基于地图攻击下的鲁棒轨迹预测模型

14541基于地图攻击下轨迹预测模型的鲁棒性Zhihao ZhengLehighUniversityzhzc21@lehigh.edu小文英理海大学xiy517@lehigh.eduZhen YaoLehigh Universityzhy321@lehigh.edu木柱李海大学chuah@cse.lehigh.edu摘要轨迹预测是自主车辆控制系统中的一个重要组成部分。它预测未来运动的交通代理的基础上观察他们过去的轨迹。已有的工作研究了感知系统受到攻击时TP模型的脆弱性，并提出了相应的缓解方案。最近的TP设计已经结合了上下文映射信息以增强性能。这样的设计经受新型攻击，其中攻击者可以通过攻击上下文映射来干扰这些TP模型。在本文中，我们研究了TP模型在我们新提出的基于地图的对抗性攻击下的鲁棒性。我们表明，这样的攻击可以妥协的最先进的TP模型，使用基于图像或基于节点的地图表示，同时保持敌对的例子不可感知。我们还证明了我们的攻击仍然可以在黑盒设置下启动，而不需要知道下面运行的TP模型。我们在NuScene数据集上的实验表明，所提出的基于地图的攻击可以将轨迹预测误差提高29- 110%。最后，我们证明了两种防御机制是有效的防御这种基于地图的攻击。1. 介绍自动驾驶汽车（AV）正变得越来越容易被普通人群接受，并可以改变未来的交通系统，例如拥有自动驾驶卡车运送货物有助于缓解卡车司机持续严重短缺的问题。典型的AV系统由三个核心模块组成：解释诸如交通代理和道路状况的周围环境的感知模块、基于历史观察预测环境的未来的预测模块、以及聚集所有信息以决定如何控制和导航AV的规划模块。在预测模块中，轨迹预测（TP）是最重要的任务之一，旨在预测周围交通代理的运动。最近的许多研究探索了深度神经网络基于轨迹预测模型。 研究人员基于从现实世界收集的众 所 周 知 的 基 准 （ 如 Kitti[9] ， Apolloscape[13] ，NuScenes [1]）评估这些模型。这些研究人员经常使用的指标包括ADE（预测时间窗口内地面实况和预测轨迹之间的平均位移误差）和FDE（预测时间窗口结束时的最终位移误差最近的轨迹预测模型[24，28，10，11，23]表现良好，通常使用CVAE（生成K个可能的轨迹）和语义图为轨迹预测器提供更好的上下文。近年来，研究人员对用于自主车辆的DNN模型的鲁棒性进行了研究。研究人员已经证明，它们可以欺骗捕获模块中的对象检测器和车道检测子系统[8，2，25]。他们还表明，单目和基于激光雷达的深度估计子模块也可以被攻击。这些攻击中的大多数仅在感知系统的某些子模块上被证明。据我们所知，最近只有一篇论文[29]研究轨迹预测模块的鲁棒性。在[29]中，作者通过在正常轨迹上添加微小扰动来最大化预测误差，从而提出了对轨迹预测的白/黑盒他们的攻击是为了使敌对的trajec-tory看起来自然遵守物理规则。它们还定义了优化目标，允许预测的车辆横向或纵向偏离，以便在AV驾驶行为中产生潜在的危险。然而，他们的攻击方法可能对攻击者没有吸引力，因为实施这种攻击可能会给攻击者本身带来危险在本文中，我们探索了一种不同的攻击方法的轨迹预测模型。我们的攻击方法是针对那些利用上下文映射的模型，例如。[24，28，6，10，11，23]通过在这些模型使用的上下文映射中插入微小的扰动。利用上下文地图的轨迹预测模型主要有两类，这取决于它们如何编码地图信息，即（i）基于图像的地图编码，（ii）基于节点的地图编码。我们选择了2个代表性方案，14542每一个类别，并描述我们如何可以发起白盒和黑盒攻击这些模型。随后，我们使用nuScenes数据集评估了所提出的攻击。我们的研究结果表明，我们的语义地图攻击方法显着降低了所有4个基于地图的轨迹预测模型的预测性能。我们还对影响攻击结果的不同因素进行了敏感性分析，并提供了一些可视化来说明攻击的影响。最后，我们展示了两种防御机制对这种攻击的有效性。2. 相关工作轨迹预测（TP）AV控制系统中的轨迹预测子模块预测附近交通代理（例如行人或车辆）的未来空间坐标通常，轨迹预测模型基于深度神经网络，其将过去几秒的交通代理的位置坐标作为输入，并且还可以结合附加信息，例如，车辆的航向、不同交通代理之间的交互或语义图，以提高预测性能。已经提出了仅利用单眼图像进行未来代理运动预测的各种方法，Trajectron++[24]作者设计了一种图形结构的生成（基于CVAE）神经架构，该架构预测不同代理的轨迹，同时结合代理动力学。另一种方法AgentFormer [28]提出了一种新的Transformer，它同时对多智能体轨迹的时间和社会维度进行建模， 一种新的代理感知的注意机制，用于随机多代理轨迹预测。GOHOME [10]利用高清晰度（HD）地图和稀疏投影的图形表示来生成热图输出，表示交通场景中给定代理的未来位置概率分布作者后来设计了THOMAS[11]，它编码了场景中所有代理的过去轨迹和HD-Maplanelet图，并为每个代理预测了一个稀疏热图，表示未来固定时间步长的未来概率分布结果表明，THOMAS的性能优于GOHOME。针对AV中感知系统的对抗性攻击最近的论文展示了针对AV中感知系统的不同类型的攻击。研究人员已经证明，向RGB图像或点云添加扰动可能会导致AV的捕获系统出现问题，例如。这种扰动可能导致对象检测器模块不能检测交通代理，或者它们可能对深度估计器子模块发起攻击，以使感知系统认为交通代理更远或更近。在[31]中，作者提出了系统解决方案，以创建针对现实世界对象检测器的鲁棒对抗示例在[22]中，作者提出了瞬间幻影攻击，以欺骗两个商业先进的驾驶员辅助系统将出现几毫秒的无深度物体视为真实物体，并因此迫使这种系统停在道路中间或发出错误通知。不是仅仅攻击AV的感知系统中的对象检测器，而是可以添加扰动以扰乱深度估计子模块。[27]中的作者已经表明，现有单目深度估计模型中的深度估计精度在受到典型的对抗性攻击方法（如IFGSM（或等效的PGD））时会降低。除了对摄像头图像发起攻击以欺骗AV感知系统中的对象检测器模块外，研究人员还探索了攻击对AV感知系统中的车道检测子模块的影响在[14]中，作者确定了他们可以添加到摄像机图像上的最佳扰动，这将导致车道检测子模块中的错误，然后将这些扰动映射到物理世界中的道路标记。他们广泛的实验结果表明，他们的攻击可以欺骗特斯拉Model S的车道检测子模块。很少有研究人员研究如何通过干预与轨迹预测相关的信息来攻击感知系统。在[18]中，作者证明了具有小扰动的AV轨迹的对抗欺骗在他们的方法中，他们将点云表示为轨迹的函数，并攻击轨迹而不是3D点。在[29]中，作者探讨了在存在干扰正常车辆轨迹的攻击的情况下轨迹预测模型的鲁棒性。他们的实验表明，在这种攻击下，三种轨迹预测模型具有显著的预测误差。3. 初步在本节中，我们将简要描述当前最先进的TP模型如何将上下文映射合并到它们的模型中。这些初步信息是设计基于地图的攻击的基础。3.1. 有关工程上下文地图对于自动驾驶是重要的，因为它提供了丰富的语义信息（例如，可行驶区域、停车线和人行横道），允许自动驾驶汽车自我定位并准确地在其车道上导航它最近被引入TP任务[30，3，4，12，21，10，11，6]，以帮助模型做出更好的预测。例如，一辆周围的汽车在接下来的几秒钟内更有可能停留在它的车道上，而不是开上人行道。在所有最先进的TP解决方案中，有两种表示上下文映射的主要方法：（1）图像表示和(2)节点表示。前者将上下文映射表示为多通道图像，其中每个通道对应于一种类型的语义信息，而后者将上下文映射表示为多通道图像。14543我我我t+1t+Nf我我我我我我我我我我我我------我我表示上下文映射中的每个元素（例如，中心线、停止标志）作为节点。通常，图像表示具有包含更多信息的更高维度，而节点表示更紧凑和有效。使用图像表示的方法。轨迹预测任务[17，30，3，4，12，21]的早期工作集中在将上下文信息渲染为2D自上而下的地图图像，并使用卷积神经网络（CNN）从地图中提取特征。在地图图像中，不同类型的元素被渲染到具有二进制值的不同层中在所有使用图像表示的TP方法中，由于其源代码的可用性，我们选择了两个代表性的作品-Tra- jectron++ [24]和Agentformer[28]用于我们的实验。虽然具有完全不同的高级设计，但Trajectron++ [24]和Agent- former [28]中的地图编码器确实非常相似-基于渲染的然后将该旋转的局部上下文映射馈送到基于CNN的映射编码器中以提取映射嵌入。最后，在馈送到轨迹解码器以预测其未来轨迹之前，将此地图嵌入与其他特征连接。使用节点表示的方法。最近的工作已经探索了上下文映射的节点表示[11][10][26][19]由于其紧凑性和效率。本文选取了两部具有代表性的著作--LaPred[16]和PGP [6]，其源代码是公开的。LaPred [16]将上下文映射视为所有车道实例的集合。每个车道实例由一系列等距且长度相似的坐标他们首先采用1D-CNN和LSTM层的组合来编码这些坐标序列，并为每个通道生成节点特征。然后，每个车道要素（相当于上下文信息）将与其相邻交通代理的要素合并并传递到下一个模块。PGP [6]将上下文映射表示为车道图，其中每个节点对应于车道中心线。与LaPred类似，它们也将较长的车道中心线划分为较小的对所合并的上下文映射的对抗性攻击。由于上下文地图为AV提供了重要的语义信息，因此它必须准确并及时更新。因此，AV需要频繁地从数据服务器下载上下文映射，以保持映射更新，而不管它是在线还是离线加载上下文映射。我们假设攻击者可以访问数据服务器，并且能够修改将由受害者AV下载的上下文映射。攻击者的目标是在正确的地图上添加不可感知的扰动，使得轨迹预测模型对中毒地图做出错误的未来预测，这可能导致受害者AV做出更危险的反应。在现实世界的攻击中，攻击者需要从受害者AV访问预测模型的所有参数以进行白盒攻击，或者仅访问预测模型的API以进行黑盒攻击。此外，考虑到高计算成本和训练时间，攻击者选择地图内的一个小区域来添加对抗性扰动更可行：扰动区域越大，生成有效对抗扰动所需的训练时间越长。4. 该方法在本节中，我们将介绍对TP模型中上下文映射的对抗性攻击的公式化。4.1. 问题公式化现有技术的轨迹预测模型对每个代理进行随机预测（即，车辆或行人）在每个时间帧的基础上观察所有附近的代理和周围地区的上下文地图设t是代理i在时间帧t的状态，t是代理i在时间t的局部上下文映射。的轨迹从时间t1到t2的代理i将是St1，t2 =s t1，.，s t2。令Nh和Nf是历史中的帧的数量，未来的轨迹 那么在时间t，智能体i的历史轨迹将是H t=S t−Nh+1，t =S t−Nh+1，.，st;智能体i的未来地面实况轨迹将是Ft=电话+1t+Nf具有固定长度的段，除了PGP另外包括段的姿态（偏航角）以及指示段是否位于停止线或人行横道上的两个二进制特征换句话说，PGP中的节点特征同时捕获几何和流量控制元素{si、...、si }。 令f表示轨迹预测器且Pt=Pt，（1），.，Pi（k）是代理i在时间t的k个预测状态的集合。因此，我们将代理i在时间i的随机预测轨迹表示为f（H t，x t）={P、 ... 、 P{\fn 方 正 粗 倩 简 体\fs12\b1\bord1\shad1\3cH2F2F2F}与中心线相关此外，他们还提议，在节点-智能体注意力模块中，利用最近流行的注意力技术，将相邻智能体的特征融合到通道节点的特征中3.2.威胁模型在本文中，我们专注于探索最先进的轨迹预测模型的鲁棒性，在这项工作中，我们通过向局部上下文映射添加对抗性扰动来引入对轨迹预测模型的非针对性攻击，从而导致受害者模型生成错误的轨迹预测。我们将δ表示为对抗的扰动和advx t= x t+ δ作为代理i在时间t的对抗上下文映射。 为了使对抗性扰动不可察觉，我们用给定的约束条件限制扰动，或者使用等式3或Eq.4.第一章14544我我我我我0我我M我m+1我Xm我I m我第 通常，我们设置步长α=.（·）i在时间帧t。在m迭代，我们选择I m我我我我我我0ii为了最大化攻击的影响，我们利用两个常用的评估指标在轨迹预测限制给定局部地图大小内的修改像素的数量：任务：（1）最小平均位移误差（ADE）xt−advxt（四）超过前k个预测（ADEk）：最小平均值C（xt，advxt）=i我<的所有预测轨迹点和地面真实轨迹点之间的平均L2距离(2) 前 k 个 预 测 （ ADEk ） 上 的 最 小 最 终 位 移 误 差（FDE）：最后一个时间帧处的预测轨迹点与地面实况轨迹点之间的平均L2距离的最小值。结合评估度量ADEk和FDEk，我们将优化损失表示为L（f（Ht，xt））：我我我其中v是二进制值之间的差。4.2.2基于节点的地图。在最近的工作中，一些轨迹预测模型将基于车道或基于节点的地图特征与智能体ii状态，以提高预测的精度[6，16]。L（f（H t，x t））=E ade（F t，P t）+Efde（F t，P t）（一）其中Eade 和Efde是给定k的ADEk 和FDEk评估度量。我们攻击的目标是通过生成围绕目标代理的对抗性上下文地图来最大化预测和地面实况轨迹之间的误差因此，目标如下：MaxL（f（H t，adv x t））S.T.C（xt，adv x t）

下载后可阅读完整内容，剩余1页未读，立即下载