01

引 言

隨著自動駕駛技術(shù)的迅速發(fā)展，雷達和激光雷達等傳感器在自動駕駛汽車中的作用愈發(fā)重要。它們能夠生成3D點云數(shù)據(jù)，幫助車輛實時感知周圍環(huán)境并做出安全決策。然而，盡管這些傳感器對駕駛環(huán)境的檢測非常精確，它們也面臨一種新興的威脅——對抗性攻擊。

對抗性攻擊是一種通過微小但精心設(shè)計的擾動，旨在欺騙機器學(xué)習(xí)模型的攻擊方式。對于自動駕駛系統(tǒng)而言，這意味著通過對傳感器輸入的數(shù)據(jù)進行極小的修改，攻擊者可以導(dǎo)致自動駕駛汽車對其周圍環(huán)境作出錯誤的判斷。例如，在點云識別模型中，攻擊者可以通過擾動點云中的數(shù)據(jù)，使得車輛無法正確檢測障礙物或行人，從而引發(fā)嚴重的安全事故。

這種攻擊方式的危險在于，擾動往往非常微小，但它足以誤導(dǎo)深度學(xué)習(xí)模型。例如，通過使用針對3D點云的對抗性攻擊，攻擊者可以制造虛假目標(biāo)，或隱藏真實目標(biāo)，使車輛在物理世界中無法正確響應(yīng)。這些攻擊不僅對自動駕駛的安全性構(gòu)成重大威脅，也對自動駕駛系統(tǒng)的魯棒性提出了新的挑戰(zhàn)。

隨著對抗性攻擊技術(shù)的不斷演進，了解并防御這些攻擊變得尤為關(guān)鍵。本篇文章將重點介紹如何通過雷達對抗性攻擊來影響自動駕駛汽車的點云識別模型，揭示其潛在的危害。

02

針對點云識別模型的對抗性攻擊

2.1 2D對抗性攻擊方法向3D點云模型遷移的挑戰(zhàn)與難點

2014年，Goodfellow等[1]的研究指出，在待識別圖片中巧妙地加入一定的噪聲，會使得圖像被神經(jīng)網(wǎng)絡(luò)誤分類。同時，該研究也揭示了神經(jīng)網(wǎng)絡(luò)的脆弱性，使得神經(jīng)網(wǎng)絡(luò)的攻擊方法成為了近年來深度學(xué)習(xí)的研究熱點之一，隨后，出現(xiàn)了大量針對圖像的對抗性攻擊方法。如Su等嘗試使用更改圖像的單個像素的方式完成對神經(jīng)網(wǎng)絡(luò)的攻擊，該方法通過改變圖像中的單個像素觀察神經(jīng)網(wǎng)絡(luò)輸出概率的方式，搜索最終生成對抗樣本需要更改的像素，Wang等提出一種使用替代模型訓(xùn)練可遷移的對抗樣本的方法，通過訓(xùn)練一定數(shù)量的替代網(wǎng)絡(luò)生成可遷移的對抗樣本。

但這些方法都難以直接遷移應(yīng)用至點云識別模型的攻擊中：首先，2D的圖像和3D的點云數(shù)據(jù)結(jié)構(gòu)上存在巨大的差異，2D圖像中的像素是有序的，按行列排布，而3D點云數(shù)據(jù)中的點是無序的，點的排列順序?qū)c云的幾何結(jié)構(gòu)沒有影響。這使得許多直接基于像素位置的2D方法無法簡單遷移到3D點云中，因為點云沒有固定的排列結(jié)構(gòu)。另外，3D點云相比于2D圖像通常更加稀疏。點云中的每個點可能包含有限的鄰居點，而2D圖像中的每個像素通常都有固定數(shù)量的鄰居。這種稀疏性增加了在3D點云上生成有效對抗性樣本的難度。還有，2D圖像和3D圖像的坐標(biāo)空間不同，在2D圖像中，像素位于離散的二維網(wǎng)格中，而3D點云的數(shù)據(jù)位于連續(xù)的三維空間中。攻擊者在2D圖像上進行的像素擾動非常直觀，而在3D空間中，修改點的坐標(biāo)會影響物體的形狀、姿態(tài)和幾何結(jié)構(gòu)，使得在生成對抗性樣本時需要更復(fù)雜的幾何變換。3D點云模型對旋轉(zhuǎn)和平移等幾何變換相對敏感。使得對抗性攻擊在3D點云模型上相比于2D圖像識別模型更容易受到空間和角度的變化所影響最終導(dǎo)致失效。最后，3D模型的對抗性攻擊相比于2D模型計算量更大，3D數(shù)據(jù)的處理往往比2D圖像復(fù)雜得多，計算成本更高。在生成對抗性樣本時，算法需要處理大量點，這顯著增加了時間和資源的消耗。

2.2 針對點云識別模型的對抗性攻擊算法介紹

雖然將2D模型的對抗性攻擊方法遷移至3D點云的攻擊方法存在諸多挑戰(zhàn)，但還是有研究人員成功地將應(yīng)用于2D模型的對抗性攻擊方法遷移到了針對3D點云模型的方法中。Xiang等[2]提出了一種基于C&W的攻擊方法，稱之為3DAdv。3D Adv采用了C&W作為尋找對抗性特征使用的待優(yōu)化函數(shù)，采用Chamfer距離用于衡量兩個點云之間的相似性，通過梯度下降的方法求解出最后的對抗性特征。3DAdv采用了Chamfer距離來度量原始點云與擾動點云的相似性：這使得擾動后的點云在幾何結(jié)構(gòu)上依然保持與原始點云的高度相似，同時允許針對特定點的微小擾動，采用Chamfer距離很好地解決了L2范式等方法無法應(yīng)用于評估點云之間的相似度問題，一定程度上解決了3D點云的無序性問題和稀疏性問題。3D Adv雖然在一定程度上解決了點云數(shù)據(jù)和圖像數(shù)據(jù)特征不一致的問題，但其難以在現(xiàn)實世界中復(fù)現(xiàn)，另外還存在生成的計算復(fù)雜度高、適用范圍有限等局限性。

圖 1 3D Adv可視化效果[2]

另外也有其它的研究者另辟蹊徑，選擇使用別的方法生成對抗性的點云。比如Harmi等[3]就通過對抗性生成網(wǎng)絡(luò)進行對抗性點云的生成，對抗性生成網(wǎng)絡(luò)由兩個部分——生成器和判別器組成，生成器負責(zé)生成對抗樣本，判別器用于評估這些樣本的真實性。AdvPC 通過這種對抗性訓(xùn)練，生成在幾何上與原始點云相似但能夠欺騙分類器的對抗樣本。通過這種方法生成的樣本具有魯棒性強、可遷移性強的特點：傳統(tǒng)的基于梯度的對抗性攻擊通常需要對目標(biāo)模型進行專門優(yōu)化，生成的對抗樣本難以在不同模型之間通用。AdvPC通過生成模型，能夠生成對多個模型都有效的對抗性樣本。換句話說，生成的對抗樣本具有較強的可遷移性，在不同的3D點云分類器中依然能夠誤導(dǎo)模型。另外，由于AdvPC結(jié)合了生成對抗網(wǎng)絡(luò)的強大能力，它生成的對抗樣本在一定的旋轉(zhuǎn)、平移或噪聲干擾下仍然能夠保持有效。相比于直接的梯度攻擊，AdvPC生成的對抗性樣本更能適應(yīng)實際的物理環(huán)境變化，適合在現(xiàn)實應(yīng)用中使用。但是，AdvPC也存在自己的局限性：由于GAN的訓(xùn)練過程本身較為復(fù)雜，AdvPC的實現(xiàn)需要大量計算資源，尤其在生成高質(zhì)量的對抗樣本時，訓(xùn)練過程可能會消耗大量時間。另外，盡管AdvPC在數(shù)字環(huán)境中的效果顯著，但將這些對抗樣本應(yīng)用于物理世界（如激光雷達數(shù)據(jù)）時，可能仍需要克服一些現(xiàn)實中的傳感器噪聲和環(huán)境變化。

圖2 AdvPC算法流程[3]

3DAdv和AdvPC除去自身的局限性，他們還難以應(yīng)用于黑盒攻擊的場景下。3DAdv需要知道模型的梯度信息，AdvPC需要知道數(shù)據(jù)的輸入特征，在目標(biāo)模型的信息完全未知只能知道目標(biāo)模型的輸入輸出的情況下這種白盒的方法無法應(yīng)用。為了解決這一問題，Cao等[4]提出了EvolutionAdv，EvolutionAdv 通過進化算法逐步優(yōu)化對抗性樣本。進化算法模擬自然選擇過程，生成一組隨機的擾動樣本，并通過選擇、變異和交叉操作，不斷改進樣本，使它們逐漸演化為能夠有效欺騙模型的對抗性樣本。EvolutionAdv 假設(shè)攻擊者無法訪問目標(biāo)模型的內(nèi)部結(jié)構(gòu)或參數(shù)。因此，EvolutionAdv 不需要知道模型的細節(jié)，僅依賴模型的輸出來優(yōu)化對抗性樣本。相比于前文提到的3DAdv和AdvPC，EvolutionAdv無需了解模型的內(nèi)部結(jié)構(gòu)、梯度或參數(shù)。這使得它非常適合攻擊那些對外界保密的模型，如商用模型或云端提供的深度學(xué)習(xí)服務(wù)。但同樣的EvolutionAdv同樣存在計算上比較復(fù)雜，生成對抗樣本的時間較長，效率較低等問題。

圖3 Evolution Adv攻擊效果可視化[4]

除去直接修改點云的方式以外，還有一種利用幾何變化的對抗性攻擊方法TSI[5]，它的核心思想是通過利用三維幾何變換保持對抗性樣本在不同幾何條件下的有效性。在獲取點云后，TSI會對輸入的點云進行多次幾何變換，并在每次變換后通過優(yōu)化調(diào)整對抗性擾動，使得每次變換后的樣本都能繼續(xù)誤導(dǎo)模型。通過使用最小化光譜范數(shù)作為評估攻擊前后的相似性，TSI能夠增強對抗性樣本的幾何魯棒性，確保它們在面對旋轉(zhuǎn)、平移等變換時依然能有效欺騙目標(biāo)模型。這種方法在自動駕駛和機器人等應(yīng)用場景中具有重要意義，因為它能夠處理動態(tài)的3D環(huán)境，并提高對抗性樣本的實用性。然而，TSI的計算復(fù)雜度和物理實現(xiàn)挑戰(zhàn)仍然是該方法需要進一步解決的問題。

圖4 TSI攻擊可視化效果[5]

2.3 小結(jié)

在本章中，我們回顧了針對3D點云識別模型的幾種主要對抗性攻擊方法及其各自的特點和局限性。相較于2D圖像的對抗性攻擊，3D點云數(shù)據(jù)在無序性、稀疏性以及三維空間的幾何特性等方面增加了攻擊難度。3DAdv方法通過Chamfer距離保持幾何相似性，以解決點云無序性和稀疏性帶來的問題，但其高計算復(fù)雜度限制了應(yīng)用的廣泛性；AdvPC基于生成對抗網(wǎng)絡(luò)生成對抗性點云，雖然具有較強的可遷移性和魯棒性，但在物理環(huán)境中的表現(xiàn)仍需進一步提升；EvolutionAdv利用進化算法生成對抗樣本，避免了白盒攻擊的限制，但在計算效率上存在不足；TSI通過幾何變換增強對抗樣本的魯棒性，在動態(tài)環(huán)境中表現(xiàn)出色，但也面臨著計算復(fù)雜度和物理實現(xiàn)的挑戰(zhàn)。

這些方法從不同角度出發(fā)解決了3D點云對抗性攻擊中的部分難題，但每種方法都有其適用的場景與限制。未來的研究可以進一步優(yōu)化這些算法，以降低計算成本、提升對抗性樣本的魯棒性，并增強其在實際應(yīng)用中的可操作性。在3D點云識別領(lǐng)域，對抗性攻擊的研究仍有廣闊的探索空間，這不僅能夠揭示模型的脆弱性，也為提高模型的安全性和魯棒性提供了方向。

03

總 結(jié)

雖然現(xiàn)今已經(jīng)存在不少理論上可以對點云模型進行攻擊的對抗性算法，但這些算法在實際應(yīng)用中仍然面臨諸多挑戰(zhàn)。首先，理論上的對抗性攻擊大多是在理想的實驗條件下實現(xiàn)的，實際環(huán)境中的復(fù)雜性和不確定性（如傳感器噪聲、動態(tài)光照條件、目標(biāo)物體的多變性等）可能導(dǎo)致對抗樣本失效。特別是在自動駕駛場景中，車輛需要處理不斷變化的外部環(huán)境，對抗性樣本必須具備較強的魯棒性，才能在現(xiàn)實條件下誤導(dǎo)系統(tǒng)。

此外，物理可實現(xiàn)性仍是一個重要的瓶頸。許多對抗性攻擊算法是在數(shù)字空間中操作點云數(shù)據(jù)，而當(dāng)這些擾動點云轉(zhuǎn)換到物理環(huán)境中（如激光雷達、相機等傳感器實際捕捉的物體），其攻擊效果可能會大打折扣。攻擊樣本必須經(jīng)過調(diào)整，以確保在不同的物理傳感器和環(huán)境條件下仍能保留其對抗性。同時，點云數(shù)據(jù)的稀疏性和無序性也對攻擊算法的物理實現(xiàn)提出了新的挑戰(zhàn)，如何在物理世界中精確施加微小的擾動來影響3D點云仍然是一個未解決的問題。

其次，計算復(fù)雜度和資源消耗問題在實際應(yīng)用中尤為突出。大多數(shù)對抗性攻擊算法需要經(jīng)過多次迭代和優(yōu)化，才能生成有效的對抗性樣本，這在計算資源有限或要求實時處理的自動駕駛應(yīng)用中是一個巨大挑戰(zhàn)。例如，EvolutionAdv 等基于進化算法的方法，雖然在黑盒攻擊中表現(xiàn)優(yōu)異，但其迭代過程復(fù)雜，生成對抗樣本所需的時間過長，難以滿足實時性要求。類似的，AdvPC 依賴于生成對抗網(wǎng)絡(luò)（GAN），雖然提高了對抗樣本的可遷移性和魯棒性，但GAN的訓(xùn)練開銷巨大，尤其是在處理大規(guī)模3D點云數(shù)據(jù)時，計算資源需求較為龐大。

最后，3D點云對抗性攻擊的可解釋性與安全性依然是亟待解決的問題。對抗性攻擊的生成過程往往涉及復(fù)雜的數(shù)學(xué)優(yōu)化和大量計算，使得對抗樣本的行為難以理解和預(yù)測。這種可解釋性缺失使得自動駕駛系統(tǒng)設(shè)計者難以預(yù)防攻擊，甚至在攻擊發(fā)生后也難以追溯根源。此外，在實際應(yīng)用中，為了確保車輛和行人安全，必須在算法開發(fā)階段和模型部署前引入有效的防御機制。然而，現(xiàn)有防御方法在3D點云數(shù)據(jù)上效果有限，大多是針對2D圖像的算法簡單延伸，尚未針對3D點云特性設(shè)計出適應(yīng)性強的防御策略。因此，盡管已有多種理論上的對抗性攻擊算法被提出來，如何在真實的自動駕駛場景中實現(xiàn)穩(wěn)定有效的攻擊仍存在巨大挑戰(zhàn)。未來的研究可以集中在提高對抗性攻擊算法的物理可實現(xiàn)性、增強其魯棒性和可解釋性、以及設(shè)計更高效的計算方法上，以應(yīng)對自動駕駛和其他應(yīng)用場景中的實際需求。同時，研究社區(qū)也需要開發(fā)針對3D點云的專門防御策略，以在對抗性威脅下保護自動駕駛系統(tǒng)的安全和穩(wěn)定性。

參考文獻：1. Goodfellow I J, Shlens J, Szegedy C. Explaining and harnessing adversarial examples[J]. arXiv preprint arXiv:1412.6572, 2014.2.Xiang C, Qi C R, Li B. Generating 3d adversarial point clouds[C], 2019.3.Hamdi A, Rojas S, Thabet A, et al. Advpc: Transferable adversarial perturbations on 3d point clouds[C], 2020. Springer.4.Cao Y, Xiao C, Yang D, et al. Adversarial objects against lidar-based autonomous driving systems[J]. arXiv preprint arXiv:1907.05418, 2019.5.Zhao Y, Wu Y, Chen C, et al. On isometry robustness of deep 3d point cloud models under adversarial attacks[C], 2020.

審核編輯 黃宇