编辑推荐:
本文提出基于条件生成对抗网络(c-GAN)的生成式重建框架,针对自主驾驶中轨迹预测模型的深层运动语义漏洞,通过直接生成符合驾驶语境的完整欺骗性历史轨迹实现高效隐蔽攻击,实验验证其攻击成功率82.26%,位移误差13.08米,显著优于现有方法。
贾浩阳|熊晓兵|罗海斌|曹艳
郑州大学计算机与人工智能学院、软件学院,中国河南省郑州市450001
摘要
轨迹预测模型的安全性是自动驾驶安全领域中一个关键但尚未充分研究的方面。尽管最近的研究关注了针对物理传感器或训练数据的攻击,但本文聚焦于最终的威胁向量:在推理时直接对历史轨迹输入进行数字操纵。该领域现有的方法,包括基于优化的方法和早期生成方法,主要局限于“基于扰动”的范式,即寻找与现有轨迹的最小偏差。本文认为,这种受限的观点忽略了更根本的、内在的运动语义漏洞(即仅从轨迹动态推断出的行为意图异常)。为此,我们设计并实现了一个新颖的“生成重构”框架用于对抗性攻击,利用生成对抗网络(GANs)从学习到的潜在流形中直接重构完整、运动学上合理但行为上具有欺骗性的历史轨迹。我们的核心贡献是一个专为隐蔽性欺骗设计的复杂条件GAN(c-GAN)框架。通过将生成器条件化为真实轨迹,并整合一个平衡攻击强度与行为相似性的多目标损失函数,我们的模型能够生成既高效又在视觉上与真实轨迹无法区分的对抗性示例。我们的框架揭示了一类新的与地图无关的运动语义漏洞,提供了一个强大的工具,展示了预测模型如何被行为一致但恶意的输入所欺骗。在大型公共基准测试上的应用验证了我们的条件生成框架在发现模型漏洞方面更加高效和强大。定量上,我们的方法达到了82.26%的误报率(MR)和13.08米的最终位移误差(FDE),显著优于现有的最佳基线,同时保持了0.212的平均平方误差(MSE)的高隐蔽性。
引言
自动驾驶技术的迅速发展有望彻底改变交通运输,提高安全性和效率(SAE International (2021); Yuan, Zhu, Yang, & Yang (2020))。这一范式转变的核心是自动驾驶车辆(AV)能够准确预测周围代理的未来运动。因此,基于历史观测数据预测这些未来路径的轨迹预测成为安全主动运动规划的基石(Zhao et al. (2021))。然而,最近的事故报告强调了这项任务的重要性,表明在复杂城市环境中,预测和规划失败是自动驾驶车辆脱离控制和发生碰撞的重要原因(Khan, Lemaster, & Najm (2024))。近年来,基于深度学习的模型,特别是那些利用图神经网络和变压器的模型,在大规模预测基准测试中表现出色(Huang et al. (2022))。然而,这些模型在标准评估环境中的成功掩盖了一个关键但尚未充分探索的问题:当面对旨在引发灾难性故障的精心设计的对抗性输入时,它们的鲁棒性如何?
针对自动驾驶系统的对抗性鲁棒性的研究,特别是对于感知(Sun, Cao, Chen, & Mao (2020) 和轨迹预测等任务,最近受到了关注。现有的方法主要基于迭代梯度优化,通过扰动现有历史数据来制造对抗性轨迹(Cao et al. (2022); Tan, Wang, & Kantaros (2023); Zhang, Hu, Sun, Chen, & Mao (2022))。这些方法通常从真实轨迹开始,寻找在满足运动学约束的同时最大化预测误差的最小扰动。尽管这些方法成功揭示了模型漏洞,但它们存在根本性的局限性,这一点在倡导更鲁棒预测模型的研究中也有体现(Duan, Wang, Cui, He, & Chen (2024))。首先,依赖于在线迭代优化在计算上非常密集,对实时应用或大规模安全测试构成了重大障碍(第4.5节中有量化)。其次,由于将搜索范围限制在原始轨迹的局部邻域内,它们在发现超出小数值偏差的漏洞方面存在固有限制,可能会忽略更深层次的行为级缺陷。此外,现有研究很少评估这些攻击的跨模型和跨领域可转移性,这使得发现的漏洞的通用性受到质疑。制造出既有效又在特定驾驶情境下行为上一致的攻击这一关键挑战——如图1a所示的理想安全场景——在很大程度上仍未得到解决。与可以通过异常值检测过滤的基于噪声的扰动不同,语义欺骗模仿了有效的驾驶操作,使其本质上更难检测,并且能够引发高置信度的规划错误。值得注意的是,在这种情况下,“语义欺骗”指的是操纵编码在运动轮廓中的行为意图(例如,开始转弯的运动学),而不是违反静态地图规则。
为了克服局部扰动的局限性,我们提出了向“生成重构”范式的转变。与优化要叠加在输入上的加性噪声向量的扰动方法不同,我们的方法学习根据驾驶情境重构整个轨迹分布,从而实现全面的行为操纵。图1提供了这一转变的概念性说明。
然而,简单的生成方法(例如,无条件GAN)往往产生与情境无关且显而易见的攻击(图1b)。为了解决这个问题,我们引入了一个条件GAN(c-GAN)框架,该框架明确地将生成条件化为真实历史数据。通过整合多目标损失函数,我们的模型确保生成的攻击不仅有效,而且隐蔽、可控且具有情境意识,能够暴露深层意图级别的漏洞(图1c)。
为了应对上述挑战,本研究的主要
研究目标是:
•建立一种“生成重构”范式,用于合成完整的对抗性轨迹。
•确保生成的攻击在行为上隐蔽且在运动学上合理。
•发现超出数值扰动的深层运动语义漏洞。
•通过跨模型和跨领域泛化来验证攻击的鲁棒性。
具体来说,为了实现这些目标,本文做出了以下关键贡献:
•新的攻击范式:我们引入了一种新颖的“生成重构”框架,将对抗性攻击从局部扰动优化(和基于扰动的生成)转变为直接合成完整的、具有欺骗性的驾驶行为。这种方法更高效,能够发现更深层次的运动语义漏洞,如表1中所系统比较的。
•隐蔽且可控的框架:我们提出了一个专为这种新范式设计的复杂实用的条件GAN(c-GAN)框架。它通过将生成条件化为真实驾驶情境,解决了隐蔽性的关键问题,将攻击转变为一致且可控的欺骗。
•多目标公式化以实现真实性:我们设计了一个新颖的多目标损失函数,明确平衡了攻击强度、行为隐蔽性和运动学合理性之间的竞争目标。这种公式化对于生成既有效又在物理上可行且在视觉上与自然驾驶操作无法区分的对抗性轨迹至关重要。
•广泛的实验验证:通过在大型公共基准测试上的全面实验,我们证明了我们框架的优越性能。定量上,我们的方法达到了82.26%的误报率和13.08米的最终位移误差(FDE),显著优于现有的最佳基线(例如,Adv-GAN的误报率为79.3%),提供了一个评估轨迹预测系统鲁棒性的强大新工具。
相关文献
相关工作
在本节中,我们回顾了与我们的工作最相关的文献。首先,我们概述了主流的轨迹预测模型。然后,我们调查了针对这些模型的现有对抗性攻击方法,并对它们进行分类,以突出我们的工作旨在填补的空白。最后,我们讨论了生成对抗网络在安全背景下的应用,以定位我们新颖的生成攻击框架。
威胁模型
为了明确我们提出的攻击的操作范围,我们根据攻击者的目标、知识和能力来定义威胁模型:
•攻击者目标:主要目标是引发目标或非目标的预测错误(即,最大化FDE)在受害者的轨迹预测模型中,导致AV做出不安全的规划决策。同时,攻击者旨在保持隐蔽性,确保对抗性输入在运动学上合理且在行为上
实验
在本节中,我们进行了一系列实验来严格验证我们提出的条件生成攻击框架。我们的评估旨在解决三个主要目标:
1.有效性和漏洞发现:展示我们的条件GAN(c-GAN)在制造高效且隐蔽的攻击方面的优越性能。通过这一点,我们旨在证明我们的框架可以揭示一类新的深层运动语义漏洞
讨论
我们的实验结果证明了我们通过新颖的c-GAN框架实现的“生成重构”攻击范式的有效性和隐蔽性。在本节中,我们讨论了我们的发现的更广泛影响、它们对防御提出的挑战以及未来研究的有希望的方向。
关于运动语义漏洞的本质我们的工作为现代轨迹预测器中存在一类深层“运动语义漏洞”提供了强有力的证据。
结论
在本文中,我们设计、实现并验证了一个针对轨迹预测模型的新颖“生成重构”框架,将重点从数值扰动转移到运动语义欺骗。我们的核心贡献是设计和实现了一个复杂的条件GAN(c-GAN)框架,开创了这一新范式。通过独特地条件化为真实驾驶情境并使用多目标损失函数,我们的框架
未引用的参考文献
Graves (2013); Paszke et al. (2019)CRediT作者贡献声明
贾浩阳:概念化、方法论、软件、写作——原始草稿、可视化。熊晓兵:验证、形式分析、调查。罗海斌:数据整理、资源。曹艳:概念化、监督、写作——审阅与编辑、项目管理、资金获取。
利益冲突声明
作者声明以下可能被视为潜在利益冲突的财务利益/个人关系:
曹艳报告称获得了网络空间安全重点实验室的财务支持。如果有其他作者,他们声明没有已知的财务利益或个人关系可能影响本文报告的工作。
