- 1【东华大学oj】顺序栈ADT模板简单应用算法设计:回文判断_顺序栈adt模板简单应用算法设计:火车调度 时间限制: 1s 类别: ds:栈->栈定义及应
- 2怎么把b站的视频保存到本地_b站视频怎么下载到本地视频
- 3【Vue3-Element-Admin 动态路由】涉及到的配置_elementadmin vue3
- 4HBase 单机部署_hbase gui如何使用
- 5MYSQL 用户权限类型划分_mysql super
- 6ChatGPT及AI大模型学习笔记分享_chatgpt没有对应的ai模型
- 7golang struct 转 interface_Go语言(golang)新发布的1.13中的Error Wrapping深度分析
- 8接触式轮廓仪的自动标注数学建模_数学建模竞赛真题体验交流会圆满结束!!!...
- 9java 判断邮箱_java使用正则表达式判断邮箱格式是否正确的方法
- 1015个Kimichat官方提示词模版,教你快速写出爆款文案、小红书排版_kimi常用语模版
文献阅读(二):On Adversarial Robustness of Trajectory Prediction for Autonomous Vehicles
赞
踩
On Adversarial Robustness of Trajectory Prediction for Autonomous Vehicles
翻译:自动驾驶汽车轨迹预测的对抗鲁棒性
Keywords:
自动驾驶、轨迹预测、对抗攻击
Summary
将对抗攻击引入轨迹预测,是一个新的研究方向。
Problem Statement
问题描述,即文章的Movation。实际上是文章声称要解决的问题。
对于轨迹预测模型,评价标准一般是GT与预测的L2距离,缺乏对抗评价指标,即模型对可以构造的轨迹的鲁棒性。
本文考虑的物理世界的实现,对对抗轨迹的生成进行了物理规则上的约束,包括速度和加速度等,使得物理世界中车辆可以复现这个对抗轨迹。
Methodology used
问题定义:
L
I
L_I
LI 是历史轨迹帧长度,
L
O
L_O
LO是未来轨迹帧长度。
历史轨迹
H
t
=
{
H
t
i
=
s
t
−
L
I
+
1
:
t
i
∣
i
∈
[
1
,
N
]
}
H_t = \{H_t^i = s_{t-L_I+1:t}^i|i \in [1,N]\}
Ht={Hti=st−LI+1:ti∣i∈[1,N]}
GT未来轨迹
F
t
=
{
F
t
i
=
s
t
+
1
:
t
+
L
O
i
∣
i
∈
[
1
,
N
]
}
F_t = \{F_t^i = s_{t+1:t+L_O}^i|i \in [1,N]\}
Ft={Fti=st+1:t+LOi∣i∈[1,N]}
预测未来轨迹
P
t
=
{
P
t
i
=
p
t
+
1
:
t
+
L
O
i
∣
i
∈
[
1
,
N
]
}
P_t = \{P_t^i = p_{t+1:t+L_O}^i|i \in [1,N]\}
Pt={Pti=pt+1:t+LOi∣i∈[1,N]}
作者考虑了单帧攻击和多帧攻击,单帧攻击是仅考虑当前帧,以当前帧的前
L
I
L_I
LI个帧为历史帧,来预测未来
L
O
L_O
LO个未来的帧。多帧攻击是考虑
L
P
L_P
LP个帧,对每个帧都执行单帧攻击的过程,然后最大化
L
P
L_P
LP次攻击产生的误差和。
作者除了大家广泛应用的评价指标之外还定了四个其他的评价指标。
平均位移误差(ADE):预测轨迹与真值轨迹的均方根误差(RMSE)的平均值;
最终位移误差(FDE):最后预测时间帧的位置与真值位置之间的均方根误差。
D
(
t
,
n
,
R
)
=
1
L
O
∑
α
=
t
+
1
t
+
L
O
(
p
α
n
−
s
α
n
)
T
⋅
R
(
s
α
+
1
n
,
s
α
n
)
D(t,n,R) = \frac{1}{L_O} \sum_{\alpha =t+1}^{t+L_O}(p_{\alpha}^n - s_{\alpha}^n)^T \cdot R(s_{\alpha+1}^n,s_{\alpha}^n)
D(t,n,R)=LO1∑α=t+1t+LO(pαn−sαn)T⋅R(sα+1n,sαn)
t:时间帧ID
n:目标载具ID
p,s:标志预测和真值的车辆位置的二值向量表示。
R:用于生成特定方向的单位向量的函数。
硬约束:
一、对测试集中的标量速度、纵向、横向加速度、加速度的导数分别计算均值
μ
\mu
μ和标准差
σ
\sigma
σ。对于扰动轨迹的值,限制其不超过
μ
±
3
σ
\mu \pm 3\sigma
μ±3σ,也就是假设物理属性符合正态分布,该范围可以覆盖数据集的99%。
二、轨迹位置上的偏差界限在该文章中被限制为1米,因为数据集中的车道宽约3.7米,汽车宽度约1.7米,此偏差是不换向另一个车道的上限。这个界限,有两个作用,保留原始驾驶行为和调整攻击的隐蔽性。
L
(
n
,
f
)
=
−
1
L
P
∑
α
=
L
I
L
I
+
L
P
−
1
f
(
P
α
n
,
F
α
n
)
L(n, f ) = − \frac{1}{LP }\sum^{L_I +L_P −1} _{α=L_I} f (P^n_α,F^n_α )
L(n,f)=−LP1∑α=LILI+LP−1f(Pαn,Fαn)
f 为六个指标函数之一;
n 载具的ID
P 和 F分别代表预测和真值的轨迹
max
θ
\max \theta
maxθ
s
.
t
.
C
(
H
n
+
θ
Δ
)
∧
0
≤
θ
≤
1
s.t. C(H^n + \theta \Delta)∧ 0\le \theta \le 1
s.t.C(Hn+θΔ)∧0≤θ≤1
白盒攻击:
基于PGD进行白盒优化,随机初始化一个扰动,在迭代过程中,为扰动加上这个硬约束,并通过Lp次预测,通过无法和来计算损失。
黑盒攻击:
基于PSO方法进行黑盒优化,该方法仅需要API,通过针对搜索空间中给定的质量度量迭代地改进候选解决方案(即粒子)。在这种情况下,每个粒子都是扰动的一个候选者,质量度量由目标函数(方程 2)定义,搜索空间由硬约束(方程 3)定义。
攻击可以使对抗轨迹会出现频繁的加速度,为了缓解这个问题。
我们应用数据增强在训练数据中注入对抗模式。在训练过程中,我们在随机选择的轨迹上添加随机扰动,同时扰动满足硬约束。我们不采用对抗性训练,因为它有训练成本高、攻击目标通用性差等局限性
由于不稳定的速度或加速度是对抗性轨迹的关键模式,因此我们可以通过平滑轨迹来部分消除对抗性影响。我们对训练和测试数据应用轨迹平滑。平滑算法有多种选择,我们在实验中使用基于卷积的简单线性平滑器。这种缓解措施依赖于轨迹的物理属性,而不是梯度混淆 [4]。因此,攻击者是否知道平滑的梯度并不重要
上述两种缓解方法修改了训练数据的分布,因此需要重新训练模型。为了使缓解措施更易于部署,我们提出了另一种方法,仅在轨迹被检测为对抗性的情况下才在推理时间内平滑轨迹。我们设计了两种检测对抗轨迹的方法。首先,SVM分类器[34]。我们提取加速度的大小和方向作为特征来拟合 SVM 模型,以对正常轨迹和对抗轨迹进行分类。第二,基于规则的检测器。我们计算加速度随时间范围的方差,如果方差高于阈值,则轨迹被检测为对抗性。
Experiment
文章进行的实验
需要继续跟进的内容
包括本文引入的引文的理论等内容。
