本发明专利技术公开了一种自适应神经网络模型验证方法及系统,属于神经网络模型的安全验证技术,本发明专利技术要解决的技术问题为如何同时避免模型运行前验证耗时,同时能够检测运行时态的模型是否被篡改,保证验证过程不会显著增加模型的推理时延,技术方案为:该方法具体如下:S1、构造神经网络模型基因模板;具体如下:S101、选取基因模块的候选层;S102、选取候选层模板位置;S2、验证基于模型基因模板的神经网络模型;具体如下:S201、生成和比对种子样本与种子基因;S202、验证运行时态模型。该系统包括基因模板构造单元和神经网络模型验证单元;基因模板构造单元包括候选层选取模块及候选层模板位置选取模块;神经网络模型验证单元包括生成和比对模块及验证模块。
An adaptive neural network model verification method and system
【技术实现步骤摘要】
一种自适应神经网络模型验证方法及系统
本专利技术涉及神经网络模型的安全验证技术,主要是指在神经网络模型部署和运行过程中自动验证模型是否被篡改,是一种针对人工智能系统中的神经网络安全验证技术,具体地说是一种自适应神经网络模型验证方法及系统。
技术介绍
神经网络模型一旦被修改,则无法保证推理的正确性,在安全领域的神经网络模型,例如人脸验证系统等,如果模型被恶意篡改,则整个系统面临被入侵或瘫痪的风险。通过修改模型文件的参数可以达到不修改系统代码即可破解系统的目的,用户或管理员很难察觉此类破解方式,因此也常被用来作为攻击包含神经网络模型的应用。对模型文件进行签名,并在运行模型之前验证模型签名,能够降低模型被篡改的可能。但是这种方法存在验证过程缓慢的缺点,尤其是神经网络模型文件都比较大,对实时性需求高的应用不适合做签名验证。另一方面,签名验证的方式只能验证非运行时的模型文件,无法验证模型在运行时是否被篡改。神经网络模型训练完成之后,模型参数、结构描述等文件便被固定,所以模型输入与中间层的输出、最后输出层的输出一一对应,如果模型参数被修改,则中间层的输出与输出层的输出均会发生变化。所以通过验证中间层、输出层的输出与输入是否对应可以检测模型是否被篡改。神经网络模型已经被应用到各种系统之中,但是这些模型如果被攻击者篡改将导致推理偏差。故如何同时避免模型运行前验证耗时,同时能够检测运行时态的模型是否被篡改,保证验证过程几乎不会显著增加模型的推理时延是目前现有技术中急需解决的问题。
技术实现思路
本专利技术的技术任务是提供一种自适应神经网络模型验证方法及系统,来解决如何同时避免模型运行前验证耗时,同时能够检测运行时态的模型是否被篡改,保证验证过程几乎不会显著增加模型的推理时延的问题。本专利技术的技术任务是按以下方式实现的,一种自适应神经网络模型验证方法,该方法具体如下:S1、构造神经网络模型基因模板;具体如下:S101、选取基因模块的候选层;S102、选取候选层模板位置;S2、验证基于模型基因模板的神经网络模型;具体如下:S201、生成和比对种子样本与种子基因;S202、验证运行时态模型。作为优选,所述步骤S101中选取基因模块的候选层的具体步骤如下:S10101、设置候选层的个数M,M≥1;S10102、将神经网络模型输出层划归为候选层;S10103、从神经网络模型剩余的卷积层和全连接层中随机选取M-1个划归为候选层。更优地,所述候选层是卷积层时,选取候选层模板位置的具体步骤如下:S10201-01卷积层输出数据为一个四维数组,维度分别为样本个数、通道数、高度、宽度;S10201-02、随机选取三个通道索引,随机选取高度和宽度的起始位置,设定宽度和高度维度上的长度分别为P、Q;S10201-03、三个被选取出的通道上的宽度为P、高度为Q的数据块为该卷积层的基因模板位置。更优地,所述候选层为全连接层时,选取候选层模板位置的具体步骤如下:S10202-01、候选层输出数据为一个二维数组,第一个维度为样本个数,第二个维度为神经元个数;S10202-02、随机选取K个神经元的位置作为候选层的基因模板位置。作为优选,所述步骤S201中生成和比对种子样本与种子基因的具体步骤如下:S20101、根据神经网络模型输入层的尺寸要求随机生成种子样本,将种子样本输入到神经网络模型;S20102、在神经网络模型推理过程中将基因模板上的位置对应的数据输出到基因模板,基因模板填充数据完成后得到种子基因;S20103、每个样本均有自己对应的种子基因,对比种子基因仅需要对照对应位置的每个数据是否全部相等:①、若全部相等,则种子基因一致,说明神经网络模型参数和权重未被修改,因为相同样本应该输出相同的种子基因;②、若不全部相等,则种子基因不一致,说明神经网络模型被篡改。更优地,所述种子基因内部存储的数据为浮点数和/或整数的类型。作为优选,所述步骤S202中验证运行时态模型的具体步骤如下:S20201、将待推理样本与种子样本、随机生成的影子样本组成批量数据;S20202、推理时得到种子样本与影子样本的种子基因,将种子基因与上一次运行的种子基因对比是否一致:①、若种子基因的对比一致,则神经网络模型验证通过,下一步执行步骤S20203;②、若种子基因的对比不一致,则神经网络模型被篡改,推理结果不可靠;S20203、更新种子样本为影子样本,更新种子基因为影子基因。一种自适应神经网络模型验证系统,该系统包括,基因模板构造单元,用于构造神经网络模型基因模板,神经网络模型基因模板用于记录基因来自于神经网络模型模型的哪些层以及层的输出数据的具体位置,确定输出数据的具体位置,即神经网络模型的基因模板被确定;基因模板构造单元包括,候选层选取模块,用于选取基因模块的候选层;候选层模板位置选取模块,选取候选层模板位置;神经网络模型验证单元,用于基于模型基因模板进行神经网络模型的验证;神经网络模型验证单元包括,生成和比对模块,用于种子样本与种子基因的生成和比对;验证模块,用于运行时态模型验证。本专利技术的自适应神经网络模型验证方法及系统具有以下优点:(一)本专利技术根据神经网络模型的特性提出了模型自适应的安全验证方法,通过构造样本在模型推理过程中生成的基因验证模型的一致性;同时能够在保证模型运行速度几乎不受影响的情况下,动态验证模型是否被修改,将验证过程与推理过程有机融合在一起,不仅保证了存储、发布时模型的一致性,更能够保证运行时的模型一致性;(二)本专利技术提出了人工智能神经网络模型在发布、部署、运行时的一致性验证技术,防止模型被恶意篡改;不仅解决了模型运行前验证耗时的问题,同时能够检测运行时态的模型是否被篡改,验证过程几乎不会显著增加模型的推理时延。附图说明下面结合附图对本专利技术进一步说明。附图1为构造模型的基因模板的示意图;附图2为自适应神经网络模型验证系统的工作过程的流程框图。具体实施方式参照说明书附图和具体实施例对本专利技术的一种自适应神经网络模型验证方法及系统作以下详细地说明。实施例1:本专利技术的自适应神经网络模型验证方法,该方法具体如下:S1、构造神经网络模型基因模板;具体如下:S101、选取基因模块的候选层;具体步骤如下:S10101、设置候选层的个数M,M≥1;S10102、将神经网络模型输出层划归为候选层;S10103、从神经网络模型剩余的卷积层和全连接层中随机选取M-1个划归为候选层。S102、选取候选层模板位置;候选层是卷积层时,选取候选层模板位置的具体步骤如下:S10201-01卷积层输出数据为一个四维数组,维度分别为样本个数、通道数本文档来自技高网...
【技术保护点】
1.一种自适应神经网络模型验证方法,其特征在于,该方法具体如下:/nS1、构造神经网络模型基因模板;具体如下:/nS101、选取基因模块的候选层;/nS102、选取候选层模板位置;/nS2、验证基于模型基因模板的神经网络模型;具体如下:/nS201、生成和比对种子样本与种子基因;/nS202、验证运行时态模型。/n
【技术特征摘要】
1.一种自适应神经网络模型验证方法,其特征在于,该方法具体如下:
S1、构造神经网络模型基因模板;具体如下:
S101、选取基因模块的候选层;
S102、选取候选层模板位置;
S2、验证基于模型基因模板的神经网络模型;具体如下:
S201、生成和比对种子样本与种子基因;
S202、验证运行时态模型。
2.根据权利要求1所述的自适应神经网络模型验证方法,其特征在于,所述步骤S101中选取基因模块的候选层的具体步骤如下:
S10101、设置候选层的个数M,M≥1;
S10102、将神经网络模型输出层划归为候选层;
S10103、从神经网络模型剩余的卷积层和全连接层中随机选取M-1个划归为候选层。
3.根据权利要求1或2所述的自适应神经网络模型验证方法,其特征在于,所述候选层是卷积层时,选取候选层模板位置的具体步骤如下:
S10201-01卷积层输出数据为一个四维数组,维度分别为样本个数、通道数、高度、宽度;
S10201-02、随机选取三个通道索引,随机选取高度和宽度的起始位置,设定宽度和高度维度上的长度分别为P、Q;
S10201-03、三个被选取出的通道上的宽度为P、高度为Q的数据块为该卷积层的基因模板位置。
4.根据权利要求1或2所述的自适应神经网络模型验证方法,其特征在于,所述候选层为全连接层时,选取候选层模板位置的具体步骤如下:
S10202-01、候选层输出数据为一个二维数组,第一个维度为样本个数,第二个维度为神经元个数;
S10202-02、随机选取K个神经元的位置作为候选层的基因模板位置。
5.根据权利要求1所述的自适应神经网络模型验证方法,其特征在于,所述步骤S201中生成和比对种子样本与种子基因的具体步骤如下:
S20101、根据神经网络模型输入层的尺寸要...
【专利技术属性】
技术研发人员:高岩,姜凯,郝虹,
申请(专利权)人:山东浪潮人工智能研究院有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。