自动驾驶汽车可以通过将实时传感器数据或系统行为与已知正常和恶意场景的数据库进行比较,使用相似性搜索来检测未知的攻击模式。相似性搜索的工作原理是将数据转换为高维向量(嵌入),并使用余弦相似度或欧几里得距离等指标来衡量新输入与现有条目之间的“接近”程度。如果新的输入与已知的攻击签名紧密匹配,或者与正常模式显着偏离,系统会将其标记为可疑。这种方法不需要事先了解每一种可能的攻击——相反,它通过寻找“相似但差异足够大”以引起关注的模式来识别异常。
例如,考虑对汽车摄像头系统的对抗性攻击。攻击者可能会在停车标志上贴上贴纸,以欺骗汽车将其错误分类。相似性搜索系统可以存储干净和被操纵的停车标志的嵌入。当汽车遇到新的标志时,它将图像转换为嵌入,并在其数据库中搜索最接近的匹配项。如果最接近的匹配项包括被操纵的标志(即使确切的贴纸图案不完全相同),系统可能会触发安全协议,例如减速或提醒人工操作员。同样,对于 LiDAR 欺骗攻击(将虚假对象投影到传感器的视野中),系统可以将点云数据与已知的欺骗模式进行比较,标记出类似于过去攻击但细节(如对象形状或密度)不同的异常。
实施此操作需要在准确性和速度之间取得平衡。自动驾驶系统需要实时响应,因此通常使用近似最近邻 (ANN) 算法(如 FAISS 或 HNSW)来减少计算开销。数据库还必须不断更新,包括在野外观察到或在测试期间模拟的新攻击模式。一个挑战是避免误报:不常见但良性的场景(例如,涂鸦覆盖的停车标志)不应触发警报。为了解决这个问题,开发人员可能会将相似性搜索与辅助检查相结合,例如与其他传感器(雷达、GPS)交叉验证,或使用统计阈值来过滤异常值。这种分层方法确保系统保持稳健,而不会影响性能。