赛迪译丛:《在自动驾驶中采用人工智能技术的网络安全挑战及相关建议》-29正式版.docx
《赛迪译丛:《在自动驾驶中采用人工智能技术的网络安全挑战及相关建议》-29正式版.docx》由会员分享,可在线阅读,更多相关《赛迪译丛:《在自动驾驶中采用人工智能技术的网络安全挑战及相关建议》-29正式版.docx(28页珍藏版)》请在课桌文档上搜索。
1、ro赛迪智库2021年10月11日第31期总第504期在自动驾驶中采用人工智能技术的网络安全挑战及相关建议【译者按】今年2月,欧盟网络安全局(ENISA)发布在自动驾驶中采用人工智能的网络安全挑战报告。报告梳理了人工智能技术在自动驾驶汽车中的应用现状,通过5个攻击场景深入分析了人工智能技术在自动驾驶中产生的网络安全威胁和挑战,并提出加强人工智能网络安全供应链安全、开发端到端的人工智能安全解决方案、提升人工智能相关事件处置和漏洞发现能力、加强汽车行业人工智能安全培训等多项对策建议。该报告旨在提高人们对人工智能技术潜在风险的认识并有效化解风险。赛迪智库网络安全研究所对该报告进行了编译,期望对我国有
2、关部门有所帮助。【关键词】自动驾驶人工智能网络安全借助人工智能技术的进步,新一代汽车正在实现半自动和自动驾驶功能。根据美国汽车工程学会发布的道路机动车辆驾驶自动化系统相关术语的分类和定义(以下简称SAEJ3016),道路机动车辆被划分为六个自动驾驶级别,从没有自动驾驶的O级到完全自动驾驶且不需要驾驶员的5级,如图1所示。本报告所指自动驾驶车辆,对应SAEJ3016中的4级和5级车辆。SAEJ3016标准规定的自动驾驶级别O1I23I4I5I无自动驾驶三驾驶员辅助i部分自动驾驶;有条件自动驾他高度自动驾驶;完全自动驾驶;人类驾驶员监控驾驶环境自动驾驶系统监控驾驶环境图1SAEJ3016标准规定的
3、自动驾驶级别一、人工智能技术在自动驾驶中的应用(一)自动驾驶汽车中的人工智能技术过去10年,自动驾驶快速发展。自动驾驶系统能够通过感知并推断周围环境,做出安全、顺利到达目的地的判断,并据此采取行动控制车辆。人工智能技术特别是机器学习的快速发展是实现自动驾驶的重要推动因素。图2列出了自动驾驶系统面临的典型场景。通过将每个问题分解成较小的任务,并运用机器学习为每个任务开发独立的模型,从而实现自动驾驶。场景理解感知摄像头激光宙达雷达超声波9检测与定位物体检测道路检测语义分割同步定位与地图构建高清地图场景表征传感器融合行为预测物体映射计划和决定规划路径和移动轨迹优化驾驶政策控制速度变化转向加速与制动图
4、2:自动驾驶系统的典型元素利用人工智能和机器学习技术实现的自动驾驶系统增强型功能主要包括制动辅助、智能停车、与信息娱乐系统的语音互动等。1 .自适应巡航控制(ACC)。该功能包括调整车速,以保持与前方车辆的最佳距离;估算车辆之间的距离,并加速或减速以保持合适的距离。2 .自动泊车或泊车辅助系统。该功能是指将车辆从行车道移至停车场,包括识别道路上的标记、周围车辆和可用空间,产生一连串的指令来执行该动作。3 .汽车导航。该功能利用全球导航卫星系统(GNSS)设备提供的位置数据和车辆在感知环境中的位置,寻找到达预期目的地的方向。4 .盲区/十字路口警示/变道辅助。当车辆在十字路口转弯或变道等情况下,
5、通过位于车辆相关位置的传感器,检测位于车辆侧方、后方和前方的车辆和行人。5 .避免碰撞或前方碰撞警告系统。检测潜在的前方碰撞并监测速度,避免发生碰撞。系统通常会估算前方车辆、行人或阻挡道路的物体的位置和速度,并对可能发生碰撞的情况做出主动响应。6 .自动车道保持系统(ALKS)。通过转向使车辆保持在其行驶车道的中心,包括检测车道标记,在驾驶条件不明情况下预判车道轨迹,并执行操纵车辆的动作。7 .交通标志识别。识别道路上的交通标志,通常识别所有交通标志,如交通信号灯、路标或标志。这需要摄像头传感器根据形状、颜色、符号和文字等各种标志做出检测。8 .环境声音检测。检测并分析与驾驶环境相关的声音,如
6、喇叭声或警报声。需要在嘈杂的情况下进行声音识别。(二)自动驾驶系统中的人工智能软件在现实环境中驾驶车辆并非易事,需要有复杂的社会伦理和决策能力,才能有效应对各种意外和危险情况。嵌入在自动驾驶车辆中的人工智能软件可以实现这些功能,它们通过对处理传感器收集到的各种数据进行处理,从而做出移动、停车、减速等决策。其中涉及到的三类主要的数据处理功能模块包括感知模块、规划模块和控制模块。感知模块负责收集从传感器获得的多个数据流,并从中提取有关环境的相关信息。规划模块负责计算车辆将采取的轨迹,考虑起始位置和所需目的地之间的路线,以及车辆沿整个路径必须遵守的所有约束。控制模块负责通过作用于执行器(速度、转向角
7、、灯等)来执行系统计划的动作序列,以确保正确执行轨迹。1.感知模块。是指自动驾驶车辆解析传感器原始信息的能力,用于实现车辆周围环境状态的中间表征,并跟踪车辆随时发生的状态变化。此外,对于自动驾驶车辆可能遇到或必须与之交互的所有物体,如基础设施(道路、标志、交通灯等)、各项因素(如车辆、骑自行车者、行人等)或障碍物,感知系统还具备检测、分类和识别能力。感知系统还包括构建内部环境地图,允许车辆在空间和时间维度上定位自身和其他对象。根据场景理解、场景流估计和场景表征与定位等原则,可对自动驾驶车辆的感知任务进行排序。目前,该领域很大程度上受深度学习技术主导,同时还受到机器人技术的很大影响,尤其是定位技
8、术、映射技术以及常规的时序模式识别算法。(1)场景理解。场景理解包括所有旨在提供自动驾驶车辆环境画面的任务。典型任务包括检测并识别环境中存在的所有要素。大多数归为场景理解的方法均利用各种传感器的数据流,并采用非常出色的计算机视觉架构。但是,对于在理论上非常精确的计算机视觉系统来说,实时理解真实交通环境中的各类物体异常复杂。这当然需要考虑到场景的可变性:即外表可变性、环境可变性和含义可变性。(2)道路和车道标志。自动驾驶车辆需区分可行驶区域(公路、机动车道、乡间小道等)和不可行驶区域(人行道等)、不同类型的路面以及显示车流走向的各种车道。(3)移动因素和障碍物检测:移动因素(行人、骑自行车者、车
9、辆等)和障碍物(植物、物体等)主要使用物体检测、图像分割和跟踪技术进行检测。(4)交通标志和标线识别:特定标志或标牌指示的检测和识别对确保安全驾驶至关重要。(5)声音分类。识别环境声音是理解驾驶场景的一个重要方面。胎噪、喇叭声或发动机轰鸣声等诸多要素可传递车辆附近的信息,有助于预测危险情况。尤其是急救车辆的警报器,会提醒车辆必须调整驾驶规则。(6)场景流估计。场景流估计功能会收集与场景动态行为有关的感知任务,主要涉及物体和车辆移动。在场景流理解中,最重要的任务是物体和车辆跟踪,其目的是预测它们的运动情况,并且可能还需对其他交通参与者的行为进行建模。因此,对各种规划任务都具有很高的相关性。场景流
10、估计面临的两方面主要挑战是跟踪运动或静止物体,并预测物体的意向和动作。(7)场景表征。场景表征任务包括同时映射环境和持续定位自动驾驶车辆。车辆定位包括估计自动驾驶车辆与周围环境的相对位置和方向。这些定位技术实际上是源自同步定位和地图构建(SLAM)领域的一系列方法。几十年来,同步定位和地图构建技术一直用于解决移动机器人同样面临的问题。占据栅格是一种概率掩码,会回应环境栅格地图每个单元格被占据的概率。这是机器人领域采用的另外一种常用技术,用于自动驾驶的定位和地图构建。2 .规划模块。规划任务包括自主进行车辆操作所需的所有计算,包括路线规划、执行特定驾驶场景的运动轨迹等。这些规划任务面临的难题是很
11、难正确评估系统的预测情况。与地面真实信息通常已知的、且可与预测进行比较的感知任务相反,评估规划系统的性能时,需在受控环境中进行测试,或在模拟器中进行评估。即使在这些具有挑战性的设定条件下,自动驾驶车辆仍能应对大多数情况,但在数据、模型或模拟没有考虑到的场景中,可能无法做出正确决策。推理功能主要依赖于自主机构和机器人使用的先进人工智能方法。(1)路线规划。路线规划(或路线选择),也称为全局规划,是指确定车辆当前位置与用户请求目的地之间的最佳路径。路线规划会用到全球导航卫星系统(GNSS)坐标和车内嵌入的离线地图。(2)行为规划。行为规划是指根据环境表征和行驶路线,选择最合适的驾驶行为。这个决策过
12、程可用有限状态机1来进行建模分析。各种状态是指车辆行为,并且各种状态之间的过渡受车辆感知到的驾驶环境约束。(3)运动规划。运动规划或局部规划是指根据计算出的路线和选择的行为,在车辆感知环境中找到车辆的最佳行驶轨迹,包括将高级行为转化成感知环境坐标中所示的一系列路点。行驶轨迹必须考虑到几种约束条件,例如车辆可行性(例如考虑到当前速度)、安全、合法和尊重环境中的其他参与者,以及确保乘客获得平顺的驾驶体验。3 .控制模块。控制系统用于执行规划系统计算出的行驶轨迹,即在硬件层面执行车辆执行器的各种命令。一般来说,车辆有两种运动方式:横向运动(车辆转向控制)和纵向运动(加速和刹1有限状态机是为研究有限内
13、存的计算过程和某些语言类而抽象出的种计算模型。车踏板控制)。4.信息娱乐和车内监测。人工智能不仅用于实现各种驾驶功能,而且证明在信息娱乐系统和车内监测方面大有裨益。这些功能开始越来越多地集成到车辆中,既有专门用于语音识别的嵌入式硬件,也有通过语音控制和面部表情控制的个人行车助理。(1)人机接口(HMI),人机接口可实现乘客与车辆间的互动,例如向驾驶或娱乐系统发出命令或接收当前行程等信息。(2)车内监测。通过传感器,如摄像头、麦克风、温度传感器等监测车内信息,确保乘客的舒适性。(三)汽车功能与人工智能技术的对应关系表1列出了自动驾驶汽车功能与人工智能技术的对应关系。二、自动驾驶中的人工智能网络安
14、全问题自动驾驶和车联网的发展对车辆的计算功能和互连互通提出了更高要求,也增加了车辆受到网络攻击的可能性。自动驾驶车辆的网络安全风险将对乘客、行人、其他车辆和相关基础设施安全产生影响,亟需对应用人工智能的安全漏洞风险进行研究。人工智能网络威胁可分为两类:有意威胁和无意威胁。有意威胁包括恶意利用人工智能和机器学习中存在的漏洞实施故意攻击和伤害。无意威胁包括因人工智能和机器学习的缺陷、不良设计或内在特性引起的不可预测的故障、失效或其他负面后果。本报告重点讨论利用人工智能漏洞破坏自动驾驶车辆的威胁。表1自动驾驶汽车功能与人工智能技术的对应关系汽车功能计算机视觉I序列机器学习自动规划I控制端到端的方法物
15、体检测,图像分割车辆定位I循环模型马尔可夫模型过滤模型传统规划模仿学习政策学习道路检测XXX车道检测XXXX运动因素检测XXX交通标志识别XXX标记识别XXXX物体跟踪XXXXXX声音识别X定位XXXX占据地图XXXXXXX路线规划X行为规划XXX运动规划XX行驶轨迹执行XX-11-常见的网络安全威胁包括四类:一是传感器卡塞、致盲、欺骗/饱和。传感器会致盲或受到干扰。通过这种方式,攻击者可操纵人工智能模型,向人工智能算法提供错误数据、或故意提供不完整数据,从而降低自动决策的有效性。二是DoS/DDoS攻击。中断自动驾驶车辆可用的通信通道,使其与外界基本失去联系。这种攻击方式会直接影响车辆操作,
16、并会阻止自动驾驶。DDoS攻击的目的是中断通信通道。三是操纵车辆通信。劫持和操纵通信信道会对自动驾驶操作产生严重影响,攻击者可修改传输的传感器读数或错误解释道路基础设施提供的信息。四是信息泄露。车辆为了实现自动驾驶会存储和使用大量的个人敏感信息,包括人工智能组件上保存的关键数据,因此潜在攻击者会有意获取此类信息从而导致数据泄露。下面通过5个假设场景,对自动驾驶汽车中存在的人工智能漏洞危害进行解释。(一)攻击场景L针对用于街道标志识别和车道检测的图像处理模型的对抗性扰动1.基本情况:通过在道路标志上引入物理扰动,达到欺骗模型感知有关环境错误信息的目的,包括对道路车道的油漆或道路标志(停车标志、限
17、速标志等)进行改造、放置贴纸或投射光。这些精心设计的模式会导致感知组件对对象或符号的错误分类,进而导致自动驾驶汽车发生错误行为。2 .攻击步骤:(1)攻击者分析目标车辆的相机和基于人工智能的图像分类器功能,设计能够改变输出的对抗性攻击。此阶段可能需要尝试多个扰动模式或显示参数。攻击者还需要进行一些物理实验以确保攻击成功。(2)攻击者执行目标标志或交通标志更改操作,致使自动驾驶汽车做出错误分类。(3)行经更改的标志或交通标志的目标车辆将错误地将该标志分类为攻击者设定的类别(例如将停车标志识别为限速标志),并做出相应反应(例如进行降低速度而不是停车)。3 .产生的影响:中一高。影响程度取决于目标标
18、志及其在自动驾驶功能中的作用。标记的错误分类很容易产生安全问题,引发自主导航功能中的不当行为,危及道路使用者的安全,导致驾驶员、乘客或行人死亡。4 .检测难度:简单中等一困难。根据攻击的性质,有些可以很容易地检测到,有些在事故发生之前肉眼都无法检测到。5 .连锁效应风险:低。该扰动是局部的,只影响途径修改标志处的车辆。6 受影响的模块:标志识别算法、传感器、车辆功能。(二)攻击场景2:对规划模块进行中间人攻击1.基本情况:攻击者在车辆主机中发现了一个可远程利用的漏洞,并通过互联网利用该漏洞远程入侵易受攻击车辆的主机。一旦进入主机,攻击者将横向移动获得对车载网络的访问权限。此外,攻击者还可能在车
19、辆维修期间直接访问车辆内部网络。如果车辆的内部网络不能对其进行有效验证,那么注入一个被篡改的模块可能比利用互联网连接入侵更有效。基于此,攻击者可以对感知模块输出的环境状态发动中间人攻击。假设攻击者为了避免被检测到只能向状态值增加小扰动,那么为了选择正确的扰动,攻击者可以设计对强化学习模型的对抗性攻击,用于选择考虑环境状态的正确行为,从而导致自动驾驶汽车的行为发生变化。攻击的方式包括将识别到停止标志时发出的制动命令替换为加速命令,并且即使轨迹上存在障碍物也允许转弯。2 .攻击步骤:(1)攻击者识别并找到可从互联网远程利用的车辆主机漏洞的方法。(2)一旦车辆主机被攻破,攻击者将横向移动获得访问车载
20、网络的方法。(3)发动中间人攻击劫持人工智能组件输入的数据。(4)对车辆使用人工智能模型进行分析,并发起对抗性机器学习攻击实现操纵规模模块输出的目的。3 .产生的影响:高。影响取决于系统中产生的特定不当行为。如果负责车辆执行器的系统成为目标,则潜在影响非常大,车辆或可能执行紧急制动等不安全操作。4 .检测难度:困难。对抗性机器学习攻击是在车载网络内进行的,攻击者可以更精细地控制人工智能输入,并且其行为更容易被驾驶员忽视。5 .连锁效应风险:高。在这种情况下,攻击的入口可以是从互联网触发的可远程利用的漏洞。攻击者可以轻松地将攻击自动化,从而在全球范围影响整个易受攻击的车辆。6 .受影响的模块:运
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 在自动驾驶中采用人工智能技术的网络安全挑战及相关建议 译丛 自动 驾驶 采用 人工智能 技术 网络安全 挑战 相关 建议 29 正式版
链接地址:https://www.desk33.com/p-1052312.html