【技术实现步骤摘要】
KI模块对欺骗尝试的敏感性的测量
本专利技术涉及对利用KI模块分析测量数据的系统的保护以免受尤其利用所谓的“对抗样本(adversarialexamples)”的欺骗尝试。
技术介绍
在许多领域中,使用具有能学习的人工智能、诸如人工神经网络的KI模块来分析测量数据。这在测量数据、例如图像数据是非常高维度的并且从测量数据中可以确定比较低维度的分类和/或回归时是特别有利的。例如,图像数据可以利用KI模块如下来分类:在道路场景中包含哪些对象和交通标志。这种KI模块可以利用所谓的“对抗样本”来攻击。在此涉及对KI模块的输入数据的有针对性恶意地引入的改变,其目标是导致到错误的类别中的分类。这样例如可以通过几乎不引起人类驾驶员注意的粘贴标签或标记改变交通标志,使得该交通标志被网络识别为另一交通标志。相应地,车辆对该交通标志错误地作出反应。由DE102018200724A1已知一种用于生成数据信号干扰的方法,利用该方法能够人工地模仿这种类型的典型攻击。这些模仿可以被用于研究分类网络的敏感性并且试验对策。
技术实现思路
在本专利技术的范围内开发了一种用于测量KI模块对欺骗尝试的敏感性的方法。该KI模块包括参数化的内部处理链形式的可训练的人工智能。该内部处理链尤其例如可以包括人工神经网络,KNN。该内部处理链的参数于是例如可以是权重,利用所述权重计算在神经元处所施加的用于激活这些神经元的输入。利用该方法要检查的KI模块被构成用于借助其内部处理链将来自具有维度D的输入空间E的输入数据集映射到具 ...
【技术保护点】
1.一种用于测量KI模块(1)对欺骗尝试的敏感性的方法(100),其中所述KI模块(1)包括参数化的内部处理链(12)形式的可训练的人工智能并且被构成用于借助所述内部处理链(12)将来自具有维度D的输入空间E的输入数据集(11)映射到具有维度G<D的输出空间F中的分类(13)和/或回归(14)上,具有如下步骤:/n• 针对所述输入空间E中的预先给定的开放数据集(11),将所述分类(13)和/或回归(14)确定(110)为未受干扰的结果(13,14),所述KI模块(1)将所述开放数据集(11)映射到所述分类(13)和/或回归(14)上;/n• 将至少一个具有维度d<D的干扰S外加(120)在所述开放数据集(11)上,使得在所述输入空间E中形成至少一个受干扰的数据集(11');/n• 将如下分类(13')和/或回归(14')确定(130)为受干扰的结果(13',14'),所述KI模块(1)将所述受干扰的数据集(11')映射到所述分类(13')和/或回归(14')上;/n• 所述受干扰的结果(13',14')与未受干扰的结果(13,14)的偏差利用预先给定的度量标准(16)来确定 ...
【技术特征摘要】
20181130 DE 102018220711.91.一种用于测量KI模块(1)对欺骗尝试的敏感性的方法(100),其中所述KI模块(1)包括参数化的内部处理链(12)形式的可训练的人工智能并且被构成用于借助所述内部处理链(12)将来自具有维度D的输入空间E的输入数据集(11)映射到具有维度G<D的输出空间F中的分类(13)和/或回归(14)上,具有如下步骤:
•针对所述输入空间E中的预先给定的开放数据集(11),将所述分类(13)和/或回归(14)确定(110)为未受干扰的结果(13,14),所述KI模块(1)将所述开放数据集(11)映射到所述分类(13)和/或回归(14)上;
•将至少一个具有维度d<D的干扰S外加(120)在所述开放数据集(11)上,使得在所述输入空间E中形成至少一个受干扰的数据集(11');
•将如下分类(13')和/或回归(14')确定(130)为受干扰的结果(13',14'),所述KI模块(1)将所述受干扰的数据集(11')映射到所述分类(13')和/或回归(14')上;
•所述受干扰的结果(13',14')与未受干扰的结果(13,14)的偏差利用预先给定的度量标准(16)来确定(140);
•响应于所述偏差(15)满足(150)预先给定的标准,确定(160):所述KI模块(1)关于所述开放数据集(11)对具有维度d的欺骗尝试是敏感的。
2.根据权利要求1所述的方法(100),其中将具有维度d的用于所述KI模块(1)的对抗样本确定为干扰S,(121)。
3.根据权利要求1至2中任一项所述的方法(100),其中将具有不同维度d的多个干扰S外加在相同的开放数据集(11)上,(122),并且其中最小维度c=min(d)作为所述KI模块(1)关于所述开放数据集(11)的敏感性的度量(17)来评价,(170),针对所述最小维度确定(160)所述KI模块(1)对欺骗尝试的敏感性。
4.根据权利要求1至3中任一项所述的方法(100),其中关于来自预先给定的集合M的多个数据集(11)确定所述KI模块(1)的敏感性,(115),并且其中通过根据所述数据集这样确定的敏感性确定汇总统计(18),(175)。
5.根据权利要求4所述的方法(100),其中所述汇总统计(18)包含平均值、和/或方差、和/或频率分布、和/或所确定的敏感性(17)的最差值。
6.一种用于建立KI模块(1)的方法(200),所述KI模块(1)包括参数化的内部处理链(12)形式的可训练的人工智能并且被构成用于借助所述内部处理链(12)将来自具有维度D的输入空间E的输入数据集(11)映射到具有维度G<D的输出空间F中的分类(13)和/或回归(14)上,具有如下步骤:
•所述内部处理链(12)的架构通过超参数(12a)来规定(210),
•形成具有所述内部处理链(12)的KI模块(1),
•所述KI模块(1)通过如下方式来训练(230):所述内部处理链的参数(12b)借助学习数据集(11a)的集合L和所属的学习结果(13a,14a)来优化,使得所述KI模块(1)根据误差函数以预先给定的精度将所述学习数据集(11a)映射到所述学习结果(13a,14a)上;
•利用验证数据集(11)的集合M利用根据权利要求4至5中任一项所述的方法确定(240)所训练的KI模块(1)的敏感性的汇总统计(18);
•如下优化(250)所述超参数(12a):在重新形成(220)和训练(230)所述KI模块(1)之后,为此所确定的敏感性的汇总统计(18)表明对欺骗尝试的总体上更低的敏感性。
7.根据权利要求6所述的方法(200),其中通过如下方式优化(250)所述超参数(12a):所述内部处理链(12)的架构利用演化算法来产生(251),其中分别在形成和训练具有架构的所述KI模块(1)之后所确定的敏感性的汇总统计(18)进入(252)用于评价所述架构的质量度量中。
8.根据权利要求1至7中任一项所述的方法(100),其中至少一个开放数据集(11)、和/或至少一个学习数据集(11a)包含物理测量变量的至少一个测量值。...
【专利技术属性】
技术研发人员:V菲舍尔,JH梅岑,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。