多传感器融合定位是否足够安全?
文章来源: 轩辕实验室
发布时间:2021-09-27
本文专注于生产级别的MSF,并确定了两个针对AV的攻击目标,即偏离攻击和逆向攻击。
对于自动驾驶汽车(AV),定位的安全性至关重要,它的直接威胁是GPS欺骗。幸运的是,当今的自动驾驶系统主要使用多传感器融合(MSF)算法,通常认为该算法有可能解决GPS欺骗问题。但是,没有任何研究表明当下的MSF算法在GPS欺骗的情况下是否足够安全。本文专注于生产级别的MSF,并确定了两个针对AV的攻击目标,即偏离攻击和逆向攻击。为了系统地了解安全性,我们首先分析了上限攻击的有效性,并发现了可以从根本上破坏MSF算法的接管效果。我们进行了原因分析,发现该漏洞是动态且随机地出现。利用这个漏洞,我们设计了FusionRipper,这是一种新颖的通用攻击,可以抓住机会并利用接管漏洞。我们对6条真实的传感器迹线进行了评估,结果发现,对于偏离和逆向攻击,FusionRipper在所有迹线上的成功率分别至少达到97%和91.3%。我们还发现,它对欺骗不准确等实际因素具有高度的鲁棒性。为了提高实用性,我们进一步设计了一种精巧的方法,该方法可以有效地识别出攻击参数,两个攻击目标的平均成功率均超过80%。我们还将讨论可行的的防御方法。
如今,各家公司都在开发自动驾驶汽车,例如level 4的自动驾驶汽车(AV),其中一些公司已经在公共道路上提供服务,例如Google的Waymo提供的自动驾驶出租车TuSimple的一辆和自动驾驶卡车。为了实现驾驶自动化,AV中的自动驾驶(AD)系统不仅需要感知周围的障碍物,还需要在地图上对其自身所在位置进行厘米级定位。这种定位在自动驾驶场景下需要保证高度的安全性,因为错误定位会直接导致AV车道偏离或走错路。在高级AD系统中,感知模块仅用于障碍物检测,而定位模块则负责识别道路偏离。意味着即使感知模块运行正常,也无法阻止由于定位模块错误而造成车道偏离的危险,例如偏离后撞到路边,跌落悬崖或被其他的车辆撞到,特别是当AV行驶方向相反时。但是,许多学者对于AD系统中的安全性研究集中于AD感知,例如,交通标志上的恶意标签,这使AD定位的安全性成为一个悬而未决的问题。
一般而言,对于室外定位,GPS是最直接的数据来源,因此对GPS的直接威胁是GPS欺骗,它是一个长期存在但仍未解决的安全性问题。幸运的是,为了实现可靠的定位,当前许多主机厂的AD系统主要使用多传感器融合(MSF)算法,该算法将GPS输入与其他传感器的位置输入相结合,通常是IMU(惯性测量单元)和LiDAR(光学雷达)。在这种算法中,仅靠GPS数据不能决定具体定位位置,因此主流观点认为MSF是防止GPS欺骗的最佳解决方案。但是,实际上MSF算法主要是为了提高定位的准确性和鲁棒性,而不是为了安全性而设计的。鉴于其在自动驾驶汽车中的广泛使用以及对道路安全的高度重视,因此必须尽早系统地理解这一点。
为了填补这一关键的研究空白,本文中,我们首次对AV中基于MSF的定位的安全性进行了研究。作为此方向上的第一个研究,我们将GPS欺骗作为攻击媒介,因为它是MSF输入源中最成熟的攻击媒介之一。我们专注于生产级MSF实施,即百度Apollo MSF(BA-MSF)。我们认为攻击目标是使用GPS欺骗引起MSF输出的较大横向偏差,即向左或向右偏斜。这可能会导致AV偏离道路或驶入错误的道路,我们分别将其称为偏离攻击和逆向攻击。
为了系统地了解安全性,由于BA-MSF以二进制形式发布,因此我们首先通过动态黑盒分析来分析上限攻击的效果。我们发现,在现实世界中,即使是这种上限攻击结果,大部分(71%)也只能引起小于50厘米的偏差,这远远不能造成偏离或逆向攻击(分别需要至少90厘米和2.4 米)。这表明MSF确实可以总体上增加GPS定位的安全性。有趣的是,我们还观察到仍然存在一些上限攻击结果,这些结果可能会导致超过2米的偏差。对于所有这些结果,我们发现GPS欺骗能够引起定位偏差成指数级增长。这是因为欺骗的GPS成为融合过程中的主要输入源,并最终导致MSF拒绝其他输入源,从而根本上破坏了MSF的设计原理。在本文中,我们称其为接管效应。然后,我们对其进行原因分析,发现只有在MSF处于相对不确定的时期时才出现这种情况,这是由于动态和不确定性的现实因素(例如传感器噪声和算法不准确)共同导致的。
这种接管漏洞对于攻击者非常有吸引力,因为它们可以利用指数级偏差增长来实现攻击目标。但是,正如之前发现的那样,脆弱时期是动态且不确定地出现的。因此,我们设计了FusionRipper,这是一种新颖的通用攻击,可通过两个阶段来尝试性地捕获和利用接管漏洞:(1)漏洞分析(评估何时出现脆弱时期),以及(2)gps欺骗攻击,利用接管效应攻击,达到定位偏差指数级增长的目标。
我们测试FusionRipper,并根据来自Apollo和KAIST Complex Urban数据集的6条真实世界的传感器轨迹对其进行评估。结果表明,当攻击可持续2分钟时,对于偏离和逆向攻击,FusionRipper始终存在一组攻击参数,分别在所有轨迹中获得至少97%和91.3%的成功率,成功时间平均超过35秒。为了了解攻击的实用性,我们用一些实际因素进行评估,例如(1)欺骗信号不准确,以及(2)AD系统控制接管。发现这两种情况下,攻击成功率只会受不到4%的影响。
此外,我们观察到攻击效果与攻击参数的选择有关。因此,为了提高实用性,我们进一步设计了一种精确的攻击参数配置方法,该方法可以收集有效参数,而在配置过程中不会引起明显的安全问题,从而保持隐蔽性。在现实世界中的跟踪结果表明,我们的方法可以有效地识别出攻击参数,偏离和逆向攻击的成功率分别为84.2%和80.7%。
攻击目标
如上文所述,我们考虑的攻击目标是向受害者AV的定位输出引入较大的横向偏差,即向左或向右偏斜。由于所有车辆都需要在其指定的车道内行驶,因此这种横向偏离会直接威胁到道路安全。特别地,在本文中,我们考虑了针对自动驾驶环境的两个具体的攻击目标:偏离攻击和逆向攻击。如下图所示,前者旨在向左或向右偏离,直到受害者驶离道路,而后者则旨在向左偏离,直到受害者驶向相反的行车道。下表列出了实现这两个目标所需的偏差,这些偏差将在我们的后续安全分析中使用。
自驾控制假设
我们假设自动驾驶系统被设计为在交通车道的中心行驶,并不断尝试纠正与中心的任何偏差。来自学术界和行业的最先进的AD系统都遵循这种设计,并使用横向控制器在控制模块中以较高的频率(例如,Apollo中为100 Hz)强制实施。这意味着,当攻击者向MSF输出(例如,图中的右侧)引入偏差时,受害者AV将主动对其进行纠正,从而导致其物理世界位置具有相同的偏差量,但方向相反(例如,在图的左侧)。
攻击模型
其中,
表示欺骗位置和受害者AV所在真实位置
之间的距离,
是没有受到攻击的MSF输出,
是受到攻击的MSF输出,
是LiDAR定位输出(通过LiDAR实时扫描获得的点云图与预先准备好的高精地图做比对),
是IMU测量,D表示两条轨迹的横向偏差,M表示基于卡尔曼滤波器的多传感器数据融合算法,k表示迭代次数。
因此,数学的表示我们对MSF的攻击即为找到一个距离差序列
,其能最大化第n次攻击下MSF输出的偏差。
具体的攻击有效性及接管效应
攻击有效性
为了系统地理解基于MSF的定位安全性,我们从了解攻击有效性的上限(即最大可能的偏差)开始。
分析方法
为了分析攻击有效性的上限,我们对可能的攻击序列
进行暴力搜索,该攻击针对于BA-MSF。我们没有选择使用优化器,因为BA-MSF实现以二进制形式发布,因此我们无法直接获得其分析公式。对于我们分析中的给定传感器数据迹线,存在多个可能的攻击窗口,即前一个GPS数据和后一个GPS数据的间隙。对于每个攻击窗口,我们迭代搜索可以使最大程度偏离
的
,这也是以前有关单源KF安全性的研究工作中使用的一种方法。根据我们的威胁模型,我们将对GPS欺骗数据的测量不确定性设置为BA-MSF中传感器数据迹线的中值。
我们对两种类型的传感器数据迹线进行上述分析:(1)真实数据,以及(2)拟合的无噪声数据。前者是通过在真实世界中驾驶AV时直接记录MSF的输入而获得的,此类迹线的分析结果具有最高的真实性。但是我们可以执行的操作是有限的,由于不同传感器数据之间存在相关性,我们无法轻易地修改传感器数据;并且由于传感器存在噪声,分析可能不准确。因此,我们利用后者进行补充,其按照给定的驾驶轨迹合成MSF输入,所有LiDAR定位和真实GPS信号定位都设置为真实位置,其测量不确定度设置为实际数据的中值,并根据驾驶轨迹拟合出IMU测量值。
实验环境
我们使用官方Apollo AD系统中的BA-MSF实现代码。对于真实数据,我们使用由Apollo开源的BA-MSF真实数据,该行驶数据在加利福尼亚州,时间为4分钟。对于拟合数据,我们生成一条常见的行驶轨迹:以45mph的恒定速度在直路上行驶。我们设置一个攻击窗口为十次攻击,其时间为10秒,因为Apollo的GPS数据输入频率为1 Hz。我们对
变量的输入设置为0m至10m,以0.04m作为步长不断改变其输入值进行穷举搜索。
实验结果
图1:
图1(a)显示了在对两种数据的攻击中获得的上限偏差的分布。如图所示,在真实数据和合成数据中,攻击效果普遍较差:大多数对真实数据的攻击(76.0%),以及所有对合成数据的攻击都无法达到偏离攻击要求的最小偏差(0.895 m)。造成如此差的攻击效果的主要原因如下。首先,由于离群值检测,第一个攻击输入可达到的最大偏差很小,例如最多为0.06米。接下来,可以通过LiDAR定位输入快速纠正这种微小偏差,因为在两个GPS信号输入之间有5个LiDAR定位输入(在Apollo中为5 Hz)。这使得后续的攻击输入很难建立在先前攻击输入所实现的偏差之上。因此,如今基于KF的生产级MSF算法确实可以总体上增强针对GPS反欺骗的安全性。同时,我们还观察到,真实数据和合成数据之间的结果存在非常明显的差异:在合成数据中,所有攻击的上限偏差最大为0.076米。但在真实数据中,攻击能造成的上限偏差都很大,其中90.3%的攻击造成的上限偏差大于0.076米。这表明现实世界中的传感器噪声通常会降低MSF的安全性。如后面所示,这些现实因素实际上可以提供高效的攻击,从根本上破坏了MSF。
接管效应
尽管我们的结果表明,即使达到中最简单的攻击目标(偏离攻击),通常也很难实现,但我们还观察到,对于真实数据,仍然存在14%的攻击窗口,可以实现2米以上的偏差,这已经足以满足我们的某些攻击目标。对于所有这些窗口,我们发现有的攻击窗口所进行的GPS欺骗能够使偏差成指数增长,上图显示了这样一个示例。如图2所示,图中左侧的偏差趋势与大多数其他常规攻击窗口(如图中右侧所示)完全不同。
为了更定量地测量这种观察,对于每个窗口,我们为偏差拟合一个指数函数
,其中x是第x个攻击点,
是偏差。对于每个攻击窗口,我们使用最佳拟合函数(基于均方误差)中的底数a来衡量指数增长趋势。如图1(b)所示,这种指数增长趋势与攻击窗口的上限偏差具有严格的正相关关系,并且所有可能具有很大偏差的窗口(例如,超过3米)都可以实现攻击目标中的所有攻击目标。
这样的指数增长趋势与当GPS欺骗信号是卡尔曼滤波器(KF)中唯一的数据源时的情况非常相似,这可以通过在没有LiDAR定位输入数据的情况下重新运行合成轨迹中的攻击有效性上限分析来证实。这意味着对于这些具有指数偏差增长的攻击窗口,GPS输入将以某种方式成为主要的KF更新数据源。实际上,根据分析日志中的卡方检验值,我们发现LiDAR定位输入数据,在攻击窗口的后半部分变成离群值,因此LiDAR数据不再提供校正。因此,这从根本上破坏了MSF的设计原理,即将多个输入数据源的融合,以提高鲁棒性和准确性。也就是前文提到的接管效应。对于攻击者而言,这种接管效应是最理想的攻击结果,因为它可以有效地引起任意偏差,从而导致偏离和逆向攻击,或着甚至会导致更严重的攻击。
接管效应出现的原因
由于并非在所有攻击窗口中都出现接管效应,因此,除了攻击输入
以外,还应当有一些因素可以影响接管效应。为了分析产生接管效应的原因,我们使用理论分析和实验验证来确定可能的影响因素,然后使用相关分析来确定在我们的分析中观察到造成接管效应的最重要因素。
可能的因素
为了确定可能导致MSF偏差的因素,我们首先对基于KF的MSF算法进行理论分析。从分析(经过数学推导)中,我们确定了除了攻击输入
之外的4个理论上有关的因素:(1)初始MSF状态不确定性
(2)LiDAR测量不确定性
(3) 纯LiDAR定位与无攻击下的MSF定位之间的差异
以及(4)IMU的测量结果
。为了验证这4个因素确实影响了实际的BA-MSF实施,我们在合成数据中对它们进行建模,并通过实验测量它们与偏差的关系。结果表明,所有四个因素都可以对偏差产生积极影响。
因素权重分析
我们使用因果关系分析方法来判断这四个因素对接管效应的所造成的影响权重。上表展示了实验结果,对于这两种统计检验方法,
表示具有显著性差异,而
和
被认为是高度相关的。如图所示,在两种方法中,只有
和
的p值具有显著性差异,它们的r值非常接近高度相关性,而其or值则显示出高度相关性。相反,
和
的r和or值都没有显示出很强的相关性,对于
而言,结果甚至不具有显著性差异。这表明我们在攻击有效性分析中观察到的接管效应很可能是由攻击窗口中相对较大的
和
引起的。
对于这两个最重要的影响因素,
反映了在攻击窗口期间基于LiDAR的定位算法缺乏一致性,而
反映了攻击窗口开始时KF状态的缺乏一致性。这意味着当MSF处于相对不确定的时期时,就会出现接管效应或漏洞。因此,MSF算法需要把GPS数据输入(该时段内相对最可靠的输入源)增加更高的权重,从而允许GPS输入支配KF更新并触发接管效应。
由于
是LiDAR定位的不确定性,因此在实际中,较高的的
值是由其LiDAR定位算法的不准确引起的。从KF方程得知,较高的
值主要是由LiDAR定位的不确定性和攻击窗口前的GPS更新引起的。因此,接管效应总体上是由于LiDAR定位算法的不准确和GPS信号噪声所致。这也解释了为什么我们无法在合成数据中观察到任何接管效应。这些实际因素从根本上很难避免,这正是MSF旨在补偿单个数据源的误差和噪声的原因。但是,正如我们的分析所示,即使对于当今AV中使用的高端传感器,这些误差和噪声也很大并且出现的足够频繁,以至于MSF是不能完全防范GPS欺骗的。
FusionRipper攻击工具以及可行的防御方法
攻击工具:FusionRipper
尽管我们在前文(二)中的分析表明,在现实中确实存在MSF的接管漏洞,但此类漏洞仅出现在由不确定性因素(例如算法不准确和传感器噪声)造成的不确定时期内,而这种不确定性是无法通过观测得到的。因此,攻击者必须在实际的攻击中抓住和利用这种脆弱时期。利用这个知识,我们提出了一组新颖的攻击方法来攻破MSF,称其为FusionRipper。
在此阶段,攻击者执行分析性的GPS欺骗,并观察受骗汽车对欺骗的反应以分析何时出现脆弱时期。在我们的设计中,尽可能减少攻击参数,尽可能地简化实现难度和增强鲁棒性,因此在此阶段我们使用恒定参数进行欺骗,即始终将
设置为常量
。尽管这种分析方法很简单,但是我们稍后的评估结果表明,它能够实现很高的攻击成功率,非常接近理论上限。
在不断欺骗的同时,攻击者实时跟踪受骗汽车的位置,并测量他们相对于车道中心的偏离。如果这种偏差大到导致受骗汽车表现出不安全的驾驶行为,例如即将发生非必要的跨越车道行为,则将受害汽车视为处于脆弱时期。我们认为触碰当前车道的左车道线或右车道线(0.295米)的偏差作为确定脆弱时期的阈值。我们容易认为,经过设计和测试的自动驾驶系统很少会出现较大的位置偏差,因为其考虑到了常规情况下的传感器噪声问题。例如,百度Apollo在真实道路上评估的BA-MSF误差在0.054米以内,远远小于0.295米。因此,当出现这种罕见的偏差时,很可能
是由于持续不断的欺骗造成的,MSF算法需要从GPS信号中获取数据更新,从而很可能导致其进入一个不确定的时期。
在确定了脆弱时期后,攻击者可以执行攻击性的欺骗来触发接管效应,从而迅速引起较大的偏差。如前文有效性分析所示,在接管效应期间,偏差呈指数增长。因此,我们在攻击性欺骗阶段选择指数增长的欺骗。如上图所示,一旦攻击者确定了一个脆弱时期,它便切换为使用
,基数在每个具体的欺骗点上设置的欺骗距离,i为递增幂次数。
由于FusionRipper旨在利用任何基于卡尔曼滤波器(KF)的MSF普遍存在的接管漏洞,因此其设计基
本上适用于任何基于KF的MSF算法。
测试结果
我们使用真实世界的传感器轨迹评估FusionRipper,具体来说使用KAIST Complex Urban (评估自驾系统的数据集)。KAIST数据集包括18条普通轨迹和2条高速公路轨迹,都与BA-MSF兼容。我们选择3条本地轨迹和2条高速公路轨迹,将它们截短至最初的5分钟,以使评估易于管理。在选择局部轨迹时,我们选择平均MSF状态不确定性最小(即最可靠)的轨迹。
上图显示了对于这两个攻击目标,d和f的所有组合中FusionRipper的最佳成功率。它既显示单个轨迹的结果,又显示所有轨迹的平均值(粉红色的粗线)。如图所示,对于所有轨迹,即使最小攻击持续时间低至30秒,两个攻击目标的平均成功率也始终超过75%。当最小攻击持续时间增加时,所有跟踪的成功率会相应增加。这是显而易见的,因为攻击者有更高的机会捕获易受攻击的时期。特别是,攻击持续2分钟时,至少存在d和f的一种组合,可以实现偏离攻击的成功率超过97%(平均98.6%),实现逆向攻击的成功率超过91%(平均95.9%)。在实际中,攻击者很有可能找到这种2分钟的拖延机会来发动FusionRipper攻击。
攻击参数选择
上表列出了每个轨迹的攻击成功率最高的3种参数组合。如表所示,FusionRipper的攻击效果对d和f的组合很敏感。这促使我们设计一种精确的方法来识别有效的d和f组合以提高攻击的实用性,这将在后面的中进行详细介绍。
攻击两阶段的必要性
高攻击效率是两个攻击阶段相结合的结果。为了具体解释这一点,我们对其进行了消融研究,在该研究中我们分别删除了实验的两个阶段之一。仅对于漏洞分析阶段,我们应用距每个起点的恒定溢出距离d。仅对于攻击性欺骗阶段,我们使用从起点开始直接枚举d和f的不同组合作为攻击参数。我们以ba-local的轨迹作为测试轨迹。
上表显示了该研究的实验结果。如表所示,两种单一攻击配置对于这两个攻击目标最多只能达到14%和7%,远低于FusionRipper的98%和97%。这意味着仍然有一些非常不确定的时期,使得只有阶段1或只有阶段2的攻击可以成功。但是,在没有彼此帮助的情况下,成功率非常有限。这具体表明了FusionRipper两阶段设计的必要性。请注意,由于花费在漏洞分析阶段上的时间,FusionRipper的攻击成功时间比仅阶段2攻击的攻击成功时间要长。但是,实际上平均约30秒的攻击时间对于攻击者来说已经是可以接受的。因此,这种时间优势远不如提高FusionRipper的成功率。
攻击参数分析
到目前为止,我们的结果表明对于每条轨迹,始终存在一个攻击参数组合d和f,可以实现高成功率,并且对实际因素具有很高的鲁棒性。但是,我们还观察到攻击成功率对攻击参数的选择很敏感。因此,我们需要一种可以在实际攻击之前有效识别出高成功率攻击参数的具体方法。因此,在本节中,我们探讨设计这种方法以进一步提高FusionRipper的实用性。
算法设计
我们的分析方法是按照一种简单的策略设计的:使用d和f的不同组合进行攻击试验,直到找到具有足够高成功率的组合。更具体地说,试验进行了许多次分析。在每一循环中,攻击者都选择d和f的一个组合并尝试多次。选择组合时,攻击者会按照参数空间中从小到大的顺序进行排序,因为较大的组合会更容易地被发现输入有异常,从而直接导致攻击失败。该方法的伪代码下述所示。
算法测试
我们使用前文中使用的5条KAIST轨迹(KAIST轨迹是使用同一车辆在不同道路上收集的)。我们将5条轨迹分为两组,其中4条为分析轨迹,即代表离线的攻击试验;1条为评估轨迹,用于评估分析轨迹中所选的d和f,即代表实际攻击,最后使用它们的平均成功率来衡量最终的剖析效果。
上图显示了算法分析输出的d和f作为攻击参数的平均成功率(柱状图),以及不同的攻击参数分析试验(一次实验为90秒)次数(条形图)。如图所示,平均成功率随着攻击者在每个分析回合中进行更多的攻击试验而增加,因为随着更多的攻击试验,d和f组合的配置成功率在统计上更接近真实值。尤其是,当每个分析回合的试验次数为40次时,我们的分析算法可以找到d和f组合,其中偏离和逆向攻击的平均成功率均超过80%(分别为84.2%和80.7%)。在这种情况下,平均分析成本仅为42个时间为90秒的攻击试验,即约为1小时。
防御措施讨论
GPS反欺骗
我们的攻击基于GPS欺骗,因此一个直接的防御方向是利用现有的GPS欺骗检测或防御技术。但是,如今GPS欺骗检测和预防都不能完全解决问题。在检测方面,已经提出了许多技术,它们利用信号功率监视,基于多天线的信号到达角检测或基于众包的交叉验证。但是,它们要么被更先进的欺骗器所规避,要么仅适用于有限的领域,例如机载GPS接收器。在预防方面,基于密码认证的民用GPS基础架构可以从根本上防止直接制造欺骗GPS信号;但是,它需要对现有的卫星基础设施和GPS接收器进行重大修改,并且仍然容易受到重放攻击的影响。
MSF和LiDAR
另一个防御方向是改良MSF算法和LiDAR定位,这是影响现实中接管漏洞的两个最重要因素。从根本上说,实际中的这种MSF算法中的不确定状态是由于LiDAR定位算法的不准确和传感器噪声引起的。并且正如我们的分析所示,即使对于当今自动驾驶汽车中使用的高端传感器和生产级LiDAR,这些误差和噪声也足够大且频繁,足以使FusionRipper得以利用。为了对此进行改进,需要在传感器和基于LiDAR的定位方面取得技术突破。
利用独立的定位源(例如基于摄像机的车道检测)作为不安全状态下的定位。
对于能够短期内实现的方案来说,一个有希望的方向是利用独立的定位源来交叉检查定位结果,从而充当不安全状态下的定位源。例如,由于偏离和逆向攻击都将导致受骗汽车偏离当前车道,因此应该可以通过基于摄像头的车道检测来检测故障,这是当今许多车辆模型中可用的成熟技术。但是,我们发现在当今的自驾系统设计中,并未普遍考虑使用这种技术。例如,百度Apollo(5.5版)仅将其用于相机校准,而Autoware则根本不使用它。这可能是因为车道检测输出是当前车道边界内的局部定位,因此无法直接用于与MSF的全局定位进行比较。但是,本文中发现的漏洞表明应考虑在将来的本地自驾系统中至少添加一种故障期的安全功能(至少用于异常检测)。当然,我们需要进行更多调查才能了解这种故障期的安全功能在防御中的有效性和可靠性。例如,当将基于摄像机的车道检测应用于异常检测时,由于需要仔细考虑由于变道需要而偏离当前车道的汽车。此外,还应当考虑车道线有可能不明显或不完整。此外,基于摄像机的车道检测本身很容易受到攻击。
请注意,即使此类故障期的安全功能可以执行完美的攻击检测,我们的攻击仍会导致受骗汽车的全局定位功能遭到拒绝服务。这可能使受骗汽车处于不安全的情况下,例如在高速公路车道中间停车,因为受骗汽车既无法正确到达目的地,也无法安全地找到路肩以停下来。因此,更有用的防御方向是纠正被攻击的定位结果。如何在攻击下利用其他独立的定位源来有效地进行这种校正仍然是一个挑战,这有可能是未来有价值的工作方向。
获取更多评论