用于机器学习模块的防盗的方法以及保护系统。根据本发明专利技术,为了被设置用于预测传感器信号的机器学习模块的防盗,将该机器学习模块训练为根据传感器信号的时间序列预测传感器信号的以后的信号值作为第一输出信号以及输出所预测的以后的信号值的分散宽度作为第二输出信号。此外给机器学习模块扩展检查模块并将经扩展的机器学习模块传送到用户。在输入信号被馈入到所传送的机器学习模块中时从输入信号导出第一输出信号和第二输出信号。根据本发明专利技术,然后通过检查模块检查:输入信号的以后的信号值是否位于在通过第一输出信号说明的信号值周围的通过第二输出信号说明的分散宽度之外。最后,根据检查结果输出报警信号。根据检查结果输出报警信号。根据检查结果输出报警信号。
【技术实现步骤摘要】
用于机器学习模块的防盗的方法以及保护系统
[0001]复杂的机器、诸如机器人、马达、制造设备、机床、燃气轮机、风力涡轮机或机动车为了生产和稳定运行通常需要复杂的控制和监测方法。为了该目的,机器学习技术经常被用于现代机器控制器中。因此例如神经网络可以作为控制模型被训练为以优化的方式控制机器。
技术介绍
[0002]然而,训练神经网络或其他机器学习模块来控制复杂机器经常被证明是非常耗费的。因此通常需要大量的训练数据、可观的计算资源以及许多特定的专家知识。因此,存在对保护经训练的机器学习模块或其中所包含的训练信息以防不受控制的或未经授权的分散或使用和/或识别盗窃的极大的兴趣。
[0003]已知的是,为了神经网络的盗窃识别,在神经网络被投入使用之前给神经网络的神经权重配备独特的数字水印。借助水印于是可以在如下方面检查现有神经网络:该现有神经网络是否源于水印的使用者。不过,这样的方法只对所谓的模型提取提供少许保护,在模型提取中可能被标记的神经网络被用于将新的机器学习模块训练为行为与该神经网络相似。在此情况下外加在神经权重上的水印在新训练的机器学习模块中通常不再能够可靠地被证实。
[0004]在互联网文件https://www.internet
‑
sicherheit.de/research/cybersicherheit
‑
und
‑
kuenstlic he
‑
intelligenz/model
‑
extractionr/>‑
attack.html(于2021年12月16日检索)中讨论了多种用于防止模型提取的方法及其问题。
技术实现思路
[0005]本专利技术的任务是说明一种用于机器学习模块的防盗的方法以及一种相对应的保护系统,其提供防模型提取的更好保护。
[0006]该任务通过具有专利权利要求1的特征的方法、通过具有专利权利要求8的特征的保护系统、通过具有专利权利要求9的特征的计算机程序产品以及通过具有专利权利要求10的特征的计算机可读存储介质来解决。
[0007]根据本专利技术,为了被设置用于预测传感器信号的机器学习模块的防盗,将该机器学习模块训练为根据传感器信号的时间序列预测该传感器信号的以后的信号值作为第一输出信号,以及输出所预测的以后的信号值的分散宽度作为第二输出信号。此外,给机器学习模块扩展了检查模块,并将经扩展的机器学习模块传送到用户。在输入信号被馈入到所传送的机器学习模块中时,从该输入信号导出第一输出信号和第二输出信号。根据本专利技术,然后通过检查模块检查:输入信号的以后的信号值是否位于在通过第一输出信号说明的信号值周围的通过第二输出信号说明的分散宽度之外。最后,根据检查结果尤其在一个或多个位于分散宽度之外的以后的信号值的情况下输出报警信号。
[0008]为了执行根据本专利技术的方法设置有一种保护系统、一种计算机程序产品以及计算
机可读的、优选地非易失性的存储介质。
[0009]根据本专利技术的方法以及根据本专利技术的保护系统例如可以借助一个或多个计算机、处理器、专用集成电路(ASIC)、数字信号处理器(DSP)和/或所谓的“现场可编程门阵列(FPGA)”来构成或实施。此外,根据本专利技术的方法可以至少部分地在云中和/或在边缘计算环境中执行。
[0010]在许多情况下,本专利技术提供对机器学习模块的高效和相对可靠的保护以防未经授权的模型提取。该方法基于如下观察:在尝试模型提取时通常系统性地和/或基于随机地采样机器学习模块的输入信号的表示空间。但是,这样采样的输入信号通常不具有时间相关性或具有与被用于训练的传感器信号不同的时间相关性。因此,当经训练的机器学习模块的预测与输入信号的时间变化不兼容时,可以评价为对模型提取的指示。此外,本专利技术可以灵活地被应用并且尤其不限于人工神经网络。
[0011]本专利技术的有利的实施方式和改进方案在从属权利要求中说明。
[0012]根据本专利技术的一种有利的实施方式,机器学习模块可以被训练为通过作为第二输出信号输出的分散宽度再现传感器信号的实际的以后的信号值的实际分散宽度。
[0013]为了该目的,在训练期间尤其分散宽度的对数似然误差函数可以被用作成本函数或报酬函数。这样的对数似然误差函数经常也被称为对数似然函数。借助对数似然误差函数可以估计作为第二输出信号输出的分散宽度与实际分散宽度的距离。因此可以如下优化机器学习模块的要训练的参数、例如神经权重,即该距离被最小化或至少被减小。
[0014]替代地或者附加地,机器学习模块可以包括贝叶斯神经网络,其被训练为再现传感器信号的实际的以后的信号值的实际分散宽度。高效的数值方法可用于训练贝叶斯神经网络,所述数值方法使贝叶斯神经网络有能力从输入信号导出预测与其分散宽度。相关的训练方法例如在Christopher M.Bishop的出版物“Pattern Recognition and Machine Learning”(Springer 2011)中被描述。
[0015]根据本专利技术的一个有利的改进方案,可以提供用于控制机器的控制代理,该控制代理根据机器的传感器信号产生用于控制机器的控制信号。然后,在训练机器学习模块时,可以考虑由控制代理根据机器的传感器信号所产生的控制信号。此外,输入信号可以被馈入到控制代理中,并且由控制代理根据输入信号所产生的控制信号可以被馈入到所传送的机器学习模块中。然后,可以根据控制信号产生所传送的机器学习模块的第一输出信号和第二输出信号。以这种方式,不仅在机器学习模块的训练期间而且在机器学习模块的评估期间,控制代理的控制动作可以被包括到传感器信号及其分散宽度的预测中。作为控制代理优选地可以使用基于学习的控制代理,所述基于学习的控制代理尤其借助强化学习方法被训练为根据机器的传感器信号产生优化的控制信号。
[0016]根据本专利技术的另一有利的实施方式,可以通过检查模块针对输入信号的多个以后的信号值执行该检查。在此,可以确定位于通过第二输出信号分别所说明的分散宽度之外的以后的信号值的数量和/或比例。然后可以根据所确定的数量和/或所确定的比例输出报警信号。替代地或者附加地,可以针对输入信号的相应的以后的信号值确定,该信号值与通过第一输出信号说明的信号值的距离以哪个超过因数超过通过第二输出信号说明的分散宽度。然后可以根据所确定的超过因数中的一个或多个超出因数输出报警信号。尤其,如果数量、比例和/或超出因数中的一个或多个超出因数超过分别预先给定的阈值,则可以输出
报警信号。
[0017]根据本专利技术的另一有利的实施方式,机器学习模块、检查模块和必要时控制代理可以被封装在软件容器中,尤其被封装在受密钥或签名保护的软件容器中。软件容器优选地可以被设计,使得机器学习模块、检查模块和/或必要时控制代理在软件容器被拆开的情况下失去其功能。
附图说明
[0018]以下借助附图更详细地解释本专利技术的实施例。在此分别以示意图:
[0019]图1说明借助基于本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.计算机实施的用于被设置用于预测传感器信号的机器学习模块(NN)的防盗的方法,其中a)将所述机器学习模块(NN)训练为根据传感器信号(SS)的时间序列预测所述传感器信号(SS)的以后的信号值(SS(T+1))作为第一输出信号(SSP)以及输出所预测的以后的信号值(SS(T+1))的分散宽度作为第二输出信号(VAR),b)给所述机器学习模块(NN)扩展了检查模块(CK),c)将经扩展的机器学习模块(NN)传送到用户,d)将输入信号(IS、SS1、SCS)馈入到所传送的机器学习模块(NN)中,e)通过所传送的机器学习模块(NN)从所述输入信号(IS、SS1、SCS)导出第一输出信号(SSP)和第二输出信号(VAR),f)通过所述检查模块(CK)检查:所述输入信号(IS、SS1、SCS)的以后的信号值(IS(T+1))是否位于在通过所述第一输出信号(SSP)说明的信号值周围的通过所述第二输出信号(VAR)说明的分散宽度之外,以及g)根据检查结果输出报警信号(A)。2.根据权利要求1所述的方法,其特征在于,将所述机器学习模块(NN)训练为通过作为第二输出信号(VAR)输出的分散宽度再现所述传感器信号(SS)的实际的以后的信号值(SS(T+1))的实际分散宽度。3.根据权利要求2所述的方法,其特征在于,在训练期间将所述分散宽度的对数似然误差函数用作成本函数,以便再现所述传感器信号(SS)的实际的以后的信号值(SS(T+1))的实际分散宽度。4.根据权利要求2或3所述的方法,其特征在于,所述机器学习模块(NN)包括贝叶斯神经网络,将所述贝叶斯神经网络训练为再现所述传感器信号(SS)的实际的以后的信号值(SS(T+1))的实际分散宽度。5.根据上述权利要求中任一项所述的方法,其特征在于,
‑
提供用于控制机器(M)的...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。