本文提出了一种自适应、通用的防御框架，可兼容任意深度学习（DL）模型，并仅需正常（无攻击）数据训练即可运行。其核心思想直观明确：在高不确定性条件下输出多模态预测，反之则遵循确定性轨迹。我们通过采用熵分解的贝叶斯神经网络（BNN）量化由观测攻击引起的认知不确定性，其中认知不确定性反映了模型的知识边界及其对罕见或未见过案例的敏感性。我们的防御采用双阶段轨迹生成机制：第一阶段评估认知不确定性并判断是否触发第二阶段；若不确定性超过预设阈值，则启动第二阶段，通过结合学习到的知识及与训练无关的物理先验来更新分布参数，生成多模态轨迹，从而提升对动态攻击的适应性。实验表明，该框架在多种DL模型和攻击类型下均表现出强大的泛化能力。消融研究凸显了各组件及参数设置的贡献。最后，案例研究可视化展示了仅激活第一阶段或同时激活两阶段的场景，进一步揭示了防御行为的内在机制。

近年来，自动驾驶技术飞速发展，被视为替代人类驾驶的有前景方案。轨迹预测通过为自动驾驶车（AV）提供精确运动信息，在自动驾驶中扮演关键角色，其旨在利用历史观测轨迹预测周边车辆未来数秒内的运动。此外，它赋能下游决策在复杂动态驾驶环境中做出安全判断。因此，实现精准可靠的轨迹预测仍是当前研究保障自动驾驶车（AV）安全的基础与焦点。先前研究将轨迹预测建模为时间序列或控制问题，并开发了大量基于物理运动的精确数学模型，如恒定速度模型（CVM）、卡尔曼滤波（KF）和元胞自动机（CA），称为基于规则的方法。由于其参数有限，基于规则的方法在长期轨迹预测中表现欠佳。近年来，深度学习（DL）因其在长期轨迹预测中的卓越性能，成为传统规则方法的有力替代方案。与基于规则的方法不同，DL模型通常被视为“黑箱”系统，缺乏可解释的物理基础。当输入历史轨迹时，主要由神经网络（NN）构成的DL模型通过层层传播机制生成未来轨迹，其中每层包含可学习参数。在AV大规模部署前，DL模型需使用训练数据集训练以逼近从输入到输出轨迹的函数映射。随后，这些模型需有效泛化至多样驾驶场景，在轨迹预测中保持高稳定性与优异性能。不幸的是，DL在轨迹预测中的泛化能力仍受限，主要源于驾驶环境中意外的观测攻击。具体而言，当AV执行驾驶任务时，轨迹预测高度依赖车载传感器获取历史轨迹。现有研究普遍采用的理想假设是观测轨迹无偏且与真实历史轨迹完美匹配。然而，意外攻击（如车载算法定位误差或恶劣天气）会引入偏差，导致观测轨迹偏离真实值，产生空间错位。在此背景下，DL模型被错误观测误导，导致预测不确定性增加，因为扰动输入下可能出现多个合理未来轨迹。此外，轨迹攻击通常具有随机性且时空不相关，以多样形式呈现并对DL模型产生可变影响。最坏情况下，此类攻击可能沿最差性能方向对齐，危及现实部署中AV的安全。进一步地，由于轨迹攻击源于有界传感器误差或环境不确定性，其幅度本质受限。尽管如此，DL模型在意外轨迹攻击下的实际轨迹预测仍面临挑战。缺乏对轨迹攻击的安全保障引发了对轨迹预测系统可靠性的严重关切。近期研究表明，DL模型应配备防御机制以应对对抗性驾驶环境。训练增强（TA）通过将攻击样本纳入训练（如对抗训练）来增强鲁棒性，提供了直观且有前景的策略，并通过在训练中重新分配额外噪声适应其他攻击。具体而言，对抗训练将最坏情况扰动引入训练过程以模拟退化输入，使模型能在假设观测普遍对抗的情况下学习保守预测。然而，如前所述，现实驾驶中遇到的观测攻击是随机而非确定性的，因而呈现概率特性。此外，从因果推断视角看，DL模型主要捕捉输入与输出间的统计相关性而非底层因果机制。不幸的是，此类观测攻击通过违反独立同分布（i.i.d.）假设破坏了DL模型学到的统计相关性，最终导致其对轨迹扰动的高度脆弱性，该现象称为“因果混淆”。因此，尽管针对特定攻击训练的DL模型可能展现对该扰动的鲁棒性，但由于因果混淆，它们仍易受未见攻击甚至干净样本的影响，从而削弱其现实部署中的泛化能力。如前所述，仅增强训练过程不足以防御DL模型，因为这超出了基于相关性的模型同时适应多样轨迹攻击与正常样本的能力。这一挑战激励了设计新型防御器的需求，以减轻观测攻击影响并确保对抗条件下的鲁棒轨迹预测。在可靠性工程中，鲁棒系统定义为即使在输入含噪声时也能产生可接受输出的系统。在轨迹预测中，多模态预测通过减少对单一预测的过度依赖，成为增强DL模型鲁棒性的有前景策略。技术上讲，多模态预测构建未来轨迹的概率分布，并通过隐式或显式采样生成多个候选轨迹。如此，模型利用学到的知识确保至少一条轨迹接近真实值，即使其他轨迹被破坏。然而，这种方法可能以自动驾驶车决策效率为代价。此外，由于观测攻击的随机性，部分攻击样本可能代表罕见或未见场景。这些案例引入显著不确定性，因其超出模型知识边界并迫使DL模型对未观测过的轨迹进行预测。因此，有效防御器需同时包含训练中学到的知识及在线适应新情境的能力。总之，理想防御器应使DL模型能提供不确定性感知的鲁棒预测，而无需诉诸可能损害效率的全局多模态预测。这要求防御器通过量化攻击下的预测不确定性来评估当前驾驶状态，并仅当不确定性超过可接受阈值时进行干预，从而平衡鲁棒性与决策效率。总体而言，当前文献中留存两大未解问题与研究空白：首先，多数轨迹预测研究假定观测轨迹无偏且与真实轨迹相同，这一假设在现实驾驶中过于理想化，可能导致DL模型性能退化；其次，当前TA方案虽为特定攻击提供性能保证，但仍易受过度自信与泛化有限的问题困扰。前者凸显现有专注于鲁棒性增强与多模态轨迹预测的研究未能满足自适应需求及精度与可靠性间的权衡。本研究中，借助贝叶斯神经网络（BNN）的进展，我们从概率视角切入NN建模，通过从可训练后验分布采样参数进行轨迹预测。需注意，所提防御框架可扩展至任意DL模型架构。通过此方法，预测不确定性通过聚合来自正常或受攻击观测的多个预测进行评估。为减轻轨迹攻击引起的预测不确定性，我们设计了一种在线两阶段轨迹生成方法，用于部署在易受各种轨迹攻击的驾驶环境中。该两阶段轨迹生成机制允许DL模型基于预测不确定性的定量评估自动切换输出模式以处理动态轨迹攻击。此设计背后的基本动机是：当DL模型呈现高置信度（低预测不确定性）时预测确定性轨迹；否则生成多模态轨迹以用一系列可能预测涵盖不确定性。最后，我们在INTERACTION数据集上的实验表明，所提框架不仅防御了DL基线，且在正常与受攻击样本上均优于其他广泛使用的防御基线。我们的消融研究进一步评估了所提框架的有效性，并讨论了参数敏感性。本文主要贡献总结如下：

车辆轨迹预测旨在基于观测到的历史轨迹预测周边车辆短时间内的未来运动。经典基于规则的方法将自车视为物理实体，基于物理定律或显式公式化的数学模型对其运动进行建模。代表性模型包括恒定加速度模型、卡尔曼滤波（KF）和高斯过程（GP）。

NN的训练任务旨在寻找最优参数ω^*，以最小化给定训练数据集D上的期望损失函数L，可数学表述为优化问题：min_ωE_{x～Ptrain(x)}[L(f(X,ω),Y)]，其中以ω参数化的NN被概念化为函数f。X、Y分别代表训练数据集中的输入轨迹及对应真实值。P_train(x)表示训练数据的分布。为优化式(1)...

整体所提框架（如图2所示）旨在保护轨迹预测中的DL模型免受轨迹攻击。我们以直观简单的动机设计针对轨迹攻击的通用防御框架：在置信度高时生成确定性轨迹预测，否则生成多模态轨迹以进行模糊预测，从而防御观测攻击。与TA不同，我们的框架仅需正常样本用于...

本文选择公开可用的真实世界数据集INTERACTION作为基准。它包含超过一百小时在德国以鸟瞰视角10Hz采样率记录的轨迹，并提供丰富的包括人行道和车道的高分辨率地图信息。具体而言，INTERACTION数据集包含11种场景，如交叉口、环岛和高速公路。在交叉口和环岛场景中，数据集还...

首次比较实验的结果总结于表1。总体而言，显然所有DL模型均易受观测攻击影响，这些攻击显著降低了其预测性能。尽管如此，集成我们所提框架的DL模型在四种攻击基线下一致实现了最低预测误差，证明了该框架在减轻对抗效应和增强预测鲁棒性方面的功效。例如，GRU...

本文开发了一种面向DL的通用轨迹预测框架，旨在防御DL免受观测攻击。我们的防御器不依赖确定性预测，而是支持自适应输出模式，灵活响应观测攻击。该自适应方案使DL模型能在不确定性超过用户定义的可接受阈值时生成模糊的多模态轨迹，从而告知下游决策做出安全驾驶...