相似性搜索可以通过比较传感器数据与已知的有效模式,识别传感器数据中的异常,从而帮助检测自动驾驶传感器上的欺骗攻击。 欺骗攻击包括向车辆的感知系统输入虚假信号,例如伪造的 LiDAR 点云、操纵的相机图像或伪造的雷达回波。 通过使用相似性搜索,开发人员可以将传入的传感器数据与预处理的、经过验证的真实示例数据集进行比较。 如果新数据明显偏离预期模式,系统会将其标记为可疑。 这种方法之所以有效,是因为伪造的数据通常缺乏真实传感器输出的自然噪声、空间关系或时间一致性,这使得它在大规模分析时脱颖而出。
例如,考虑一个基于摄像头的欺骗攻击,其中攻击者将伪造的停车标志图像投射到路边物体上。 相似性搜索系统可以将传入的图像帧与在不同光照、角度和天气条件下捕获的真实停车标志图像数据库进行比较。 使用诸如特征提取(例如,边缘检测、颜色直方图)或来自神经网络的嵌入向量之类的技术,系统计算新图像与已知示例的匹配程度。 如果相似度得分低于某个阈值(例如,因为伪造的标志缺乏真实的磨损或透视畸变),则系统会发出警报。 类似地,对于 LiDAR,伪造的点云可能具有不自然的均匀密度或缺少细微的环境细节(如树叶运动),相似性搜索可以通过将其与同一区域的历史 LiDAR 扫描进行比较来检测到这一点。
实施此操作需要构建正常传感器数据的参考数据集并选择有效的相似性指标。 诸如 k-最近邻 (k-NN) 算法、近似最近邻库(例如,FAISS)或自动编码器之类的工具可用于实时计算相似性。 但是,开发人员必须平衡准确性和延迟——自动驾驶系统需要在几毫秒内获得结果。 一种实用的方法是预先计算常见场景(例如,城市交叉路口、高速公路驾驶)的嵌入,并使用轻量级模型将实时数据与这些集群进行比较。 挑战包括处理传感器特定的噪声(例如,雷达多径效应)并避免由罕见但合法的场景引起的误报。 通过将相似性搜索与其他防御措施(如跨传感器验证或加密传感器身份验证)集成,开发人员可以创建分层保护以防止欺骗,同时保持系统性能。