超级会员免费看
自动驾驶车辆系统中的对抗攻击与防御
1. 引言
自动驾驶车辆的发展与机器学习和人工智能紧密相连,尤其是深度神经网络(DNN)已深度融入现有的自动驾驶系统。在非安全关键型应用中,机器学习系统偶尔的错误输出或许影响不大,但在自动驾驶这类安全关键型应用中,错误输出可能导致灾难性后果,如生命和财产损失。
例如,高端汽车通常配备抬头显示,可显示限速和各种交通信号。若攻击者在限速 60 的标志上贴上对抗性补丁,使车内的 DNN 将其误分类为停车标志,而驾驶员未留意交通信号,可能会听从车辆指示停车,从而引发危险碰撞。在完全自动驾驶汽车中,这种情况更为严重,汽车可能会在未警告驾驶员的情况下自行停车。
DNN 最初并非以正确性和安全性为主要设计目标,这导致其在安全关键型应用中存在不足。长期以来,神经网络研究主要致力于提高各种数据集的分类准确率,从早期的 MNIST 数据集,到后来更复杂的 CIFAR - 10 和 ImageNet 数据集。尽管当前的 SOTA DNN 在 ILSVRC 竞赛中表现出色,分类准确率超过人类,但它们在处理图像的机制与人类不同,缺乏对场景和上下文的理解能力。
大约在 2013 - 2014 年,研究发现 DNN 在不可察觉的噪声下容易崩溃,对所谓的“对抗性示例”缺乏鲁棒性。对抗性示例是指在正确分类输入附近存在的误分类实例,且所有 DNN 架构都容易受到此类攻击。因此,设计既具有高准确率又能抵御对抗性示例的 DNN 一直未能成功。由于自动驾驶系统的未来依赖于 DNN 的发展,对抗性示例问题亟待解决。
对抗攻击大致可分为白盒攻击和黑盒攻击:
- 白盒攻击 :攻击者了解 DNN 的架构和权
订阅专栏 解锁全文
扫一扫
779
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
