一.论文信息

论文题目： You Can’t See Me: Physical Removal Attacks on LiDAR-based Autonomous Vehicles Driving Frameworks（你看不见我:对基于激光雷达的自动驾驶汽车驾驶框架的物理移除攻击）

论文来源： 2023-Usenix Security

论文团队： 密歇根大学 & 佛罗里达大学 & 日本电气通信大学

二.论文内容

1.摘要

自动驾驶汽车(AVs)越来越多地使用基于激光雷达的物体检测系统来感知道路上的其他车辆和行人。目前，针对基于激光雷达的自动驾驶架构的攻击主要集中在降低自动驾驶物体检测模型的置信度，以诱导障碍物误检测，而我们的研究发现了如何利用基于激光的欺骗技术，在传感器层面选择性地去除真实障碍物的激光雷达点云数据，然后将其用作自动驾驶感知的输入。这些关键的激光雷达信息的消融会导致自动驾驶障碍探测器无法识别和定位障碍物，从而导致自动驾驶汽车做出危险的自动驾驶决策。在本文中，我们提出了一种人眼不可见的方法，通过利用激光雷达传感器数据与自动驾驶框架集成的固有自动转换和滤波过程，隐藏物体并欺骗自动驾驶汽车的障碍物探测器。我们称这种攻击为物理移除攻击(PRA)，我们证明了它们对三种流行的自动驾驶障碍探测器(Apollo, Autoware, PointPillars)的有效性，我们实现了45◦攻击能力。我们使用工业级模拟器LGSVL评估了攻击对三种融合模型(Frustum-ConvNet、AVOD和集成语义级融合)的影响，以及对驾驶决策的影响。在我们的移动车辆场景中，我们实现了92.7%的成功率去除90%的目标障碍物云点。最后，我们演示了针对欺骗和对象隐藏攻击的两种流行防御的攻击成功，并讨论了两种增强的防御策略来减轻我们的攻击。

2.引言

3.作者贡献

• 我们识别和建模基于激光欺骗攻击的激光雷达传感器，通过利用内部云点变换和滤波去除真正的点云。
• 我们在三种流行的商业和学术AD感知模型(百度Apollo [7]， PointPillars[19]和Autoware[44])上对PRA的攻击者能力，挑战和限制进行了建模。然后，我们评估了攻击对三种最先进的融合模型(Frustum-ConvNet [52]， AVOD[17]和Autoware Integrated-Semantic Level fusion[44])的影响。
• 我们通过在生产级AD模拟器LGSVL上展示自动驾驶汽车的后果来验证我们的发现[33]，并对移动机器人和车辆进行现实世界的攻击。
• 我们验证了针对云点欺骗的两种现有防御方法(CARLO[42]和隐藏攻击防御[16])的攻击有效性。最后，我们提出了两种增强策略来减轻威胁。

4.主要图表

5.结论

我们发现了一种新的物理移除攻击，可以将激光雷达点云从真正的障碍物中移除。本研究探讨了攻击者在传感器级别使用点云消融的能力，导致AD感知模块无法识别障碍物及其位置，达到攻击者的45◦能力。然后，我们评估了PRA对三种AV感知和融合模型的影响。我们还实现了92.7%的成功率去除移动车辆上90%的目标障碍云点。最后，我们提出了两种有效的防御策略来帮助减轻威胁。