(tǒng)結構。圖9．5

橫向控制系統(tǒng)結構

針對低附著路面的極限工況中車輛橫擺穩(wěn)定控制是車輛橫向控制中的關鍵部分。傳統(tǒng)操縱穩(wěn)定性控制系統(tǒng)，如電子穩(wěn)定性控制系統(tǒng)和前輪主動轉(zhuǎn)向系統(tǒng)等控制的是輪胎作用力的分布和前輪轉(zhuǎn)向，通過利用輪胎附著力和降低輪胎利用率來提高車輛穩(wěn)定性。大多數(shù)車企沿襲冗余驅(qū)動的控制分配框架，通過改變內(nèi)外側(cè)輪胎驅(qū)/制動力差異的方法，增加單側(cè)驅(qū)/制動轉(zhuǎn)矩，并相應減小另一側(cè)驅(qū)/制動轉(zhuǎn)矩，以為整車產(chǎn)生一個附加的橫擺轉(zhuǎn)矩來改善車輛轉(zhuǎn)向動態(tài)特性，保證了車輛的橫擺穩(wěn)定性和行駛安全性。

電子控制技術和電氣化的發(fā)展給汽車底盤技術的突破帶來了契機，也使得汽車的整體集成控制成為可能。同時，在智能網(wǎng)聯(lián)的交通環(huán)境下，單車可以通過自身環(huán)境傳感器、定位導航和V2X通信信息系統(tǒng)獲得更多周邊交通流信息，用于橫向控制，以便于提前感知道路危險。

9.2

自動駕駛系統(tǒng)關鍵攻擊技術分析

9.2.1

超聲波雷達攻擊技術分析

2016年，來自浙江大學和360智能網(wǎng)聯(lián)汽車安全實驗室的研究人員在DEFCON上發(fā)表論文CanYouTrustAutonomousVehicles：ContactlessAttacksagainstSensorsofSelf

drivingVehicle，闡述了具有自動駕駛功能的汽車的超聲波雷達、毫米波雷達、高清攝像頭等存在的漏洞，并分別進行了攻擊實驗，在特斯拉ModelS等車輛上完成了驗證。

1.超聲波雷達概述

車載超聲波雷達系統(tǒng)一般由傳感器（俗稱超聲波探頭）、控制器和顯示器等部分組成，如圖9．6所示?，F(xiàn)在市場上的超聲波雷達大多采用超聲波測距原理，駕駛者在倒車或前進時啟動超聲波雷達，在控制器的控制下，由裝置于車尾或車頭的探頭（如圖9．7所示）發(fā)送超聲波，遇到障礙物時產(chǎn)生回波信號，傳感器接收到回波信號后經(jīng)控制器進行數(shù)據(jù)處理，判斷出障礙物的位置，由顯示器顯示距離并發(fā)出警示信號。圖9．6

超聲波雷達組成圖9．7

車尾超聲波雷達

1)探測角度

由于探頭只能接收一定角度范圍的超聲波，故將這一角度范圍稱為探測角度（或檢知角度）。

2)探測覆蓋范圍

通常來說，探頭的數(shù)量越多，超聲波雷達的探測覆蓋范圍就越廣，即探測盲區(qū)就越小。

3）探測靈敏度

超聲波雷達探測靈敏度除取決于探頭自身的結構與材質(zhì)外，還取決于反射回波的強度，而反射回波的強度又與超聲波的傳播特性有關，主要表現(xiàn)為以下特點：

第一，由于超聲波在空氣中傳輸存在衰減，所以同一個反射面，同樣的角度，距離越遠，反射的超聲波衰減越大，越不易被探測到。

第二，障礙物反射面的面積（正對傳感器）越大，反射波越強，探測距離越遠；若障礙物反射面較小，或粗糙面方向感不顯著，或反射面雖大但偏離傳感器方向，尤其是表面為光滑平面的物體，傳感器接收到的反射波很少甚至沒有，這樣盡管距離較近也可能探測不到。

第三，處于傳感器中心線上的障礙物其反射波最強，探測距離最遠，反之較近。

第四，障礙物會吸收掉一部分超聲波，反射回去的只是其中一部分。吸收多少或反射多少與障礙物的材質(zhì)和表面有關，一般來說，疏松、多孔的物體，表面較易吸收超聲波，其反射效率較低，不易被探測到。相反，障礙物的材質(zhì)越硬，反射回波就越強。

第五，環(huán)境溫度、空氣濕度、氣壓等因素都會影響反射回波強度，空氣濕度越大則信號越強?？傊笥?、大雪或過冷、過熱、過濕天氣，都有可能會影響探測效果。

2.超聲波雷達系統(tǒng)模型

通過使用低成本Arduino制作超聲波干擾器，研究人員設法對超聲波傳感器進行干擾攻擊和欺騙攻擊，并在包括特斯拉ModelS在內(nèi)的幾款流行車型上進行測試。

干擾攻擊可能使得超聲波傳感器檢測不到障礙物，從而導致汽車發(fā)生碰撞，或在行駛過程中緊急剎車。欺騙攻擊可以操縱傳感器讀數(shù)，并導致顯示偽障礙物。

由于聲音的傳播速度相對較慢，從技術角度來看，使用超聲波傳感器根據(jù)脈沖/回波原理進行距離測量非常簡單。

超聲波傳感器通過發(fā)射超聲波脈沖來檢測物體，先測量回波脈沖從障礙物反射回來的時間，而到最近的障礙物的距離則可根據(jù)回波脈沖的傳播時間計算：

d=0.5×te×c

其中,te

是回波脈沖的傳播時間;c是空氣中的聲速(約340m/s)。還有一種稱為三邊測量的方法,它根據(jù)相鄰傳感器的直接讀數(shù)來計算車輛的實際距離。

研究人員的超聲波雷達傳感器由一個帶集成插入式連接的塑料外殼、一個超聲波換能器和一個帶電子電路的印刷電路板組成，用于傳輸、接收和評估超聲波信號，參見圖9．8。

圖9．8

超聲波雷達傳感器

超聲波雷達傳感器的聲學部分是一個壓電換能器。與聽覺范圍內(nèi)的傳感器（麥克風或揚聲器）相同，超聲波雷達傳感器建立在壓電效應的基礎上。壓電體受到外機械力作用而發(fā)生電極化，并導致壓電體兩端表面內(nèi)出現(xiàn)符號相反的束縛電荷，其電荷密度與外機械力成正比，這種現(xiàn)象稱為正壓電效應。壓電體受到外電場作用而發(fā)生形變，其形變量與外電場強度成正比，這種現(xiàn)象稱為逆壓電效應。具有正壓電效應的物體，也必定具有逆壓電效應，反之亦然。正壓電效應和逆壓電效應總稱為壓電效應，晶體是否具有壓電效應，是由晶體結構的對稱性決定的。

3.干擾攻擊

干擾攻擊的原理是產(chǎn)生超聲波噪聲，使傳感器上的膜片持續(xù)振動，最終使得測量無法正常進行，不能準確檢測到障礙物。

1）固有漏洞

研究人員發(fā)現(xiàn)在兩種情況下超聲波傳感器的性能會下降：一種是，在車輛附近的超聲波工作頻率區(qū)域內(nèi)的超聲波發(fā)射器會降低信噪比，導致車載超聲波傳感器進行錯誤測量，實際上，噪聲源會壓縮空氣噪聲（如汽車上的空氣制動器）和金屬碰撞噪音。另一種是，傳感器隔膜上的任何污垢、雨雪或冰層都可與緩沖器形成噪聲介質(zhì)，從而以不確定的方式延長傳輸激勵的衰減行為。

2）實驗說明

干擾攻擊實驗建立在一個非常簡單的想法上——傳感器上不斷發(fā)射超聲波以降低車載超聲波傳感器的信噪比。研究人員主要考慮的因素是諧振頻率。

3）實驗結果

研究人員在室內(nèi)和室外測試了多款超聲波傳感器和帶有自動駕駛功能的汽車，還進一步測試了特斯拉ModelS的輔助泊車和自動泊車功能，所有的實驗都是在障礙物一直存在的情況下進行的，并且這些障礙物在沒有發(fā)生攻擊時可以被傳感器檢測到。

研究人員測試了四輛帶駕駛輔助系統(tǒng)的汽車，它們是奧迪、大眾、特斯拉和福特的流行車型。如圖9．9所示，超聲波干擾器（A）放置在保險杠前面，B是特斯拉ModelS的三個超聲波傳感器。圖9．9

干擾實驗（車輛為特斯拉ModelS）

當發(fā)起干擾攻擊時，一種情況是車輛檢測不到障礙物，另一種情況是車輛檢測到障礙物的距離為最大值，因此車輛不會對駕駛員發(fā)出警報（見圖9．10（c））。研究人員進一步測試了汽車倒擋行駛時的情況，結果是一樣的。

4.欺騙攻擊

欺騙攻擊是基于這樣的假設：如果精心制作的超聲波脈沖可以被識別為來自障礙物的回波，并且在真實回波之前到達傳感器，則傳感器讀數(shù)將偏離真實的數(shù)值。通過調(diào)整精心制作的脈沖的觸發(fā)時間，攻擊者可以操縱傳感器讀數(shù)，即超聲波傳感器的測量距離。

欺騙攻擊的結果取決于注入的時間以及偽造回波和周期時間的長短。然而，通過反復試驗，研究人員找到了一組有效的傳感器輸出結果，如圖9．10（b）所示。圖9．10

實驗結果

9.2.2

毫米波雷達攻擊技術分析

1.毫米波雷達概述

汽車毫米波雷達是自動駕駛汽車的關鍵部件，工作頻段為21.65~26.65GHz和76~81GHz。比較常見的汽車毫米波雷達工作頻率在24GHz、77GHz、79GHz這三個頻率附近。汽車毫米波雷達有不受天氣情況和夜晚光線強弱影響的特點，具有遠距離探測、全天候工作、車速測量等能力，溫度穩(wěn)定性強，在雨雪、煙霧等惡劣環(huán)境下優(yōu)勢顯著。圖9．11所示為一款毫米波雷達。圖9．11

毫米波雷達

經(jīng)合理決策后，以聲、光及觸覺等多種方式告知或警告駕駛員，或及時對汽車做出主動干預，從而保證駕駛過程的安全性和舒適性，減少事故發(fā)生概率。根據(jù)測量原理不同，毫米波雷達可分為脈沖方式和調(diào)頻連續(xù)波方式兩種。

(1)脈沖方式的毫米波雷達。

(2)調(diào)頻連續(xù)波方式的毫米波雷達。

2.毫米波雷達基本原理

1）毫米波雷達測距原理

毫米波雷達利用多普勒效應來測量不同距離目標的速度。多普勒效應是指發(fā)射源向給定的目標發(fā)射微波信號時，發(fā)射信號的頻率和回波信號的頻率存在差值。

雷達的調(diào)頻器通過天線發(fā)射連續(xù)波信號，發(fā)射信號遇到目標后，經(jīng)過目標的反射會產(chǎn)生回波信號，發(fā)射信號與回波信號相比，有相同的形狀，只是時間上存在差值，以發(fā)射信號為三角波為例，則發(fā)射信號與返回的回波信號的對比如圖9．12所示。

圖9．12

發(fā)射信號與回波信號對比

雷達探測目標的距離R(半徑)可用下式描述:

其中,Δt為發(fā)射信號與回波信號的時間間隔(單位ms);c為光速。

中頻變化圖像如圖9．13所示。圖9．13

中頻變化圖像

發(fā)射信號與回波信號形狀相同，因此根據(jù)三角函數(shù)的關系式可得如下關系式：

其中,T為發(fā)射信號的周期(單位ms);ΔF為調(diào)頻帶寬;IF為發(fā)射信號與回波信號混頻后的中頻信號頻率。

根據(jù)上面的兩個等式可以得出目標距離R與中頻信號間的關系式：

2）毫米波雷達測速原理

當目標與雷達信號發(fā)射源之間存在相對運動時，除了目標反射的回波信號與發(fā)射信號間存在時間差外，回波信號的頻率與發(fā)射信號相比，會產(chǎn)生多普勒位移，如圖9．14所示。圖9．14

多普勒位移

圖中，中頻信號在信號的上升階段的頻率與下降階段的頻率分別用下列等式表示：

其中，

fd為發(fā)射信號與回波信號間的多普勒位移。

可根據(jù)多普勒位移原理計算目標的相對運動速度v:

其中，

f0為發(fā)射信號的中心頻率；λ為發(fā)射信號的波長。

3）毫米波雷達的目標識別

毫米波雷達的目標識別基本原理是：利用雷達回波中的幅度、相位、頻譜和極化等目標特征信息，通過多維空間變換來估算目標的大小、形狀等物理特性參數(shù)，最后根據(jù)大量訓練樣本所確定的鑒別函數(shù)，在分類器中進行識別判決，內(nèi)容包括目標識別預處理、特征信號提取、特征空間變換、模式分類器及樣本學習等模塊。其中，特征信號提取是指毫米波雷達采集提取其發(fā)射的電磁波與目標相互作用產(chǎn)生的各種信息，包括雷達散射截面積以及其他特征參數(shù)。

常用的特征參數(shù)有目標的結構外形特征、目標的動態(tài)特征和回波波形特征等。特征空間變換的目的為：改變原始數(shù)據(jù)分布結構，壓縮特征空間的維數(shù)，去除冗余特征。常用的特征變換技術有K－L變換（去冗余）和Walsh變換（降維）等。毫米波雷達的目標識別原理如圖9．15所示。圖9．15

毫米波雷達目標識別原理

3.信號分析

經(jīng)過分析，研究人員發(fā)現(xiàn)特斯拉ModelS上使用的毫米波雷達技術尚未公開，而該雷達傳感器的某些參數(shù)和模式對于實施攻擊是必需的。研究人員沒有拆解前保險杠尋找毫米波雷達的制造商和型號信息，而是轉(zhuǎn)向更直接和可靠的方式——直接觀察毫米波信號的光譜和波形，但是，用肉眼觀察它們并不容易。

圖9．16所示為實驗裝置，其中A是特斯拉的毫米波雷達，B是高清示波器，C是信號分析儀，D是信號發(fā)生器，E是倍頻器、諧波混頻器以及電源。為了獲得更高的信號分析接收功率，研究人員將天線放在距汽車0.5m的位置,水平方向與汽車毫米波雷達保持一致。切換到驅(qū)動裝置后，給特斯拉毫米波雷達上電，可以從汽車儀表盤中看到毫米波雷達的工作情況。圖9．16

實驗裝置

4.干擾攻擊

1）實驗說明

在知道了波形參數(shù)之后，直接的攻擊想法是在相同的頻率帶寬內(nèi)，發(fā)射76~77GHz的信號對毫米波雷達進行干擾，根據(jù)對任何其他信號的抑制作用，當信號值高于噪聲的SNR閾值大約6~10分貝時，系統(tǒng)可能會將干擾信號視為強噪聲或錯誤輸入，導致SNR降低或計算錯誤，從而導致毫米波雷達系統(tǒng)故障。

（1）干擾波形。干擾波形有很多選擇，研究人員提出了兩種：一種是固定頻率76.65GHz；另一種是450MHz帶寬內(nèi)的掃頻。

（2）設備。利用KeysightN5193AUXG信號發(fā)生器（10MHz~40GHz）和VDIWR10倍頻器（75~110GHz）產(chǎn)生77GHz的電磁波。

（3）實驗裝置。除了增加設備和汽車之間的距離以進行評估之外，實驗裝置與圖9．16一致。

2）實驗結果

干擾攻擊的結果非常顯著。起初，雷達系統(tǒng)檢測到前方的障礙汽車，并顯示在汽車儀表盤上，然而當射頻輸出（干擾攻擊）開啟時，障礙汽車的顯示圖標立即消失，當射頻輸出關閉時，障礙汽車又再次被檢測到。此外，研究人員發(fā)現(xiàn)，當特斯拉ModelS處于自動駕駛模式時，通過增加攻擊距離和減少角度限制，攻擊更加有效。研究人員認為這是由在自動駕駛模式下跟蹤對象的閾值變化引起的。攻擊效果如圖9．17所示，圖（a）為正常行駛狀態(tài)；圖（b）為自動駕駛狀態(tài)；圖（c）為干擾攻擊正在進行的狀態(tài)，此時障礙汽車圖標消失。圖9．17

不同狀態(tài)下的特斯拉ModelS儀表盤顯示

9.2.3

高清攝像頭攻擊技術分析

1.高清攝像頭概述

高清攝像頭同樣也是自動駕駛汽車必備的傳感器，與雷達不同，攝像頭沒有任何穿透力且需要光線，用于自動駕駛的很多數(shù)據(jù)是通過對攝像頭的圖樣識別得到的。不過攝像頭也是最容易受到干擾的一種自動駕駛傳感器，且一旦獲取的圖像有誤差，對最終的識別結果就會產(chǎn)生極大的影響。高清攝像頭的優(yōu)點在于成本低，且目前視覺識別的方案相對來說發(fā)展得比較成熟，自動駕駛汽車可用的攝像頭方案也比較多。圖9．18中圓圈內(nèi)為用于自動駕駛的高清攝像頭。圖9．18

用于自動駕駛的高清攝像頭

1)單目攝像頭

自動駕駛汽車的環(huán)境成像是機器視覺在車輛上的應用，需要滿足車輛行駛環(huán)境及自身行駛狀況的要求，天氣變化、車輛運動速度、車輛運動軌跡、隨機擾動、攝像頭安裝位置等都會影響車載視覺。自動駕駛汽車不僅在圖像輸出速度上需要較高幀頻，而且在圖像質(zhì)量上也具有較高要求。

2)雙目攝像頭

雙目攝像頭能夠?qū)σ晥龇秶鷥?nèi)目標進行立體成像，其設計建立在對人類視覺系統(tǒng)研究的基礎上，通過雙目立體圖像處理獲取場景的三維信息，其結果表現(xiàn)為深度圖，再經(jīng)過一步處理就可以得到三維空間中的景物，實現(xiàn)二維圖像到三維圖像的重構。

3)全景攝像頭

以加拿大PointGrey公司的Ladybug攝像頭為代表的多攝像頭拼接成像的全景攝像頭被用于地圖街景成像，它由完全相同的6個攝像頭對上下方和360度全周進行同時成像，然后再進行6幅圖像矯正和拼接，以獲得同時成像的全景圖像。使用全景攝像頭的自動駕駛汽車可以同時獲得車輛周圍環(huán)境的全景圖像，并進行處理和目標識別。

攝像頭是無源光傳感器，從研究人員的經(jīng)驗來看，這些傳感器可能會被干擾或欺騙。為了驗證對車載攝像頭的攻擊，研究人員在不同場景下進行了致盲攝像頭的攻擊，通過記錄和觀察實驗結果，研究人員發(fā)現(xiàn)：汽車高清攝像頭不能提供足夠的降噪或保護，可能會被強光遮蔽或照射損壞。

2.高清攝像頭系統(tǒng)模型

如圖9．19所示，高清攝像頭利用CCD/CMOS設備并通過濾波器采集光學數(shù)據(jù)，在攝像頭模塊中生成圖像，并將其發(fā)送給MCU進行處理和計算，識別結果將從CAN總線發(fā)送到自動駕駛系統(tǒng)的各個ECU。自動駕駛系統(tǒng)的綜合處理器進行駕駛決策并向執(zhí)行器發(fā)送命令，有些自動駕駛系統(tǒng)還會在車載大屏上為駕駛員提供視頻輸出以供參考。圖9．19

攝像頭系統(tǒng)框圖

研究人員的攻擊基于這樣的假設：CCD/CMOS攝像頭傳感器可能會受到惡意光學輸入的干擾，并會產(chǎn)生無法識別的圖像，破碎的圖像將進一步影響自動駕駛控制單元的決策并間接影響車輛控制，導致汽車行駛偏差或緊急制動，甚至導致車毀人亡的交通事故。

1）實驗說明

光電傳感器對光的強度非常敏感，吸收系數(shù)一般在103~105之間，傳感器對大部分激光能量都可以吸收，損壞光電傳感器所需的時間比損害人眼的時間少幾個數(shù)量級。由于非均勻溫度場引起的熱力效應，攝像頭表面溫度會由于光照迅速升高，半導體材料的雪崩擊穿會對光電器件造成不可逆轉(zhuǎn)的損傷。在研究人員的實驗中，使用了三種光源，即LED燈光、激光和紅外LED光。圖9．20所示為致盲攻擊的實驗裝置，校準板A位于攝像頭B前方1m處；光源指向攝像機或校準板上的C1和C2，C1的軸線與AB連線成15°角，而C2的軸線與AB連線成45°角。圖9．20

實驗設置

2）實驗結果

利用LED光照射校準板，會導致中央?yún)^(qū)域的色調(diào)值增加，可以完全隱藏該區(qū)域中的信息，識別將變得不可能實現(xiàn)，如圖9．21（a）所示。用LED光直接對準攝像頭會導致明顯更高的色調(diào)值，導致攝像頭．完全失效，攝像頭系統(tǒng)無法獲取任何視覺信息，如圖9．21（b）所示。致盲時間與攝像頭刷新率以及光源和攝像頭之間的距離有關，結果如圖9．21（c）所示。圖9．21

利用LED光致盲攝像頭

將激光束指向校準板，對攝像頭幾乎沒有任何影響，如圖9．22（a）所示。但是，將激光直接指向攝像頭會導致攝像頭完全失效約3s，在此期間圖像識別將無法進行。研究人員進一步做了移動式激光光源的實驗，以模擬手持式激光光源攻擊或無意識地將激光照射攝像頭的情況，如圖9．22（b）所示，雖然由于在CCD/CMOS芯片的一個點處的曝光時間較短，色調(diào)值并不高，但也可能導致攝像頭識別圖像失敗。

當激光束在0.5m內(nèi)直接照射到攝像頭上并持續(xù)幾秒鐘時，就會造成CCD/CMOS芯片的損壞，圖9．22（c）中的黑色曲線就是證據(jù)。當移開激光光源時，曲線仍然存在，如圖9．22（d）所示。圖9．22

利用激光致盲攝像頭

9.2.4

激光雷達攻擊技術分析

2015年，來自SecurityInnovation的JonathanPetit等人在安全會議BlackHatEurope上發(fā)表了一篇論文：SelfDrivingAndConnectedCarsFoolingSensorsAndTrackingDrivers，對激光雷達ibeoLUX3和高清攝像頭MobilEyeC2－270進行了深入的安全分析，并利用設備進行了攻擊實驗。

1.激光雷達概述

1）激光雷達系統(tǒng)的組成及功能

如圖9．23所示，車載激光雷達系統(tǒng)主要由線陣測距傳感器、機械掃描結構、掃描控制系統(tǒng)以及數(shù)據(jù)處理系統(tǒng)等幾部分組成。線陣測距傳感器是車載激光雷達的核心部件，可按照特定的工作頻率測量汽車周圍環(huán)境的距離信息。圖9．23

激光雷達系統(tǒng)的組成框圖

2）激光雷達系統(tǒng)的工作原理

圖9．24所示為車載激光雷達系統(tǒng)的工作原理。以脈沖測距方式工作的激光測距傳感器通過機械掃描結構架設在車載平臺上，機械掃描結構通過電機帶動測距傳感器進行掃描測距。圖9．24

車載激光雷達系統(tǒng)的工作原理

3）激光雷達測距原理

車載激光雷達采用脈沖飛行時間測距原理，利用激光在發(fā)射點與目標間往返的時間差的準確測量來實現(xiàn)距離的計算。以激光作為信號源，由激光器發(fā)射出的脈沖激光，打到樹木、道路、橋梁和建筑物上，引起散射，一部分光波會反射到激光雷達的接收器上，根據(jù)測距原理計算，就能得到從激光雷達到目標點的距離。

設激光脈沖的飛行時間間隔為Δt，目標距離為R，光在空氣中的傳播速度為c，則測距公式如下：

4）激光雷達ibeoLUX3

研究人員測試的激光雷達是ibeoLUX3，如圖9．25所示。這是一個四層激光雷達，四層指的是掃描光線的數(shù)量，每層相對于道路略微傾斜，所以激光雷達可以在崎嶇不平的道路上測距。盡管它是一個多層激光雷達，但它不能提供三維視圖，只能提供四層二維平面視圖。圖9．25

激光雷達：ibeoLUX3

這款激光雷達還運用了以下技術：

(1)兩倍輸出技術。

（2）三次回波技術。

（3）角度分辨率技術。

2.中繼攻擊

1）實驗說明

中繼攻擊旨在將來自目標車輛激光雷達的原始信號從另一個位置中繼以產(chǎn)生假回波，并最終使真實障礙物比其實際位置更近或更遠。

為了執(zhí)行中繼攻擊，攻擊者需要兩個信號收發(fā)器（圖9．26中的B和C）。由于ibeoLUX3使用波長為905nm的激光，因此收發(fā)器B是一個對此波長敏感的光電探測器（OsramSFH－213，成本為0.65美元）。B的輸出是一個電壓信號，對應于激光雷達（圖9．26中的A）發(fā)送的脈沖強度，示波器連接到B以顯示信號。B的輸出信號發(fā)送給C，C利用設備（OsramSPL－PL90，成本43.25美元）發(fā)出脈沖作為反饋。圖9．26

中繼攻擊的實驗裝置

2）實驗結果

圖9．27顯示了中繼攻擊對激光雷達感知環(huán)境信息的影響。在攻擊之前，激光雷達只檢測到位于其前方1m處的墻（見圖9．27中的①）。在中繼攻擊期間，由于環(huán)境中存在攻擊者發(fā)射的脈沖信號，激光雷達接收到20m和50m外的物體的回波（圖9．27中圈出）。圖9．27

中繼攻擊的結果

3.信號欺騙攻擊

對激光雷達的中繼攻擊表明可以在激光雷達所處的環(huán)境中很容易地注入假回波。在此處，研究人員通過創(chuàng)建假對象來對攻擊進行擴展實驗，使用原始信號作為觸發(fā)信號來主動欺騙ibeoLUX3。

1）實驗說明

光以約3.0×108m/s的速度傳播，ibeoLUX3的最大探測距離為200m，若信號在大約1.33μs內(nèi)前后移動，這就意味著激光雷達監(jiān)聽信號輸入/反射的時間至少為1.33μs。要成功將信號在1.33μs的時隙內(nèi)注入激光雷達，偽造信號應該在此窗口內(nèi)到達。激光雷達越早收到信號，則障礙物距激光雷達越近。因此，如果攻擊者延遲原始信號，就可以“控制”障礙物的位置。注意，如果攻擊者在200m處，攻擊窗口會非常小，因為前200m已經(jīng)有激光脈沖傳播。

圖9．28所示為激光雷達攻擊窗口。在接收到第一個回波（原始脈沖）后，激光雷達接收到偽造脈沖回波，這使得障礙物看起來更遠，因為激光雷達認為脈沖信號走了更遠的距離，如果在靜默窗口（間隙）中（即在1.33μs的攻擊窗口之后）接收到偽造脈沖，

障礙物將不被察覺。這就是攻擊者需要知道何時產(chǎn)生脈沖信號的原因。圖9．28

激光雷達攻擊窗口

圖9．29展示了實驗裝置，A表示ibeoLUX3，B表示收發(fā)器，P1和P2表示邏輯控制單元（在實際裝置中未顯示）。偽造的脈沖信號通過外部邏輯控制模塊產(chǎn)生，外部邏輯控制模塊

圖9．29

欺騙攻擊實驗裝置

在實驗中，延遲、脈沖數(shù)量、副本個數(shù)、脈沖寬度和脈沖周期是可以控制的變量。圖9．30顯示了延遲輸出和副本數(shù)量如何影響偽造信號，一旦脈沖觸發(fā)外部邏輯控制模塊，就會產(chǎn)生固定數(shù)量的脈沖，通過使用示波器調(diào)整脈沖寬度和脈沖周期，可以讓偽造信號與原始信號極其相似。圖9．30

用于創(chuàng)建偽造信號的參數(shù)：延遲、脈沖數(shù)量和副本個數(shù)

2）實驗結果

圖9．31顯示了對激光雷達進行欺騙攻擊的結果。圖9．31(a)顯示了在大約50m處檢測到的墻壁副本的點，激光雷達將這些點視為是由偽造的反射回波造成的。通過調(diào)整延遲時間，可以使墻壁看起來更近或更遠，直到信號落在攻擊窗口之外。圖9．31

對激光雷達的欺騙攻擊結果

如前所述，ibeoLUX3可以對物體進行分類和跟蹤，當跟蹤框鎖定要跟蹤的物體時，ibeoLUX3會將對象編號并分配給檢測到的對象。研究人員重新進行實驗并啟用跟蹤功能，ibeoLUX3將墻壁副本分類為“未知類型的障礙物”（有時甚至是“汽車”）。圖9．32顯示了連續(xù)三次激光雷達的掃描結果，可以看到，第二個偽造的墻壁副本被檢測到并被分類為“未知類型的障礙物”，并且其對象編號發(fā)生了變化。圖9．32

激光雷達的掃描結果

9.2.5

對抗樣本攻擊技術分析

1.自動駕駛與機器學習

機器學習是自動駕駛技術日漸成熟的基礎。隨著各種傳感器數(shù)據(jù)處理在汽車ECU中被引入，自動駕駛汽車必須越來越多地使用機器學習來完成新的任務，潛在的應用涉及通過來自不同外部和內(nèi)部傳感器（如激光雷達、毫米波雷達、超聲波雷達、攝像頭等）的數(shù)據(jù)融合來評估駕駛員狀況或?qū)︸{駛場景分類。

2.機器學習安全威脅概述

已知的機器學習安全性問題主要集中在監(jiān)督學習中，其中分類算法的安全性問題居多，有少量集中在無監(jiān)督學習的聚類算法和強化學習中。對于傳統(tǒng)的監(jiān)督學習算法而言，樸素貝葉斯和支持向量機算法是兩種經(jīng)典的學習方法，應用十分廣泛，而機器學習的安全性問題最早也是在這兩種經(jīng)典分類算法中出現(xiàn)的，暴露的主要安全問題涉及以傳統(tǒng)監(jiān)督學習算法為基礎的網(wǎng)絡安全檢測系統(tǒng)。

聚類算法是一種典型無監(jiān)督學習算法，它可以發(fā)現(xiàn)數(shù)據(jù)分布的隱含模式，目前已經(jīng)在很多領域中使用，尤其是在惡意域名檢測、惡意程序檢測、收集網(wǎng)絡攻擊來源信息等安全領域廣泛應用。

3.對抗樣本攻擊概述

什么是對抗樣本？對抗樣本的概念最早是ChristianSzegedy等人在ICLR2014發(fā)表的論文中提出來的，即在數(shù)據(jù)集中通過故意添加細微的干擾形成輸入樣本，受干擾之后的輸入導致模型以高置信度給出了一個錯誤的輸出。什么是對抗樣本攻擊？在IanJ.Goodfellow的論文ExplainingandHarnessingAdversarialExamples中有這么一個例子，如圖9．33所示：左邊是一只大熊貓的圖片，在這張圖片中加入一個很小的干擾噪聲，雖然生成的圖片看起來和原始的沒有什么區(qū)別，但是卻會導致系統(tǒng)將其誤認為是長臂猿的照片。圖9．33

對抗樣本攻擊舉例

研究人員的主要目的是驗證對真實世界目標構建魯棒且輕微的擾動是否可行。研究人員為創(chuàng)造有效的對抗樣本攻擊，攻克了以下幾個挑戰(zhàn)：

第一，對抗擾動應該限制在目標物體上，并且不能增加目標物體的背景（許多數(shù)字對抗樣本生成算法沒有考慮這個約束，即會增加目標對象及其背景的擾動）；

第二，對抗擾動應在各種動態(tài)物理條件下有效，這些條件也可能會降低擾動的有效性，如在識別系統(tǒng)中，所產(chǎn)生的物理對抗樣本應該針對不同的識別條件而更加魯棒；

第三，數(shù)字世界中的擾動幅度可能會非常低，以至于人類無法感知它們，但是由于傳感器缺陷，實際的物理傳感器可能也無法捕獲這種小幅度的擾動；

第四，擾動應考慮實