Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7759723B2 - 敵対的攻撃を検出するためのシステム及び方法 - Google Patents
[go: Go Back, main page]

JP7759723B2 - 敵対的攻撃を検出するためのシステム及び方法 - Google Patents

敵対的攻撃を検出するためのシステム及び方法

Info

Publication number
JP7759723B2
JP7759723B2 JP2020207449A JP2020207449A JP7759723B2 JP 7759723 B2 JP7759723 B2 JP 7759723B2 JP 2020207449 A JP2020207449 A JP 2020207449A JP 2020207449 A JP2020207449 A JP 2020207449A JP 7759723 B2 JP7759723 B2 JP 7759723B2
Authority
JP
Japan
Prior art keywords
sequence
machine learning
data
adversarial
learning system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020207449A
Other languages
English (en)
Other versions
JP2021096854A (ja
Inventor
カブリタ コンデッサ フィリペ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JP2021096854A publication Critical patent/JP2021096854A/ja
Application granted granted Critical
Publication of JP7759723B2 publication Critical patent/JP7759723B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • G06N3/0442Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/09Supervised learning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Image Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、概して、機械学習システムに関し、より具体的には、敵対的データシーケンスの検出に関する。
一般に、機械学習システム、特にディープニューラルネットワークは、敵対的攻撃を受け易い。これらの敵対的攻撃には、機械学習システムの期待される出力の知識に基づく攻撃に関連するブラックボックス攻撃、及び/又は、機械学習システムの内部動作の知識に基づく攻撃に関連するホワイトボックス攻撃が含まれ得る。例として、機械学習システムは、その入力側を介して攻撃されることがある。そのような敵対的攻撃は、機械学習システムの出力データに変化をもたらす入力側の摂動に見られる。これらの敵対的攻撃は、典型的には、フィードバックに基づいて入力データの摂動を更新することによって実行されており、これは、機械学習システムが、これらの摂動によって改変された決定を行い、誤った出力データ(入力データの誤分類など)が生成されるまで続く。これにより、否定的な結果と悪影響とがもたらされる。
概要
以下は、下記において詳細に説明される特定の実施形態の要約である。説明されるこれらの態様は、単に、これらの特定の実施形態の簡単な要約を閲覧者に提供するために提示されるものに過ぎず、これらの態様の説明は、本開示の範囲の限定を意図するものではない。実質的に、この開示は、以下に明示的に記載されない可能性のある種々の態様を包含し得る。
少なくとも1つの態様によれば、コンピュータ実装方法は、敵対的攻撃を検出するための機械学習システムのトレーニングに関する。この方法は、シーケンスのコレクションを取得するステップを含む。シーケンスのコレクションは、少なくとも第1のシーケンスと第2のシーケンスとを含む。この方法は、第1のシーケンスが、センサデータの摂動されていないバージョンを含むという第1の予測に基づいて、名目的シーケンスを示す第1のクラスに属するものとして第1のシーケンスを分類するステップを含む。この方法は、第2のシーケンスが、センサデータの摂動されたバージョンを含むという第2の予測に基づいて、敵対的シーケンスを示す第2のクラスに属するものとして第2のシーケンスを分類するステップを含む。この方法は、(i)シーケンスの第1のセット内の各シーケンスが名目的シーケンスであるシーケンスのコレクションからのシーケンスの第1のセットに関する第1のクラスの誤った分類を含む第1の平均損失と、(ii)シーケンスの第2のセット内の各シーケンスが敵対的シーケンスであるシーケンスのコレクションからのシーケンスの第2のセットに関する第2のクラスの誤った分類を含む第2の平均損失とに基づいて、結合損失データを生成するステップを含む。この方法は、結合損失データに基づいて機械学習システムのパラメータを更新するステップを含む。
少なくとも1つの態様によれば、非一時的コンピュータ可読媒体は、プロセッサによって実行されるときに、本方法を当該プロセッサに実施させるためのコンピュータ可読データを含む。この方法は、シーケンスのコレクションを取得するステップを含む。シーケンスのコレクションは、少なくとも第1のシーケンスと第2のシーケンスとを含む。この方法は、第1のシーケンスが、センサデータの摂動されていないバージョンを含むという第1の予測に基づいて、名目的シーケンスを示す第1のクラスに属するものとして第1のシーケンスを分類するステップを含む。この方法は、第2のシーケンスが、センサデータの摂動されたバージョンを含むという第2の予測に基づいて、敵対的シーケンスを示す第2のクラスに属するものとして第2のシーケンスを分類するステップを含む。この方法は、(i)シーケンスの第1のセット内の各シーケンスが名目的シーケンスであるシーケンスのコレクションからのシーケンスの第1のセットに関する第1のクラスの誤った分類を含む第1の平均損失と、(ii)シーケンスの第2のセット内の各シーケンスが敵対的シーケンスであるシーケンスのコレクションからのシーケンスの第2のセットに関する第2のクラスの誤った分類を含む第2の平均損失とに基づいて、結合損失データを生成するステップを含む。この方法は、結合損失データに基づいて機械学習システムのパラメータを更新するステップを含む。
少なくとも1つの態様によれば、コンピュータ実装方法は、敵対的攻撃に対する防御に関する。この方法は、第1の機械学習システムへの入力シーケンスを取得するステップを含む。この方法は、入力シーケンスが、センサデータの複数のフレームの摂動されたバージョンであるという統計的特定に基づいて、敵対的であるとして入力シーケンスを分類するための敵対的ラベルを生成するステップを含む。この方法は、入力シーケンスに基づいて、第1の機械学習システムによって生成された出力データシーケンスを識別するステップを含む。この方法は、出力データシーケンスに基づきアクチュエータシステムが制御されることを防止するために、敵対的ラベルに基づいて出力データシーケンスをフィルタリングするステップを含む。
本発明のこれらの特徴、態様及び利点並びに他の特徴、態様及び利点は、添付の図面に従って以下の詳細な説明において論述されており、その全体を通して、同様の文字は、類似の又は同様の部分を表す。
本開示の一実施例による、検出器及び敵対的防御システムを含むシステムの一例を示した図。 本開示の一実施例による、移動体装置技術に関する図1のシステムの一例を示した図。 本開示の一実施例による、名目的動作モードに関する図1のシステムのいくつかのコンポーネントの構想図。 本開示の一実施例による、防御動作モードに関する図1のシステムのいくつかのコンポーネントの構想図。 本開示の一実施例による、検出器のトレーニングに関連するシステムの一例を示した図。 本開示の一実施例による、検出器のトレーニングに関連するフローチャート。 本開示の一実施例による、名目的シーケンスに基づいて生成された敵対的シーケンスの一例の構想図。 本開示の一実施例による、名目的シーケンスに基づいて生成された敵対的シーケンスの他の一例の構想図。 本開示の一実施例による、検出器を生成するためのトレーニングプロセスの一例のフローチャート。
詳細な説明
例として示され、説明された本明細書に記載の実施形態及びそれらの利点の多くは、前述の説明によって理解されるものであり、開示された対象から逸脱することなく、又は、その利点の1つ若しくは複数を犠牲にすることなく、これらのコンポーネントの形態、構造及び配列構成において種々の変更を行うことができることは明らかである。むしろ、これらの実施形態の説明された形態は、単なる説明に過ぎない。これらの実施形態は、種々の変更や代替的形態の余地があり、後述の特許請求の範囲は、そのような変更を包括的に含むことを意図したものであり、開示された特定の形態に限定されるものではなく、むしろ、この開示の精神及び範囲に該当する総ての変更、等価物及び代替を保護することを意図している。
図1は、センサシステム110、制御システム120及びアクチュエータシステム130を含むシステム100を示す図である。このシステム100は、制御システム120が、センサシステム110からのデータセンサに基づいてアクチュエータシステム130を制御するように構成されている。より具体的には、このセンサシステム110は、センサデータを生成するための1つ又は複数のセンサ及び/又は対応するデバイスを含む。例えば、センサシステム110は、画像センサ、カメラ、レーダセンサ、光検出及び測距(LIDAR)センサ、熱センサ、超音波センサ、赤外線センサ、モーションセンサ、衛星ベースのナビゲーションセンサ(例えば、グローバルポジショニングシステム(GPS)センサ)、マイク、任意の適当なセンサ、又は、それらの任意の組合せを含む。その環境の検出データを取得すると、センサシステム110は、入出力(I/O)システム140及び/又は通信技術を含めた他の機能モジュール150を介して、制御システム120と通信するように動作することが可能である。
制御システム120は、センサシステム110の1つ又は複数のセンサから直接的に又は間接的にセンサデータを取得するように構成されている。これに関して、センサデータは、単一のセンサからのセンサデータ又は複数のセンサからのセンサ融合データを含み得る。少なくともセンサデータを含む入力を受信すると同時に、制御システム120は、センサデータストリームから少なくとも1つのシーケンスを取得するために、スライディングウィンドウなどのソフトウェアメカニズムを実施することができる。各シーケンスは、任意の長さであるものとしてよく、任意の数の要素を含み得る。一例においては、各シーケンスは複数の要素を含み、ここにおける各要素は、少なくともセンサデータを含むフレームである。制御システムは、処理システム160を介してセンサデータを処理するように動作することが可能である。これに関して、処理システム160は、少なくとも1つのプロセッサを含む。例えば、処理システム160は、電子プロセッサ、中央処理ユニット(CPU)、グラフィックス処理ユニット(GPU)、マイクロプロセッサ、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、処理回路、任意の適当な処理技術、又は、それらの任意の組合せを含む。少なくともこのセンサデータを処理すると同時に、処理システム160は、メモリシステム170との通信に基づいて出力データを生成するように動作することが可能である。さらに、処理システム160は、出力データに基づいてアクチュエータシステム130に制御データを提供するように動作することが可能である。
メモリシステム170は、本明細書に開示されるように、少なくとも動作及び機能を可能にするために、種々のデータを記憶し、種々のデータへのアクセスを提供するように構成されたコンピュータ又は電子記憶システムである。メモリシステム170は、単一のデバイス又は複数のデバイスを含む。このメモリシステム170は、電気、電子、磁気、光学、半導体、電磁、任意の適当なメモリ技術、又は、それらの任意の組合せを含む。例えば、メモリシステム170は、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、フラッシュメモリ、ディスクドライブ、メモリカード、光学的記憶デバイス、磁気記憶デバイス、メモリモジュール、任意の適当なタイプのメモリデバイス、又は、それらの任意の組合せを含み得る。一実施例においては、制御システム120及び/又は処理システム160に関して、メモリシステム170は、ローカル、リモート、又は、それらの組合せ(例えば、一部がローカル、一部がリモート)である。例えば、メモリシステム170は、処理システム160及び/又は制御システム120の他のコンポーネントから離隔した、少なくともクラウドベースの記憶システム(例えば、クラウドベースのデータベースシステム)を含むように構成されている。
メモリシステム170は、少なくとも分類器200を含む。この分類器200は、機械学習システム200Aを含む。この機械学習システム200Aは、少なくとも1つの人工ニューラルネットワーク(例えば、ディープニューラルネットワーク)又は任意の適当な機械学習技術を含む。参照の便宜のために、この機械学習システム200Aは、本開示においては「第1の機械学習システム」と称されることがある。入力に応じて、処理システム160は、機械学習システム200Aを介して、入力に基づき出力データを生成するように動作することが可能である。例えば、センサシステム110から少なくともセンサデータを受信すると同時に、処理システム160は、機械学習システム200Aのアプリケーションを介して、センサデータのエンティティのためのクラスを予測し、クラスデータを出力データとして提供するように動作することが可能である。非限定的な例として、例えば、処理システム160は、機械学習システム200Aを介して、センサデータの検出されたエンティティが歩行者クラスに属している可能性が最も高いことを特定すると同時に、複数のクラス(例えば、交通標識、信号機、動物、車両など)の中から「歩行者」クラスを割り当てるように構成されている。機械学習システム200Aを介してこの出力データ(例えば、歩行者を示すクラスデータ)を生成すると同時に、処理システム160は、少なくともこの出力データ(例えば、「歩行者」)に基づいてアクチュエータシステム130のための制御データを生成するように動作することが可能であり、それにより、アクチュエータシステム130は、センサシステム110の検出を考慮に入れるアクションを実行するように制御される。
メモリシステム170はまた、検出器210を含む。この検出器210は、好適には、名目的シーケンスと敵対的シーケンスとを区別するように構成されている。より具体的には、この検出器210は、少なくとも1つの機械学習システム210Aを含む。参照の便宜のために、この機械学習システム210Aは、「第1の機械学習システム」と称されることがある機械学習システム200Aと区別するために、「第2の機械学習システム」と称されることもある。より具体的には、この検出器210は、時間シーケンスに合わせて調整された少なくとも1つのニューラルネットワーク及び/又はディープニューラルネットワークアーキテクチャを含む。例えば、この検出器210は、少なくとも再帰型ニューラルネットワーク(RNN)、長短期記憶(LSTM)ネットワーク、ゲート付き再帰型ユニット(GRU)、他の適当な機械学習技術、又は、それらの任意の組合せを含む。
検出器210は、処理システム160を介して、分類器200によって直接受信され処理されたものと同一の入力を取得するように構成されている。より具体的には、この検出器210の機械学習システム210Aは、処理システム160を介して、分類器200の機械学習システム200Aと同時に、又は、同一の時間フレーム内において入力シーケンスを取得する。この検出器210は、少なくとも部分的に機械学習システム200Aと統合され、及び/又は、少なくとも部分的に機械学習システム200Aから分離されるものとしてもよい。入力シーケンスを受信すると同時に、処理システム160は、検出器210を介して、入力シーケンスが名目的データのシーケンスを含むことを統計的に特定すると同時に「名目的シーケンス」の検出を示す名目的ラベルを生成し、入力シーケンスが敵対的データのシーケンス又は非名目的データのシーケンスを含むことを統計的に特定すると同時に「敵対的シーケンス」の検出を示す敵対的ラベルを生成するように構成されている。シーケンスの評価により、検出器210は、機械学習システム200Aに対する敵対的攻撃の有無を特定するように構成されている。なぜなら、敵対的攻撃は、機械学習システム200Aにエラーを引き起こさせるための入力の摂動において反復的試行を伴うことが多いからである。
メモリシステム170はまた、敵対的防御システム220を含む。この敵対的防御システム220は、少なくともソフトウェア技術を含む。付加的に又は代替的に、敵対的防御システム220は、ハードウェア技術を含み得る。この敵対的防御システム220は、少なくとも部分的に、検出器210から分離され、又は、検出器210と統合されるように構成されている。この敵対的防御システム220は、処理システム160を介して、機械学習システム200Aからの出力データと、検出器210からの対応する分類データとを受信するように構成されている。より具体的には、この敵対的防御システム220は、分類データに分類するのと同様の入力シーケンスに基づいて生成された機械学習システム200Aからの出力データシーケンスを受信する。これに関して、処理システム160は、少なくともタイムスタンプデータ又は任意の適当な相関データを介して、機械学習システム200Aへの入力シーケンスの分類データに対応する、機械学習システム200Aからの出力データシーケンスを識別するように構成されている。
敵対的防御システム220は、処理システム160を介して、好適には、少なくとも1つの他のシステム(例えば、アクチュエータシステム130)が、検出器210によって敵対的シーケンスであるとみなされる入力シーケンスに基づいて生成された、機械学習システム200Aからの出力データシーケンスを直接的に又は間接的に受信することから保護されることを保証するように構成されている。より具体的には、検出器210から敵対的ラベルを受信すると同時に、敵対的防御システム220は、処理システム160を介して、敵対的シーケンスに相当する、機械学習システム200Aからの識別された出力データシーケンスに関して、防御アクションを取るように構成されている。例えば、敵対的防御システム220は、出力データを遅延させたり、出力データを予め定められた出力データ(例えば、デフォルト出力データ、アラートなど)に置き換えたり、出力データを拒否したり、出力データをフィルタリングしたり、出力データを破棄したり、及び/又は、検出された敵対的データのシーケンスに基づいて生成された出力データシーケンスに基づく作用からシステム100を防御するための任意の適当なアクションを取るように構成されている。従って、敵対的防御システム220は、検出器210及び処理システム160と協働する場合、名目的シーケンスとみなされる入力シーケンスに基づいて生成された出力データシーケンスにのみシステム100が作用することを保証することによって、予め定められた精度レベルにおいてシステム100が動作することを保証するように構成されている。
さらに、図1に示されるように、システム100は、センサシステム110及びアクチュエータシステム130に関連して制御システム120の動作に寄与する他のコンポーネントを含む。例えば、図1に示されるように、メモリシステム170はまた、1つ又は複数のコンポーネント(例えば、センサシステム110、アクチュエータシステム130、機械学習システム200A、検出器210及び敵対的防御システム220)に関連するシステム100の動作に関連する他の関連データ230を記憶するように構成されている。また、図1に示されるように、制御システム120は、システム100に関連する1つ又は複数のI/Oデバイスのための1つ又は複数のインタフェースを含むI/Oシステム140を含む。例えば、このI/Oシステム140は、センサシステム110への少なくとも1つのインタフェース及びアクチュエータシステム130への少なくとも1つのインタフェースを提供する。また、制御システム120は、システム100の機能を支援する及び/又はシステム100の機能に寄与する任意の適当なハードウェア、ソフトウェア、又は、それらの任意の組合せなどの他の機能モジュール150を提供するように構成されている。例えば、他の機能モジュール150は、本明細書において説明されるように、システム100のコンポーネントが互いに通信することを可能にするオペレーティングシステム及び通信技術を含む。少なくとも図1の例において論述した構成を用いることにより、システム100は、種々の技術に適用可能である。
図2は、一実施例による、移動体装置技術に関するシステム100の一例を示す図である。より具体的には、図2においては、システム100が車両10によって使用されており、この車両10内において、制御システム120は、センサシステム110からのセンサデータに従って、車両10の少なくとも1つのアクチュエータシステム130を制御している。また、図2においては、制御システム120は、障害物検出システムを含む。この例においては、制御システム120は、センサデータに基づいてエンティティを検出し、センサデータに関するエンティティの検出に対応する境界データ(例えば、外殻、輪郭、又は、フレーム)を生成するように構成されている。より具体的には、少なくともセンサデータ及び/又はセンサデータから検出されたエンティティの境界データを受信すると同時に、処理システム160は、その機械学習システム200Aを備えた分類器200を介して、エンティティの識別子を予測し、その予測に基づき出力データを提供するように構成されている。非限定的な例として、例えば、このセンサデータの中から検出された少なくとも1つのエンティティを示すセンサデータ及び/又は境界データを受信すると同時に、処理システム160は、機械学習システム200Aを介して、検出されたエンティティを、障害物のいくつかのクラス(例えば、信号機、交通標識、車両、動物、道路構造など)の中から歩行者クラスに属するものとして分類するように構成されている。さらに、処理システム160は、機械学習システム200Aを介して、検出されたエンティティが「歩行者」であることを示すためのクラスデータを生成するように構成されている。また、この非限定的な例においては、分類器200を介してこのクラスデータが生成されると同時に、制御システム120は、車両10の環境において感知されている検出されたエンティティを識別するクラスデータに基づいて、車両10の少なくとも1つの機能コンポーネントを動作させるアクチュエータシステム130のための制御データを生成するように構成されている。例えば、アクチュエータシステム130は、操舵操作に関する制御データを制御システム120が生成するような操舵システムを含み得る。他の例として、アクチュエータシステム130は、制動操作に関する制御データを制御システム120が生成するような制動システムを含み得る。アクチュエータシステム130は、操舵システム及び/又は制動システムに限定されることはないが、車両10に関連する任意のアクチュエータを含み得る。
さらに、制御システム120は、検出器210を介して、機械学習システム200Aへの入力シーケンスごとに分類データを生成するように構成されている。分類データは、入力シーケンスを、(i)名目的要素を含む名目的シーケンス、又は、(ii)敵対的要素を含む敵対的シーケンス、として分類する。これに関して、検出器210は、機械学習システム200Aが入力として受信する各名目的シーケンスを識別し、機械学習システム200Aによって生成された対応する各出力データシーケンスに基づいて、対応する出力データシーケンスの生成中に敵対的攻撃がなかった可能性が最も高いという保証レベルにおいてシステム100を動作させることを可能にするために有利である。また、検出器210は、機械学習システム200Aが入力として受信する各敵対的シーケンスを識別し、起こり得る敵対的攻撃に関して防御アクションをシステム100に取らせ、その時間フレーム中に機械学習システム200Aから生成された対応する各出力データシーケンスの使用を回避させることを可能にするために有利である。
制御システム120はまた、検出器210からのこの分類データを、機械学習システム200Aからの対応する出力データと共に敵対的防御システム220へ提供するように構成されている。これに関して、敵対的防御システム220は、検出器210から取得された分類データに従って、機械学習システム200Aから取得された出力データを処理するように構成されている。例えば、検出器210から名目的ラベルを受信すると同時に、敵対的防御システム220は、名目的ラベルに対応するこの入力シーケンスに基づいて生成された機械学習システム200Aからの出力データを識別し、制御システム120が名目的モードにおいて出力データを処理する表示を提供するように構成されている。この名目的モードにおいては、制御システム120は、機械学習システム200Aの対応する出力データに基づいて制御データを生成するように動作することが可能である。代替的に、検出器210から敵対的ラベルを受信すると同時に、敵対的防御システム220は、敵対的ラベルに対応するフラグが立てられた入力シーケンスに基づいて生成された機械学習システム200Aからの出力データを識別し、制御システム120が防御的モードにおいて出力データを処理する表示を提供するように構成されている。この防御的モードにおいては、敵対的防御システム220は、出力データを遅延させたり、出力データを予め定められた出力データ(例えば、デフォルト出力データ)に置き換えたり、出力データを拒否したり、出力データをフィルタリングしたり、出力データを破棄したり、又は、検出された敵対的データのシーケンスに基づいて生成された出力データの作用からシステム100を防御するための任意の適当なアクションを取るように構成されている。名目的シーケンスに対応する機械学習システム200Aからの出力データシーケンスのみを選択的に含む敵対的防御システム220からの通信を受信すると同時に、制御システム120は、これらの出力データの名目的シーケンスに基づく制御データを生成するように構成されている。制御データに応じて、アクチュエータシステム130は、自律的支援、高度な自律的支援、一部の自律的支援、条件付きの自律的支援、又は、運転者支援であり得る車両10の動作を制御又は支援するように構成されている。
図2の例に対して付加的に又は代替的に、システム100(及び/又は制御システム120)はまた、他のアプリケーションにおいても動作することが可能である。例えば、システム100及び/又は制御システム120は、コンピュータ制御機械、ロボット、家電製品、電動工具、電子パーソナルアシスタント、ヘルスケア/医療技術、移動体装置、セキュリティ技術などの種々の分野において動作することが可能である。即ち、システム100及び/又は制御システム120は、上記の用途に限定されることはないが、複数の要素のシーケンスにわたって摂動を伴う反復的技術を使用した敵対的攻撃を検出することが有益となる任意の適当な用途に適用することができる。
図3A及び図3Bは、システム100のいくつかのコンポーネント、特に、機械学習システム200A、検出器210及び敵対的防御システム220の相互作用の構想図を示している。より具体的には、図3Aにおいては、制御システム120は、入力シーケンスが名目的であることを検出器210が特定するときに、及び/又は、敵対的攻撃の不存在を敵対的防御システム220が示すときに、名目的モードにおいて動作する。対照的に、図3Bにおいては、制御システム120は、入力シーケンスが敵対的であることを検出器210が特定するときに、及び/又は、敵対的攻撃の存在を敵対的防御システム220が示すときに、敵対的モードにおいて動作する。さらに、図3A及び図3Bには示されていないが、処理システム160は、名目的モードと防御的モードの両モード中はこれらのコンポーネントと能動的に連動している。
図3Aは、制御システム120が名目的モードにおいて動作するシナリオの一例を示している。より具体的には、センサシステム110は、その環境に基づいてセンサデータストリームを提供する。センサデータストリームには、X={x,x,…x}として表し得るセンサデータシーケンスが含まれる。ここで、Xは、シーケンスを表し、xからxは、シーケンスの要素を表す。例えば、シーケンスXの各要素は、センサデータフレームと称することができる。センサデータを取得すると同時に、処理システム160は、機械学習システム200Aを介して、センサデータのためのクラスデータを生成するように構成されている。センサデータストリームに対して機械学習システム200Aを介して出力されるクラスデータは、Y={y,y,…y}として表し得る。ここで、Yは、シーケンスを表し、yからyは、シーケンスの要素を表す。例えば、シーケンスYの各要素は、シーケンスXの各要素について機械学習システム200Aによって生成されるクラスデータと称することができる。
検出器210は、機械学習システム200Aと同一の入力(例えば、X={x,x,…x})を受信するように構成されている。センサデータシーケンスを入力として受信すると同時に、検出器210は、センサデータシーケンスが名目的シーケンスであると予測すると同時に名目的ラベルを生成し、センサデータシーケンスが敵対的シーケンスであると予測すると同時に敵対的ラベルを生成するように構成されている。この場合、図3Aに示されるように、検出器210は、センサデータシーケンスが名目的データを含むことを特定し、入力に対して名目的ラベルを生成する。敵対的防御システム220は、検出器210から名目的ラベルを受信し、機械学習システム200Aから対応するクラスデータ(Y={y,y,…y})を受信するように構成されている。この場合、検出器210は、機械学習システム200Aが入力として名目的シーケンスを受信したことを示すので、敵対的防御システム220は、制御システム120が、名目的モードにおいて動作するように構成されていることを示すように動作することが可能であり、それにより、アクチュエータシステム130に対する制御データが、少なくとも機械学習システム200Aからのクラスデータに基づいて、アクチュエータシステムのために生成される。
図3Bは、制御システム120が防御的モードにおいて動作するシナリオの一例を示している。図3Aとは異なり、図3Bは、システム100の一部ではなく、システム100に対して敵対的攻撃を生成している敵対的システム20を含む。一般に、この敵対的システム20は、機械学習システム200Aへのセンサデータを反復的に摂動させ、機械学習システム200Aに破壊及び/又はエラーを引き起こさせている。この例においては、敵対的システム20は、次のような摂動データによりセンサデータを摂動するように動作することが可能である。即ち、同一のセンサデータの摂動されていないバージョンのために機械学習システム200Aによって生成されたであろうクラスデータとは異なる、センサデータの摂動されたバージョンのためのクラスデータを機械学習システム200Aが生成する程度までは知覚し得ない可能性がある摂動データである。敵対的システム20は、機械学習システム200Aにエラーを引き起こさせる最初の試みでは失敗することが多く、従って、機械学習システム200Aの出力データ(例えばクラスデータ)をフィードバックとして使用している間、機械学習システム200Aへの入力を摂動させて、機械学習システム200Aのエラーを引き起こす入力上の摂動データを特定することを数回試みる。これに関して、敵対的システム20は、典型的には、敵対的攻撃の成功を達成するために反復的技術に依存している。
図3Bに示されるように、センサシステム110は、その環境に基づいてセンサデータストリームを生成する。このセンサデータストリームは、センサデータシーケンスを含み、これは、X={x,x,…x}で表すことができる。ここで、Xは、名目的シーケンスを表し、xからxは、シーケンスの要素を表す。例えば、各要素は、センサデータフレームと称することができる。しかしながら、このシナリオにおいては、敵対的システム20は、摂動データのシーケンスを生成し、機械学習システム200Aがセンサデータの摂動されたバージョンを受信するようにセンサデータを摂動させる。例えば、摂動データのシーケンスは、δ={δ,δ,…δ}として表し得る。ここで、δは、摂動データのシーケンスを表し、δからδは、このシーケンスの種々の摂動要素を表す。また、センサデータの摂動されたバージョンは、X’={x’,x’,…x’}として表し得る。ここで、X’は、シーケンスXの摂動されたバージョンを表し、x’からx’は、摂動データのシーケンスδ={δ,δ,…δ}によってそれぞれ摂動されたシーケンスの摂動された要素を表す。センサデータの摂動されたバージョンを受信すると同時に、処理システム160は、機械学習システム200Aを介して、これらの摂動されたバージョンのセンサデータを分類するクラスデータを生成するように構成されている。さらに、検出器210はまた、機械学習システム200Aと同一の入力(即ち、X’={x’,x’,…x’}の摂動されたセンサデータ)を受信するように構成されている。センサデータシーケンスの摂動されたバージョンを入力として受信すると同時に、検出器210は、センサデータシーケンスが名目的シーケンスであると予測すると同時に名目的ラベルを生成し、センサデータシーケンスが敵対的シーケンスであると予測すると同時に敵対的ラベルを生成するように構成されている。この場合、図3Bに示されるように、検出器210は、機械学習システム200Aへの入力シーケンス(即ち、X’)が敵対的シーケンスであることを特定し、この入力シーケンス(即ち、X’)に対して敵対的ラベルを生成する。敵対的防御システム220は、検出器210から敵対的ラベルを受信し、タイムスタンプデータに基づいて、機械学習システム200Aからクラスデータ(Y’={y,y,…y})の対応するシーケンスY’を受信するように構成されている。この場合、検出器210は、機械学習システム200Aへの入力シーケンスが敵対的シーケンスであることを示すので、敵対的防御システム220は、フラグが立てられた入力に基づいて生成されたクラスデータの対応するシーケンスがフィルタリングされ、アクチュエータシステム130などの下流側システムに影響を及ぼすことが防止される、防御的モードをアクティブにするように構成されている。例えば、図3Bにおいては、敵対的防御システム220は、出力データとしてY’={y,y,…y}の対応するクラスデータの使用を許可しない。
図4は、一実施例による、検出器210のトレーニングに関連するシステム400を示す図である。この簡略化された例においては、システム400は、少なくともメモリシステム410及び処理システム420を含む。図4においては、メモリシステム410は、本明細書に開示されるように、少なくとも動作及び機能を可能にするために種々のデータを記憶し、これらのデータへのアクセスを提供するように構成されたコンピュータ又は電子記憶システムである。このメモリシステム410は、単一のデバイス又は複数のデバイスを含む。このメモリシステム410は、電気、電子、磁気、光学、半導体、電磁、任意の適当なメモリ技術又はそれらの任意の組合せを含む。例えば、メモリシステム410は、RAM、ROM、フラッシュメモリ、ディスクドライブ、メモリカード、光学的記憶デバイス、磁気記憶デバイス、メモリモジュール、任意の適当なタイプのメモリデバイス、又は、それらの任意の組合せを含み得る。一実施例においては、処理システム420に関して、メモリシステム410は、ローカル、リモート、又は、それらの組合せ(例えば、一部がローカル、一部がリモート)である。例えば、メモリシステム410は、処理システム420から離隔した、少なくともクラウドベースの記憶システム(例えば、クラウドベースのデータベースシステム)を含むように構成されている。
一実施例においては、図4に示されるように、メモリシステム410は、機械学習システム210Aを含む検出器210を含む。また、図4に示すように、メモリシステム410は、検出器210を生成するために使用される少なくともトレーニングデータ412及び機械学習データ414を含む。さらに、メモリシステム410は、本明細書において論述されるように、検出器210をトレーニング及び生成することに関する他の関連データを含むように構成されている。より具体的には、トレーニングデータ412は、少なくともセンサデータ(及び/又はセンサデータに基づく画像データ)を含む。機械学習データ414は、検出器210をトレーニング及び生成するための方法700(図7)に関連する機械学習アルゴリズムを含む。検出器210は、その機械学習システム210Aのトレーニング及び/又は操作に関連する種々のデータ(例えば、種々の層、重み付け、パラメータデータなど)と共に機械学習システム210Aを含む。予め定められたレベルの精度において実行するように一度トレーニングされると、検出器210は、図1のシステム100又は任意の適当なアプリケーションシステムによって展開可能及び/又は使用可能になる。
トレーニングデータ412を受信すると、処理システム420は、機械学習データ414に従って機械学習システム210Aをトレーニングするように構成されている。これに関して、処理システム420は、少なくとも1つのプロセッサを含む。例えば、処理システム420は、電子プロセッサ、CPU、GPU、マイクロプロセッサ、FPGA、ASIC、処理回路、任意の適当な処理技術、又は、それらの任意の組合せを含む。一実施例においては、処理システム420は、トレーニングデータ412及び機械学習データ414に基づいて検出器210を生成するために、メモリシステム410と通信する。
図5は、一実施例による、検出器210を生成するためのトレーニングプロセス500に関連するフローチャートである。一般に、トレーニングプロセス500は、検出器210が正確に機能することを保証するために、実質的かつ十分な量のトレーニングデータ412を含む。例えば、トレーニングデータ412のコレクションは、少なくとも名目的シーケンスのセット412A及び敵対的シーケンスのセット412Bを含む。さらに、トレーニングデータ412は、種々の機械学習システムへの現実の敵対的攻撃から収集された過去及び/又は実際の敵対的攻撃データを含み得る。
名目的シーケンスのセット412Aは、少なくともセンサデータ、センサ融合データ、センサデータに基づく画像データ、センサ融合データに基づく画像データ、又は、それらの任意の組合せを含む。また、この例においては、敵対的シーケンスのセット412Bは、名目的シーケンスのセット412Aの少なくとも1つ又は複数の摂動されたバージョンを含む。一般に、敵対的シーケンスのセット412Bは、シーケンスによって機械学習システムにエラーを引き起こさせることが成功しなかったとしても、摂動によってそれらの複数の要素が摂動される任意のシーケンスを含み得る(例えば、f(x’)≠f(x)などのシーケンスの誤分類、ここで、f(x’)は、要素の摂動されたバージョンに基づく機械学習システムの出力データを表し、f(x)は、その同一の要素の摂動されていないバージョンに基づく機械学習システムの出力データを表す)。少なくともこのトレーニングデータ412のコレクションを用いたこのトレーニングプロセス500を完了した後、検出器210は、少なくとも1つのプロセッサを介して、シーケンスが名目的シーケンス(又はセンサデータの摂動されていないバージョン)であると予測すると同時に名目的ラベルを生成し、シーケンスが敵対的シーケンス(又はそのセンサデータの摂動されたバージョン)であると予測すると同時に敵対的ラベルを生成するように構成されている。
図6A及び図6Bは、トレーニングデータ412の一例を示している。例えば、図6Aは、xからxによって示される要素を含む名目的シーケンス600を示している。この場合、各要素は、センサデータフレームである。例えば、各要素は、ビデオストリームから取り出した画像フレームであるものとしてもよい。また、図6Aに示されるように、名目的シーケンス600は、時間に関して連続的であり、これは矢印の方向に進む。図6Aはまた、名目的シーケンス600から生成される敵対的シーケンス610も示している。これに関して、例えば、名目的シーケンス600を受信すると同時に、処理システム420は、名目的シーケンス600から要素(例えばx)を選択し、その要素を反復的に摂動させることによって敵対的シーケンス610を生成するように構成されている。これにより、敵対的シーケンス610の形成のために複数の摂動されたバージョン(例えば、x’i,1=x+δ,…,x’i,p=x+δ)が生成されている。図6Aにおいては、選択された要素xは、「p」回摂動されている。ここで、pは、選択された要素が、摂動された要素x’i,p(即ち、x+δ)を生成する反復を表し、これは、機械学習システム200Aに、f(x+δ)≠f(x)などのエラーを引き起こさせる。さらに、図6Aはまた、敵対的シーケンス610をサブシーケンスとして含む敵対的シーケンス620が、トレーニングデータ412として提供され得ることを示している。
図6Bもまた、名目的シーケンス600から生成される敵対的シーケンス630を示している。より具体的には、処理システム420は、名目的シーケンスの各要素を摂動させることによって敵対的シーケンス630を生成するように構成されている。この場合、敵対的シーケンス630は、機械学習システム200Aがエラーを起こすまで、名目的シーケンス600の各要素の摂動されたバージョンを含む。例えば、敵対的シーケンス630は、機械学習システム200Aがエラーを起こすまで、名目的シーケンスの第1の要素の摂動されたバージョン、名目的シーケンスの第2の要素の摂動されたバージョンなどを含む。さらに、図6Bはまた、サブシーケンスとして敵対的シーケンス630を含む敵対的シーケンス640を示している。この場合、処理システム420は、摂動の敵対的署名(例えば、δ,δ,…δ)からの各要素により名目的シーケンス600の要素を摂動することによって、少なくともこれらの敵対的シーケンス630及び640を生成するように構成されている。
上記で論じたように、図6A及び図6Bは、トレーニングプロセス500中に検出器210をトレーニングするために使用することができるトレーニングデータ412のいくつかの例を示している。図6A及び図6Bは、処理システム420が、少なくとも1つの名目的シーケンス600を取得すると同時にこれらの敵対的シーケンス610,620,630及び640を生成することができる点において有利である。さらに、処理システム420はまた、他の摂動を含む他の敵対的署名により名目的シーケンス600を攻撃することによって、名目的シーケンス600から、他の敵対的シーケンス610,620,630及び640を生成するように構成されている。ただし、敵対的シーケンスのセット412Bは、上記の敵対的シーケンス610,620,630及び640(及び/又は機械学習システム200Aにエラーを引き起こさせる敵対的シーケンス)に限定されることはないが、摂動要素のシーケンスが含まれる任意の敵対的シーケンスを含み得る。一般に、検出器210は、名目的シーケンスと敵対的シーケンスとを区別するその能力が強化される程度まで、可能な限り多くのトレーニングデータ412によりトレーニングされることが有益となる。
図7は、一実施例による、検出器210を生成するためのトレーニングプロセス500(図5)の一例のフローチャートを示している。このトレーニングプロセス500は、名目的データの少なくとも1つのシーケンスと、敵対的データの少なくとも1つのシーケンスとの間を区別するために、検出器210の少なくとも1つの機械学習システム210Aをトレーニングするための方法700を含む。好適には、この方法700は、名目的シーケンスのセット412Aと敵対的シーケンスのセット412Bとの両方を含むトレーニングデータ412を提供すると同時に、このトレーニングデータ412から取得された結果に基づいて検出器210の機械学習システム210Aのパラメータを最適化する。従って、この方法700によるトレーニングプロセス500を経ると同時に検出器210は、シーケンスを識別し、このシーケンスが名目的/敵対的であるかどうかを予測し、その予測を示すラベルを提供するように動作することが可能になる。
ステップ702においては、処理システム420は、検出器210を介して、トレーニングデータの第1のセットを取得する。例えば、トレーニングデータの第1のセットは、検出器210をトレーニングするために十分な量の名目的データを含み、それにより、機械学習システム210Aは、予め定められたレベルの精度において動作するように構成されている。より具体的には、トレーニングデータの第1のセットは、各シーケンスが、摂動データによって摂動されていない名目的データを含む名目的シーケンスのセット412Aを含む。上述のように、例えば、名目的データは、センサデータ、センサ融合データ、センサデータに基づく画像データ、センサ融合データに基づく画像データ、又は、それらの任意の組合せを含む。トレーニングデータ412として名目的シーケンスのセット412Aを取得すると同時に、本方法700は、ステップ706に進む。
ステップ704においては、処理システム420は、検出器210を介して、トレーニングデータの第2のセットを取得する。例えば、トレーニングデータの第2のセットは、検出器210をトレーニングするために十分な量の敵対的データを含み、それにより、機械学習システム210Aは、予め定められたレベルの精度において動作するように構成されている。より具体的には、トレーニングデータの第2のセットは、各シーケンスが、摂動データによって摂動された名目的データを含む敵対的シーケンスのセット412Bを含む。これに関して、例えば、各敵対的シーケンスは、複数の摂動されたセンサデータ、摂動されたセンサ融合データ、センサデータに基づく摂動された画像データ、センサ融合データに基づく摂動された画像データ、又は、それらの任意の組合せを含む。一般に、敵対的シーケンスは、名目的シーケンスに対応するが、要素の摂動をさらに含む。トレーニングデータ412として敵対的シーケンスのセット412Bを取得すると同時に、本方法700は、ステップ708に進む。
ステップ706においては、処理システム420は、検出器210を介して、トレーニングデータの第1のセットと称されることがある名目的シーケンスのセットから各シーケンスを分類する。処理システム420は、検出器を介して、シーケンスを分析し、クラスの1つをこのシーケンスに割り当てるように動作することが可能である。例えば、処理システム420は、検出器210を介して、名目的シーケンスのセットからシーケンスを評価し、その機械学習モデルによって、シーケンスが名目的クラスに属すること、又は、敵対的クラスに属することを特定するように構成されている。
ステップ708においては、処理システム420は、検出器210を介して、トレーニングデータの第2のセットと称されることがある敵対的シーケンスのセットから各シーケンスを分類する。処理システム420は、検出器を介して、シーケンスを分析し、クラスの1つをこのシーケンスに割り当てるように動作することが可能である。例えば、処理システム420は、検出器210を介して、敵対的シーケンスのセットからシーケンスを評価し、その機械学習モデルによって、シーケンスが名目的クラスに属すること、又は、敵対的クラスに属することを特定するように構成されている。
ステップ710においては、処理システム420は、検出器210を介して、トレーニングデータの第1のセットに基づいて分類データを生成する。この場合、トレーニングデータの第1のセットは、名目的シーケンスのセット412Aを含む。検出器210は、入力が名目的データシーケンス(又は非敵対的データシーケンス)であると予測すると同時に入力に対する名目的ラベルを生成し、入力が敵対的データシーケンス(又は非名目的データシーケンス)であると予測すると同時にこの入力に対する敵対的ラベルを生成するように動作することが可能である。これに関して、例えば、名目的ラベルは、1つのバイナリシンボル(例えば0)によって表されるものとしてもよく、敵対的ラベルは、他のバイナリシンボル(例えば1)によって表されるものとしてもよい。又は、この逆であってもよい。この場合、検出器210への各入力は、トレーニングデータの第1のセットからの名目的シーケンスであるため、処理システム420は、第1のセットのシーケンスに対する名目的ラベルの真の分類データと、第1のセットのこのシーケンスに対する予測された分類データ(例えば、名目的ラベル又は敵対的ラベル)とを比較することができる。
ステップ712においては、処理システム420は、検出器210を介して、トレーニングデータの第2のセットに基づいて分類データを生成する。この場合、トレーニングデータの第2のセットは、敵対的シーケンスのセット412Bを含む。前述のように、検出器210は、入力が名目的データシーケンス(又は非敵対的データシーケンス)であると予測すると同時に入力に対して名目的ラベルを生成し、入力が敵対的データシーケンス(又は非名目的データシーケンス)であると予測すると同時にこの入力に対して敵対的ラベルを生成するように動作することが可能である。これに関しては、ステップ710と一致して、名目的ラベルは、1つのバイナリシンボル(例えば0)によって表されるものとするとよく、敵対的ラベルは、他のバイナリシンボル(例えば1)によって表されるものとするとよい。この場合、検出器210への各入力は、トレーニングデータの第2のセットからの敵対的シーケンスであるため、処理システム420は、第2のセットのシーケンスに対する敵対的ラベルの真の分類データと、第2のセットのこのシーケンスに対する予測された分類データ(例えば、名目的ラベル又は敵対的ラベル)とを比較することができる。
ステップ714においては、処理システム420は、トレーニングデータの第1のセットの予測された分類と真の分類との間の差分に関連する検出器210の平均損失データを生成する。より具体的には、処理システム420は、トレーニングデータの第1のセット(例えば、名目的シーケンスのセット412A)に対して生成された適正な分類データとの比較において、誤った分類データを評価する。より具体的には、トレーニングデータのこの第1のセットに関して、検出器210は、(i)これらの名目的シーケンスの1つを入力として受信すると同時に機械学習システム210Aを介して名目的ラベルが予測されるときには適正な分類データを生成し、(ii)これらの名目的シーケンスの1つを入力として受信すると同時に機械学習システム210Aを介して敵対的ラベルが予測されるときには誤った分類データを生成する。便宜上、この平均損失データは、「第1の平均損失データ」と称されることがある。
ステップ716においては、処理システム420は、トレーニングデータの第2のセットの予測された分類と真の分類との間の差分に関連する検出器210の平均損失データを生成する。より具体的には、処理システム420は、トレーニングデータの第2のセット(例えば、敵対的シーケンスのセット412B)に対して生成された適正な分類データとの比較において、誤った分類データを評価する。より具体的には、トレーニングデータのこの第2のセットに関して、検出器210は、(i)敵対的シーケンスの1つを入力として受信すると同時に機械学習システム210Aを介して敵対的ラベルが予測されるときには適正な分類データを生成し、(ii)敵対的シーケンスの1つを入力として受信すると同時に機械学習システム210Aを介して名目的ラベルが予測されたときには誤った分類データを生成する。便宜上、この平均損失データは、「第2の平均損失データ」とも称される。
ステップ718においては、処理システム420は、第1の平均損失データ及び第2の平均損失データを含む相対的な重み付け関数に基づいて、検出器210の弁別器のパラメータを最適化する。より具体的には、例えば、処理システム420は、機械学習システム210Aの弁別器(例えば、弁別モデル又はネットワーク)に関連してパラメータ(例えばθ)を最適化する。これは、以下の式
において、θによってパラメータ化され、dθによって表される。
この式において、処理システム420は、検出器210の弁別器のパラメータ(例えばθ)の値を決定し、ここでは、結合損失
がargmin関数を介してその最小値に達する。この場合、この結合損失は、第1の平均損失データ
と、第2の平均損失データ
とを含む。また、この式においては、損失関数は、L(y,y)により表され、これは、出力データyと出力データyとの間の誤差を最小化する。ここで、出力データyは、入力シーケンスの予測された分類データ(例えば、名目的/敵対的ラベル)を表し、出力データyは、入力シーケンスの真の分類データ(例えば、名目的/敵対的ラベル)を表す。
また、式(1)によって示されるように、処理システム420は、検出器210を介して、入力データシーケンスに関する敵対的署名の存在の有無を識別するためのバイナリシーケンス分類を実行する、少なくとも1つの機械学習モデルを含む。例えば、説明の便宜上、入力のテストシーケンスとしてXtestを使用して、検出器210は、テストシーケンスが名目的シーケンスであるという予測に基づきd(Xtest)=0であることを特定すると同時に、名目的ラベルとして1つのバイナリ値(例えば、0の値)をこのテストシーケンスに割り当てるように構成されている。さらに、検出器210は、テストシーケンスが敵対的シーケンスであるという予測に基づきd(Xtest)=1であることを特定すると同時に、敵対的ラベルとして他のバイナリ値(例えば、1の値)をこのテストシーケンスに割り当てるように構成されている。代替的に、検出器210が本明細書に記載されるように動作することを前提として、検出器210は、分類データ(例えば、名目的ラベル及び敵対的ラベル)として任意の値のセット(例えば、0及び1)を割り当てるように構成されるものとしてもよい。
式(1)においては、λは、第1の平均損失と第2の平均損失との間の相対的な重み付けを提供するパラメータを表す。パラメータλは、処理システム420に、用途に従って、名目的データ(例えば、名目的シーケンス)の誤分類及び敵対的データ(例えば、敵対的シーケンス)の誤分類の相対的な重み付けバランスを調整させることを可能にする。これに関して、パラメータλは、名目的シーケンス(例えば、名目的センサデータ)の検出と、敵対的シーケンス(及び/又は敵対的攻撃)の検出との間のバランス係数を提供する。
ステップ720においては、処理システム420は、最適化されたパラメータを用いてそのトレーニングを完了すると同時に、展開/使用の準備が整った検出器210を提供する。これに関して、パラメータが最適化された後、及び/又は、検出器210が、最適化されたパラメータによりトレーニングされた後、この検出器210は、予め定められたレベルの精度において検出器210が動作することが評価されると同時に、システム100又は任意の適当なシステムによって展開/使用されるように構成されている。また、一度トレーニングされると、その機械学習システム210Aを備えた検出器210は、好適には、少なくとも1つのプロセッサを介して、統計的特定及び/又は確率的手段により、シーケンスが名目的ラベル又は敵対的ラベルを保証するかどうかの予測が可能になる。これにより、敵対的攻撃の有無の表示が提供される。
さらに、これらの実施形態の趣旨及び範囲から逸脱することなく、上述の実施形態に対して種々の変更を行うことができる。例えば、図1においては、分類器200及びそれに関連する機械学習システム200Aの代わりに、システム100は、意図された用途に適するようにトレーニングされた機械学習システムを備えた任意のソフトウェアモジュールを含み得る。即ち、敵対的攻撃を受け易い可能性のある入力シーケンスに依存する任意の機械学習システム及び/又はソフトウェアシステムに対して、検出器210及び敵対的防御システム220が、同様の利点又は実質的に類似の利点を提供するように構成されている。
さらに、他の変更例として、合成タイプの攻撃に対して付加的に又は代替的に、敵対的シーケンスのセット412Bは、種々の機械学習システムへの実際の敵対的攻撃から取得された現実の敵対的攻撃データを含み得る。また、さらなる他の変更例として、敵対的シーケンスのセット412Bは、図6A及び図6Bの例に限定されることはないが、このシーケンスの複数の要素(又はフレーム)にわたって複数の摂動が発生する名目的シーケンスの任意の摂動されたバージョンを含み得る。付加的に、さらなる他の変更例として、敵対的シーケンスを生成するプロセスは、検出器210をトレーニングする反復ごとにトレーニングセットとして新しい敵対的シーケンスを生成し得るようなトレーニングプロセス500と組み合わせることができる。さらに、トレーニングプロセス500は、複数の反復及び複数のバッチにより実行することができる。また、さらなる他の変更例として、トレーニングプロセス500中に、検出器210及び敵対的システム20は、ゼロサムゲームを作成するように構成されるものとしてもよく、ここでは、検出器210は、結合損失を最小化するように動作することが可能であり、それに対して、敵対的システム20は、結合損失を最大化するように動作することが可能である(例えば、敵対的データのシーケンスを検出不能にする)。これにより、検出器210は、さらに堅固な敵対的システム20のアドレッシングによってさらに堅固になるようにトレーニングされる。
本明細書に記載されるように、本実施形態は、いくつかの有利な特徴及び利点を含む。例えば、本実施形態は、機械学習システム200Aへの入力シーケンスが、モデルの制限を理解する、及び/又は、機械学習システム200Aにエラーを引き起こさせる入力データへの摂動を学習する、という意味において、敵対的な目標を有しているクエリシーケンスであるかどうかを特定するために有利である。これに関して、本実施形態は、少なくとも1つの機械学習システム200Aに入力されたシーケンスが、敵対的攻撃の不存在/存在を検出する手段として、名目的データ(例えば、センサからのセンサストリーム)又は敵対的データ(例えば、敵対的システム20からの敵対的クエリを伴うセンサストリームの摂動されたバージョン)に関連付けられているかどうかを特定するという技術的問題に対処するために有利である。敵対的シーケンスを検出すると同時に、検出器210は、その敵対的検出にフラグを立てるように動作することが可能であり、そのため、システム100は、敵対的攻撃に応じることが可能になる。一例として、例えば、敵対的防御システム220は、敵対的シーケンスに基づいて機械学習システム200Aによって生成された出力データの対応するシーケンスをフィルタリングするためにアクティブ化されるので、敵対的シーケンスから生じる影響は、回避され、及び/又は、機械学習システム200Aからこの出力データを他の方法により受信することとなる他のシステムによって実現されることはない。例えば、システム100は、検出された敵対的データのシーケンスに基づく誤った出力データ(例えば、誤ったクラスデータ)がアクチュエータシステム130に影響を与えることを防止するように動作することが可能であり、これにより、敵対的攻撃に関するシステム100に対する付加的レベルのセキュリティ及び安全性が提供される。
即ち、上述の説明は、例示的にかつ限定を意味することなく、特定の用途及びその要件の文脈において提供されることを意図している。当業者であるならば、前述の説明から、本発明が種々の形態において実装されるものとしてもよいこと、及び、種々の実施形態が単独又は組合せにおいて実施されるものとしてもよいことを理解することができる。従って、本発明の実施形態は、その特定の例に関連して説明してきたが、本明細書において定義された一般原理は、説明された実施形態の趣旨及び範囲から逸脱することなく他の実施形態及び用途に適用されるものとしてもよく、本発明の実施形態及び/又は方法の真の範囲は、図示及び説明された実施形態に限定されるものではない。なぜなら、当業者にとっては、図面、明細書及び以下の特許請求の範囲を検討すると同時に種々の変更が明らかになるからである。例えば、コンポーネント及び機能は、説明された種々の実施形態の手法とは異なる手法により分離され又は組み合わせられるものとしてもよく、異なる用語を使用して記述されるものとしてもよい。これら並びに他の変形、変更、追加及び改良は、以下の特許請求の範囲において特定されるように、本開示の範囲内に含まれ得る。

Claims (20)

  1. 敵対的攻撃を検出するための機械学習システムをトレーニングし、当該トレーニングされた機械学習システムにより当該敵対的攻撃に対する防御を行うためのコンピュータ実装方法であって、
    少なくとも第1のシーケンスと第2のシーケンスとを含むシーケンスのコレクションを取得するステップと、
    前記第1のシーケンスが、センサデータの摂動されていないバージョンを含むという第1の予測に基づいて、名目的シーケンスを示す第1のクラスに属するものとして前記第1のシーケンスを分類するステップと、
    前記第2のシーケンスが、センサデータの摂動されたバージョンを含むという第2の予測に基づいて、敵対的シーケンスを示す第2のクラスに属するものとして前記第2のシーケンスを分類するステップと、
    (i)シーケンスの第1のセット内の各シーケンスが名目的シーケンスであるシーケンスのコレクションからのシーケンスの第1のセットに関する前記第1のクラスの誤った分類を含む第1の平均損失と、(ii)シーケンスの第2のセット内の各シーケンスが敵対的シーケンスであるシーケンスのコレクションからのシーケンスの第2のセットに関する第2のクラスの誤った分類を含む第2の平均損失とに基づいて、結合損失データを生成するステップと、
    前記結合損失データに基づいて前記機械学習システムのパラメータを更新するステップと、
    を含み、前記トレーニングされた機械学習システムにより実施される、敵対的攻撃に対する防御のために、前記コンピュータ実装方法は、さらに、
    他の機械学習システムへの入力シーケンスを取得するステップと、
    前記トレーニングされた機械学習システムを用いて、前記入力シーケンスが、センサデータの複数のフレームの摂動されたバージョンであるという予測に基づいて、前記入力シーケンスを分類するための敵対的ラベルを生成するステップと、
    前記入力シーケンスに基づいて、前記他の機械学習システムによって生成された出力データシーケンスを識別するステップと、
    前記出力データシーケンスに基づく制御データによりアクチュエータシステムが制御されることを防止するために、前記敵対的ラベルに基づいて前記他の機械学習システムからの前記出力データシーケンスをフィルタリングするステップと、
    を含む、コンピュータ実装方法。
  2. 前記パラメータを更新するステップは、
    前記第1の平均損失と前記第2の平均損失とを含む重み付け関数の前記結合損失データを最小化する、前記機械学習システムの識別モデルのパラメータを決定するステップを含む、
    請求項1に記載のコンピュータ実装方法。
  3. 前記機械学習システムは、時間シーケンスを処理するアーキテクチャを備えたディープニューラルネットワークを含む、
    請求項1に記載のコンピュータ実装方法。
  4. 前記機械学習システムは、再帰型ニューラルネットワーク、長短期記憶ネットワーク、又は、ゲート付き再帰型ユニットを含む、
    請求項1に記載のコンピュータ実装方法。
  5. 前記第1のシーケンスは、前記他の機械学習システムが前記第1のシーケンスのための第1のクラスデータを生成するように生成され、前記第2のシーケンスは、前記他の機械学習システムが前記第2のシーケンスのための第2のクラスデータを生成する、前記第1のシーケンスの摂動されたバージョンであり、前記第1のクラスデータは、前記第2のクラスデータとは異なる、
    請求項1に記載のコンピュータ実装方法。
  6. 前記第1のシーケンスは、センサデータストリームから抽出され、前記第1のシーケンスは、センサデータの複数のフレームを含み、前記第2のシーケンスは、サブシーケンスを含み、前記サブシーケンスは、前記第1のシーケンスの選択されたフレームの反復的な摂動されたバージョンを含み、前記選択されたフレームの前記摂動されたバージョンの1つは、前記他の機械学習システムに前記第2のシーケンスのための前記第2のクラスデータを生成させる、
    請求項5に記載のコンピュータ実装方法。
  7. 前記第1のシーケンスは、センサデータストリームから抽出され、前記第1のシーケンスは、センサデータの複数のフレームを含み、前記第2のシーケンスの各フレームは、前記第2のシーケンスが前記他の機械学習システムに前記第2のシーケンスのための前記第2のクラスデータを生成させるようにそれぞれの摂動により摂動される、
    請求項5に記載のコンピュータ実装方法。
  8. 非一時的コンピュータ可読媒体であって、前記非一時的コンピュータ可読媒体は、プロセッサによって実行されるときに、敵対的攻撃を検出するための機械学習システムをトレーニングし、当該トレーニングされた機械学習システムにより当該敵対的攻撃に対する防御を行うための方法を、前記プロセッサに実施させるためのコンピュータ可読データを含み、
    前記方法は、
    少なくとも第1のシーケンスと第2のシーケンスとを含むシーケンスのコレクションを取得するステップと、
    前記第1のシーケンスが、センサデータの摂動されていないバージョンを含むという第1の予測に基づいて、名目的シーケンスを示す第1のクラスに属するものとして前記第1のシーケンスを分類するステップと、
    前記第2のシーケンスが、センサデータの摂動されたバージョンを含むという第2の予測に基づいて、敵対的シーケンスを示す第2のクラスに属するものとして前記第2のシーケンスを分類するステップと、
    (i)シーケンスの第1のセット内の各シーケンスが名目的シーケンスであるシーケンスのコレクションからのシーケンスの第1のセットに関する前記第1のクラスの誤った分類を含む第1の平均損失と、(ii)シーケンスの第2のセット内の各シーケンスが敵対的シーケンスであるシーケンスのコレクションからのシーケンスの第2のセットに関する第2のクラスの誤った分類を含む第2の平均損失とに基づいて、結合損失データを生成するステップと、
    前記結合損失データに基づいて前記機械学習システムのパラメータを更新するステップと、
    を含み、前記トレーニングされた機械学習システムにより実施される、敵対的攻撃に対する防御のために、前記方法は、さらに、
    他の機械学習システムへの入力シーケンスを取得するステップと、
    前記トレーニングされた機械学習システムを用いて、前記入力シーケンスが、センサデータの複数のフレームの摂動されたバージョンであるという予測に基づいて、前記入力シーケンスを分類するための敵対的ラベルを生成するステップと、
    前記入力シーケンスに基づいて、前記他の機械学習システムによって生成された出力データシーケンスを識別するステップと、
    前記出力データシーケンスに基づく制御データによりアクチュエータシステムが制御されることを防止するために、前記敵対的ラベルに基づいて前記他の機械学習システムからの前記出力データシーケンスをフィルタリングするステップと、
    を含む、
    非一時的コンピュータ可読媒体。
  9. 前記パラメータを更新するステップは、前記第1の平均損失と前記第2の平均損失とを含む重み付け関数の前記結合損失データを最小化する、前記機械学習システムの弁別器記識別モデルのパラメータを決定するステップを含む、
    請求項8に記載の非一時的コンピュータ可読媒体。
  10. 前記機械学習システムは、時間シーケンスを処理するアーキテクチャを備えたディープニューラルネットワークを含む、
    請求項8に記載の非一時的コンピュータ可読媒体。
  11. 前記機械学習システムは、再帰型ニューラルネットワーク、長短期記憶ネットワーク、又は、ゲート付き再帰型ユニットを含む、
    請求項8に記載の非一時的コンピュータ可読媒体。
  12. 前記第1のシーケンスは、前記他の機械学習システムが前記第1のシーケンスのための第1のクラスデータを生成するように生成され、前記第2のシーケンスは、前記他の機械学習システムが前記第2のシーケンスのための第2のクラスデータを生成する、前記第1のシーケンスの摂動されたバージョンであり、前記第1のクラスデータは、前記第2のクラスデータとは異なる、
    請求項8に記載の非一時的コンピュータ可読媒体。
  13. 前記第1のシーケンスは、センサデータストリームから抽出され、前記第1のシーケンスは、センサデータの複数のフレームを含み、前記第2のシーケンスは、サブシーケンスを含み、前記サブシーケンスは、前記第1のシーケンスの選択されたフレームの反復的な摂動されたバージョンを含み、前記選択されたフレームの前記摂動されたバージョンの1つは、前記他の機械学習システムに前記第2のシーケンスのための前記第2のクラスデータを生成させる、
    請求項12に記載の非一時的コンピュータ可読媒体。
  14. 前記第1のシーケンスは、センサデータストリームから抽出され、前記第1のシーケンスは、センサデータの複数のフレームを含み、前記第2のシーケンスの各フレームは、前記第2のシーケンスが前記他の機械学習システムに前記第2のシーケンスのための前記第2のクラスデータを生成させるようにそれぞれの摂動により摂動される、
    請求項12に記載の非一時的コンピュータ可読媒体。
  15. 敵対的攻撃に対する防御のためのコンピュータ実装方法であって、
    第1の機械学習システムへの入力シーケンスを取得するステップと、
    前記入力シーケンスが、センサデータの複数のフレームの摂動されたバージョンであるという予測に基づいて、前記入力シーケンスを分類するための敵対的ラベルを生成するステップと、
    前記入力シーケンスに基づいて、前記第1の機械学習システムによって生成された出力データシーケンスを識別するステップと、
    前記出力データシーケンスに基づく制御データによりアクチュエータシステムが制御されることを防止するために、前記敵対的ラベルに基づいて前記第1の機械学習システムからの前記出力データシーケンスをフィルタリングするステップと、
    を含むコンピュータ実装方法。
  16. 前記第1の機械学習システムへの他の入力シーケンスを取得するステップであって、前記他の入力シーケンスは、センサデータの他の複数のフレームを含む、ステップと、
    前記他の入力シーケンスが摂動データによって摂動されていないという他の予測に基づいて、前記他の入力シーケンスのための非敵対的ラベルを生成するステップと、
    前記他の入力シーケンスに基づいて、前記第1の機械学習システムによって生成された他の出力データシーケンスを取得するステップと、
    前記他の出力データシーケンスに基づいて前記アクチュエータシステムを制御するステップと、
    をさらに含む、
    請求項15に記載のコンピュータ実装方法。
  17. 前記第1の機械学習システムに入力されている前記入力シーケンスを取得するためにスライディングウィンドウを操作するステップをさらに含み、センサデータの前記複数のフレームは、センサデータの選択されたフレームの反復的な摂動されたバージョンを含む、
    請求項15に記載のコンピュータ実装方法。
  18. 前記敵対的ラベルを生成する前記ステップは、第2の機械学習システムによって実行される、
    請求項15に記載のコンピュータ実装方法。
  19. 前記第2の機械学習システムは、シーケンスのセットによりトレーニングされ、前記シーケンスのセットは、名目的シーケンスのセットと敵対的シーケンスのセットとが含まれ、前記敵対的シーケンスのセットは、前記第1の機械学習システムが、前記名目的シーケンスに基づくクラスデータと比較して、前記敵対的シーケンスに基づいて異なるクラスデータを生成するように、前記名目的シーケンスのセットの摂動されたバージョンを含む、
    請求項18に記載のコンピュータ実装方法。
  20. 前記第2の機械学習システムは、再帰型ニューラルネットワーク、長短期記憶ネットワーク、又は、ゲート付き再帰型ユニットを含む、
    請求項18に記載のコンピュータ実装方法。
JP2020207449A 2019-12-16 2020-12-15 敵対的攻撃を検出するためのシステム及び方法 Active JP7759723B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/715,643 2019-12-16
US16/715,643 US11657153B2 (en) 2019-12-16 2019-12-16 System and method for detecting an adversarial attack

Publications (2)

Publication Number Publication Date
JP2021096854A JP2021096854A (ja) 2021-06-24
JP7759723B2 true JP7759723B2 (ja) 2025-10-24

Family

ID=76085754

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020207449A Active JP7759723B2 (ja) 2019-12-16 2020-12-15 敵対的攻撃を検出するためのシステム及び方法

Country Status (4)

Country Link
US (1) US11657153B2 (ja)
JP (1) JP7759723B2 (ja)
CN (1) CN112989328A (ja)
DE (1) DE102020214860B4 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11893111B2 (en) * 2019-11-26 2024-02-06 Harman International Industries, Incorporated Defending machine learning systems from adversarial attacks
JP7359229B2 (ja) * 2020-02-12 2023-10-11 日本電信電話株式会社 検知装置、検知方法および検知プログラム
US12026621B2 (en) * 2020-11-30 2024-07-02 Robert Bosch Gmbh Method and system for low-query black-box universal attacks
US20220309179A1 (en) * 2021-03-24 2022-09-29 International Business Machines Corporation Defending against adversarial queries in a data governance system
US12056236B2 (en) 2021-03-24 2024-08-06 International Business Machines Corporation Defending against adversarial queries in a data governance system
JP6971514B1 (ja) * 2021-07-13 2021-11-24 望 窪田 情報処理装置、情報処理方法及びプログラム
US20230109964A1 (en) * 2021-10-11 2023-04-13 Mitsubishi Electric Research Laboratories, Inc. Method and System for Training a Neural Network for Generating Universal Adversarial Perturbations
US20230281310A1 (en) * 2022-03-01 2023-09-07 Meta Plataforms, Inc. Systems and methods of uncertainty-aware self-supervised-learning for malware and threat detection
CN115146055B (zh) * 2022-04-18 2024-07-23 重庆邮电大学 一种基于对抗训练的文本通用对抗防御方法及系统
US20220335285A1 (en) * 2022-06-29 2022-10-20 Intel Corporation Methods, apparatus, and articles of manufacture to improve performance of an artificial intelligence based model on datasets having different distributions
JP2024099337A (ja) * 2023-01-12 2024-07-25 株式会社東芝 情報学習装置、方法およびプログラム
JP2024101601A (ja) * 2023-01-18 2024-07-30 パナソニックオートモーティブシステムズ株式会社 情報処理システムおよび情報処理方法
US20240303324A1 (en) * 2023-03-10 2024-09-12 Blackberry Limited Method and system for intrusion detection for an in-vehicle infotainment system
CN116701910B (zh) * 2023-06-06 2024-01-05 山东省计算中心(国家超级计算济南中心) 一种基于双特征选择对抗样本生成方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004503011A (ja) 2000-07-05 2004-01-29 アーンスト & ヤング エルエルピー コンピュータサービスを提供するための方法および装置
US20190238568A1 (en) 2018-02-01 2019-08-01 International Business Machines Corporation Identifying Artificial Artifacts in Input Data to Detect Adversarial Attacks

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2909065B1 (en) * 2012-10-17 2020-08-26 Tower-Sec Ltd. A device for detection and prevention of an attack on a vehicle
WO2015113156A1 (en) * 2014-01-30 2015-08-06 Marketwired L.P. Systems and methods for continuous active data security
US10275955B2 (en) 2016-03-25 2019-04-30 Qualcomm Incorporated Methods and systems for utilizing information collected from multiple sensors to protect a vehicle from malware and attacks
US20180005136A1 (en) 2016-07-01 2018-01-04 Yi Gai Machine learning in adversarial environments
US10733294B2 (en) * 2017-09-11 2020-08-04 Intel Corporation Adversarial attack prevention and malware detection system
DK201770681A1 (en) * 2017-09-12 2019-04-03 Itu Business Development A/S A method for (re-) training a machine learning component
US11195120B2 (en) 2018-02-09 2021-12-07 Cisco Technology, Inc. Detecting dataset poisoning attacks independent of a learning algorithm
US11501156B2 (en) * 2018-06-28 2022-11-15 International Business Machines Corporation Detecting adversarial attacks through decoy training
US10726134B2 (en) * 2018-08-14 2020-07-28 Intel Corporation Techniques to detect perturbation attacks with an actor-critic framework
US11481617B2 (en) * 2019-01-22 2022-10-25 Adobe Inc. Generating trained neural networks with increased robustness against adversarial attacks
US11893111B2 (en) * 2019-11-26 2024-02-06 Harman International Industries, Incorporated Defending machine learning systems from adversarial attacks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004503011A (ja) 2000-07-05 2004-01-29 アーンスト & ヤング エルエルピー コンピュータサービスを提供するための方法および装置
US20190238568A1 (en) 2018-02-01 2019-08-01 International Business Machines Corporation Identifying Artificial Artifacts in Input Data to Detect Adversarial Attacks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Adnan Siraj Rakin(外1名),Defense-Net: Defend Against a Wide Range of Adversarial Attacks through Adversarial Detector,2019 IEEE Computer Society Annual Symposium on VLSI(ISVLSI),米国,IEEE,2019年07月15日,p.332-337

Also Published As

Publication number Publication date
US20210182394A1 (en) 2021-06-17
DE102020214860B4 (de) 2026-02-26
DE102020214860A1 (de) 2021-06-17
CN112989328A (zh) 2021-06-18
JP2021096854A (ja) 2021-06-24
US11657153B2 (en) 2023-05-23

Similar Documents

Publication Publication Date Title
JP7759723B2 (ja) 敵対的攻撃を検出するためのシステム及び方法
US11565721B2 (en) Testing a neural network
CN111950581B (zh) 针对多个扰动类型稳健的分类系统、装置和方法
JP7203224B2 (ja) 開放された車両ドアを検出するための分類器のトレーニング
US20210256125A1 (en) Post-Training Detection and Identification of Backdoor-Poisoning Attacks
CN108334081A (zh) 用于对象检测的循环深度卷积神经网络
US20230005122A1 (en) Image forgery detection via pixel-metadata consistency analysis
CN115997218A (zh) 可证明鲁棒的能够解释的机器学习模型的系统
US9842274B2 (en) Extending data-driven detection to the prediction of object part locations
CN113095351A (zh) 借助于初始标记的改善生成经标记的数据的方法
Lee et al. Learning in the wild: When, how, and what to learn for on-device dataset adaptation
Kumar et al. Normalizing flow based feature synthesis for outlier-aware object detection
CN110383291A (zh) 理解基于摄像头数据的机器学习决策的方法
Kim et al. Anomaly monitoring framework in lane detection with a generative adversarial network
US20210125107A1 (en) System and Method with a Robust Deep Generative Model
Usman et al. Rule-based runtime mitigation against poison attacks on neural networks
WO2021214542A1 (en) Tracking vulnerable road users across image frames using fingerprints obtained from image analysis
AU2021107321A4 (en) Crime prediction and prevention using computer vision and deep learning model
US20250118063A1 (en) Automatic issue detection in models
CN113496250A (zh) 用于边缘设备上分布式神经网络的系统和方法
US20250111651A1 (en) System and method with diffusion-based outlier synthesis for anomaly detection
Zhang et al. A distance-based anomaly detection framework for deep reinforcement learning
US20240249184A1 (en) Method for detecting non-problem domain data in a machine learning model
CN116263884A (zh) 用于确定机器学习系统的数据集关于触发事件的覆盖率的方法和装置
Ferreira Runtime safety monitoring of ML-based perception functions in autonomous systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231011

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240807

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250410

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20251006

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251014

R150 Certificate of patent or registration of utility model

Ref document number: 7759723

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150