對于自動(dòng)駕駛汽車（AV），定位的安全性至關(guān)重要，它的直接威脅是GPS欺騙。幸運(yùn)的是，當(dāng)今的自動(dòng)駕駛系統(tǒng)主要使用多傳感器融合（MSF）算法，通常認(rèn)為該算法有可能解決GPS欺騙問題。但是，沒有任何研究表明當(dāng)下的MSF算法在GPS欺騙的情況下是否足夠安全。本文專注于生產(chǎn)級別的MSF，并確定了兩個(gè)針對AV的攻擊目標(biāo)，即偏離攻擊和逆向攻擊。為了系統(tǒng)地了解安全性，我們首先分析了上限攻擊的有效性，并發(fā)現(xiàn)了可以從根本上破壞MSF算法的接管效果。我們進(jìn)行了原因分析，發(fā)現(xiàn)該漏洞是動(dòng)態(tài)且隨機(jī)地出現(xiàn)。利用這個(gè)漏洞，我們設(shè)計(jì)了FusionRipper，這是一種新穎的通用攻擊，可以抓住機(jī)會并利用接管漏洞。我們對6條真實(shí)的傳感器跡線進(jìn)行了評估，結(jié)果發(fā)現(xiàn)，對于偏離和逆向攻擊，F(xiàn)usionRipper在所有跡線上的成功率分別至少達(dá)到97％和91.3％。我們還發(fā)現(xiàn)，它對欺騙不準(zhǔn)確等實(shí)際因素具有高度的魯棒性。為了提高實(shí)用性，我們進(jìn)一步設(shè)計(jì)了一種精巧的方法，該方法可以有效地識別出攻擊參數(shù)，兩個(gè)攻擊目標(biāo)的平均成功率均超過80％。我們還將討論可行的的防御方法。

如今，各家公司都在開發(fā)自動(dòng)駕駛汽車，例如level 4的自動(dòng)駕駛汽車（AV），其中一些公司已經(jīng)在公共道路上提供服務(wù)，例如Google的Waymo提供的自動(dòng)駕駛出租車TuSimple的一輛和自動(dòng)駕駛卡車。為了實(shí)現(xiàn)駕駛自動(dòng)化，AV中的自動(dòng)駕駛（AD）系統(tǒng)不僅需要感知周圍的障礙物，還需要在地圖上對其自身所在位置進(jìn)行厘米級定位。這種定位在自動(dòng)駕駛場景下需要保證高度的安全性，因?yàn)殄e(cuò)誤定位會直接導(dǎo)致AV車道偏離或走錯(cuò)路。在高級AD系統(tǒng)中，感知模塊僅用于障礙物檢測，而定位模塊則負(fù)責(zé)識別道路偏離。意味著即使感知模塊運(yùn)行正常，也無法阻止由于定位模塊錯(cuò)誤而造成車道偏離的危險(xiǎn)，例如偏離后撞到路邊，跌落懸崖或被其他的車輛撞到，特別是當(dāng)AV行駛方向相反時(shí)。但是，許多學(xué)者對于AD系統(tǒng)中的安全性研究集中于AD感知，例如，交通標(biāo)志上的惡意標(biāo)簽，這使AD定位的安全性成為一個(gè)懸而未決的問題。

一般而言，對于室外定位，GPS是最直接的數(shù)據(jù)來源，因此對GPS的直接威脅是GPS欺騙，它是一個(gè)長期存在但仍未解決的安全性問題。幸運(yùn)的是，為了實(shí)現(xiàn)可靠的定位，當(dāng)前許多主機(jī)廠的AD系統(tǒng)主要使用多傳感器融合（MSF）算法，該算法將GPS輸入與其他傳感器的位置輸入相結(jié)合，通常是IMU（慣性測量單元）和LiDAR（光學(xué)雷達(dá)）。在這種算法中，僅靠GPS數(shù)據(jù)不能決定具體定位位置，因此主流觀點(diǎn)認(rèn)為MSF是防止GPS欺騙的最佳解決方案。但是，實(shí)際上MSF算法主要是為了提高定位的準(zhǔn)確性和魯棒性，而不是為了安全性而設(shè)計(jì)的。鑒于其在自動(dòng)駕駛汽車中的廣泛使用以及對道路安全的高度重視，因此必須盡早系統(tǒng)地理解這一點(diǎn)。

為了填補(bǔ)這一關(guān)鍵的研究空白，本文中，我們首次對AV中基于MSF的定位的安全性進(jìn)行了研究。作為此方向上的第一個(gè)研究，我們將GPS欺騙作為攻擊媒介，因?yàn)樗荕SF輸入源中最成熟的攻擊媒介之一。我們專注于生產(chǎn)級MSF實(shí)施，即百度Apollo MSF（BA-MSF）。我們認(rèn)為攻擊目標(biāo)是使用GPS欺騙引起MSF輸出的較大橫向偏差，即向左或向右偏斜。這可能會導(dǎo)致AV偏離道路或駛?cè)脲e(cuò)誤的道路，我們分別將其稱為偏離攻擊和逆向攻擊。

為了系統(tǒng)地了解安全性，由于BA-MSF以二進(jìn)制形式發(fā)布，因此我們首先通過動(dòng)態(tài)黑盒分析來分析上限攻擊的效果。我們發(fā)現(xiàn)，在現(xiàn)實(shí)世界中，即使是這種上限攻擊結(jié)果，大部分（71％）也只能引起小于50厘米的偏差，這遠(yuǎn)遠(yuǎn)不能造成偏離或逆向攻擊（分別需要至少90厘米和2.4 米）。這表明MSF確實(shí)可以總體上增加GPS定位的安全性。有趣的是，我們還觀察到仍然存在一些上限攻擊結(jié)果，這些結(jié)果可能會導(dǎo)致超過2米的偏差。對于所有這些結(jié)果，我們發(fā)現(xiàn)GPS欺騙能夠引起定位偏差成指數(shù)級增長。這是因?yàn)槠垓_的GPS成為融合過程中的主要輸入源，并最終導(dǎo)致MSF拒絕其他輸入源，從而根本上破壞了MSF的設(shè)計(jì)原理。在本文中，我們稱其為接管效應(yīng)。然后，我們對其進(jìn)行原因分析，發(fā)現(xiàn)只有在MSF處于相對不確定的時(shí)期時(shí)才出現(xiàn)這種情況，這是由于動(dòng)態(tài)和不確定性的現(xiàn)實(shí)因素（例如傳感器噪聲和算法不準(zhǔn)確）共同導(dǎo)致的。

這種接管漏洞對于攻擊者非常有吸引力，因?yàn)樗鼈兛梢岳弥笖?shù)級偏差增長來實(shí)現(xiàn)攻擊目標(biāo)。但是，正如之前發(fā)現(xiàn)的那樣，脆弱時(shí)期是動(dòng)態(tài)且不確定地出現(xiàn)的。因此，我們設(shè)計(jì)了FusionRipper，這是一種新穎的通用攻擊，可通過兩個(gè)階段來嘗試性地捕獲和利用接管漏洞：（1）漏洞分析（評估何時(shí)出現(xiàn)脆弱時(shí)期），以及（2）gps欺騙攻擊，利用接管效應(yīng)攻擊，達(dá)到定位偏差指數(shù)級增長的目標(biāo)。

我們測試FusionRipper，并根據(jù)來自Apollo和KAIST Complex Urban數(shù)據(jù)集的6條真實(shí)世界的傳感器軌跡對其進(jìn)行評估。結(jié)果表明，當(dāng)攻擊可持續(xù)2分鐘時(shí)，對于偏離和逆向攻擊，F(xiàn)usionRipper始終存在一組攻擊參數(shù)，分別在所有軌跡中獲得至少97％和91.3％的成功率，成功時(shí)間平均超過35秒。為了了解攻擊的實(shí)用性，我們用一些實(shí)際因素進(jìn)行評估，例如（1）欺騙信號不準(zhǔn)確，以及（2）AD系統(tǒng)控制接管。發(fā)現(xiàn)這兩種情況下，攻擊成功率只會受不到4％的影響。

此外，我們觀察到攻擊效果與攻擊參數(shù)的選擇有關(guān)。因此，為了提高實(shí)用性，我們進(jìn)一步設(shè)計(jì)了一種精確的攻擊參數(shù)配置方法，該方法可以收集有效參數(shù)，而在配置過程中不會引起明顯的安全問題，從而保持隱蔽性。在現(xiàn)實(shí)世界中的跟蹤結(jié)果表明，我們的方法可以有效地識別出攻擊參數(shù)，偏離和逆向攻擊的成功率分別為84.2％和80.7％。

01

攻擊目標(biāo)

如上文所述，我們考慮的攻擊目標(biāo)是向受害者AV的定位輸出引入較大的橫向偏差，即向左或向右偏斜。由于所有車輛都需要在其指定的車道內(nèi)行駛，因此這種橫向偏離會直接威脅到道路安全。特別地，在本文中，我們考慮了針對自動(dòng)駕駛環(huán)境的兩個(gè)具體的攻擊目標(biāo)：偏離攻擊和逆向攻擊。如下圖所示，前者旨在向左或向右偏離，直到受害者駛離道路，而后者則旨在向左偏離，直到受害者駛向相反的行車道。下表列出了實(shí)現(xiàn)這兩個(gè)目標(biāo)所需的偏差，這些偏差將在我們的后續(xù)安全分析中使用。

我們假設(shè)自動(dòng)駕駛系統(tǒng)被設(shè)計(jì)為在交通車道的中心行駛，并不斷嘗試糾正與中心的任何偏差。來自學(xué)術(shù)界和行業(yè)的最先進(jìn)的AD系統(tǒng)都遵循這種設(shè)計(jì)，并使用橫向控制器在控制模塊中以較高的頻率（例如，Apollo中為100 Hz）強(qiáng)制實(shí)施。這意味著，當(dāng)攻擊者向MSF輸出（例如，圖中的右側(cè)）引入偏差時(shí)，受害者AV將主動(dòng)對其進(jìn)行糾正，從而導(dǎo)致其物理世界位置具有相同的偏差量，但方向相反（例如，在圖的左側(cè)）。

02

攻擊模型

我們可以把上述攻擊建模為以下公式：

在下一部分我們將討論具體的攻擊有效性及接管效應(yīng)。

fqj