车道保持系统LKAS的弱点是否会被抓住并放大？ ——针对基于深度学习的LKAS系统攻击分析（3）

【攻击行为的一些边界条件】

针对LKAS系统的攻击行为本身，有一些发明者定义的限定条件，搞清楚这些限定条件的定义和来源，有助于我们理解攻击行为的原理。如下：

攻击行为奏效的前提：

Attackerpossesses the same LKAS as victim/攻击发生之前必须知道并且了解被攻击LKAS系统本身（因为需要利用相同的LKAS进行攻击补丁的Pattern训练）；
Has fullknowledge of the LKAS/主要是LKAS所依赖的DNN深度学习模型，比如说知道这种类型的自动驾驶车辆采用了LaneNet+H-Net的复合车道线认知模型；
Cancollect road images before attack/这是个重要的概念，必须要实地了解攻击行为发生路段的实际路况和路貌。根据我们之前对于LaneNet/H-Net的了解，车道线的形状（单线/双线/实线/虚线/白色线/黄色线等等）、车道线的数量、甚至车道周围不可行驶的区域和背景区域，都有可能对最终的攻击行为产生影响。因此，这些地形地貌的因素也是攻击行为奏效的前提。

攻击的最终目标：

Driveout of current lane boundary within 2.3 seconds (avg. driver reaction time)/满足在2.3秒以内让处于LKAS自动驾驶状态的车辆偏离本车道。2.3秒的定义是因为这是平均的驾驶员反应时间，如果大于2.3秒，则攻击行为会被驾驶员人工接管并干预，攻击失败；
Therequired deviation is 0.745 m on highway/偏离的目标车道为0.745m宽度。可能各国家和地区的车道宽度不一致，但攻击行为需要攻击LKAS系统并让其在人工驾驶员干预前至少偏离车道中心线0.745米距离，否则认为攻击失败。

攻击实现的难点：

Mostprior attack targets obj. detection, not LKAS/应该公正地评价，这种攻击方法有它独特的地方，它不是显性构造一些视觉/或者其它感知系统直接可以觉察到的目标物体，而是直接攻击视觉系统背后的DNN算法；
Need tobe realizable & stealthy in physical world/攻击行为真正有效需要在现实世界中实现“隐形”效果，即不被公众和管理人员所关注，这样的攻击才具备实际的部署意义（听起来有点邪恶）。直接在道路上修改道路线标识先不论是否会真实起实际作用，首先就是非常容易被外界所觉察和修正，这种攻击行为很难说是合格的。
Attackto consecutive frames are inter-dependent/按照论文的观点，这种攻击行为的直接目标是改变以深度学习DNN为基础的车道线识别过程。这个过程的改变不是“瞬间”发生的行为，而是一个持续的过程。描述这个持续，在时间尺度上就是需要在2.3秒内，通过连续喂养DNN，让其相信车道线已经弯曲（实际上当然不是），从而实现攻击效果。因此这个连续的时间内，送给DNN的每一帧图像，都需要是被设计好的，Frame-to-frame之间拥有关联性，从而保证对DNN的有效刺激。

读到这里，其实这种LKAS攻击发明者的真实意图和手段已经基本明确了。攻击者确实在选择一条和以往所有对于自动驾驶系统攻击行为都不同的技术路线，虽然目标都是让自动驾驶系统“误动作”，但真正能做到不露声色、成本低廉，最好还能实现广谱攻击，还是很难的。

因此，攻击行为的最终实现形式，是一种“脏路补丁”（可在道路内敷设的实体补丁结构），要满足以上论文中的各种假设和提前限定，则这种“脏路补丁”需要具备以下几种特质：

ØRealizable in the physical world/物理世界内可操作，不要最终弄出来个“卧室里的大象”，有效也没法部署；
Ø Cannormally appear around traffic lane/车道内可部署，不会引发特别的关注；
Ø Notcover the original lane lines/部署“脏路补丁”实施攻击时，不能遮盖原始的车道线；
Ø Onlyuse gray-scale color to pretend to be benign but dirty/“脏路补丁”的颜色必须是灰度级别的，尽量将自己伪装成路面上自然的一部分。

如果直观理解“脏路补丁”的概念，可以参考以下道路外貌。如果下图中的道路只是被修复破损处而非全面替换，则会呈现“脏路补丁”的外貌效果（但没有攻击性），这里只是给大家一个直观概念。实际上最后论文中所给出的“脏路补丁”尺寸也是不小的，宽接近四米，长度接近三十六米。