CN116168210A - 用于神经网络的对抗鲁棒性的特征的选择性剔除 - Google Patents
用于神经网络的对抗鲁棒性的特征的选择性剔除 Download PDFInfo
- Publication number
- CN116168210A CN116168210A CN202211302939.4A CN202211302939A CN116168210A CN 116168210 A CN116168210 A CN 116168210A CN 202211302939 A CN202211302939 A CN 202211302939A CN 116168210 A CN116168210 A CN 116168210A
- Authority
- CN
- China
- Prior art keywords
- neural network
- processor
- vehicle
- computer
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/40—Extraction of image or video features
- G06V10/44—Local feature extraction by analysis of parts of the pattern, e.g. by detecting edges, contours, loops, corners, strokes or intersections; Connectivity analysis, e.g. of connected components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/082—Learning methods modifying the architecture, e.g. adding, deleting or silencing nodes or connections
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/74—Image or video pattern matching; Proximity measures in feature spaces
- G06V10/75—Organisation of the matching processes, e.g. simultaneous or sequential comparisons of image or video features; Coarse-fine approaches, e.g. multi-scale approaches; using context analysis; Selection of dictionaries
- G06V10/751—Comparing pixel values or logical combinations thereof, or feature values having positional relevance, e.g. template matching
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/82—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- Multimedia (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Image Analysis (AREA)
Abstract
一种系统包括计算机,该计算机包括处理器和存储器。存储器包括指令使得处理器被编程为:在神经网络的选择性剔除层处接收多个对抗性图像特征和多个自然图像特征,基于多个对抗性图像特征与多个自然图像特征的比较来选择选择性剔除层内的一个或多个节点以停用,以及停用所选择的一个或多个节点。
Description
技术领域
本公开涉及选择性地剔除神经网络中的一个或多个神经元,以增加针对对抗性攻击的鲁棒性。
背景技术
深度神经网络(DNN)可以用于执行许多图像理解任务,包括分类、分割和加字幕。通常,DNN需要大量的训练图像(数万到数百万)。附加地,出于训练和预测的目的,这些训练图像通常需要被注释,例如被标记。
附加地,传统DNN易受到对抗性攻击的影响。例如,传统DNN可能容易受到对抗性攻击的伤害,其中噪声输入导致DNN行为异常,诸如生成不准确的预测和/或分类。
发明内容
一种系统包括计算机,该计算机包括处理器和存储器。存储器包括指令使得处理器被编程为:在神经网络的选择性剔除层处接收多个对抗性图像特征和多个自然图像特征,基于多个对抗性图像特征与多个自然图像特征的比较来选择选择性剔除层内的一个或多个节点以停用,以及停用所选择的一个或多个节点。
在其他特征中,处理器还被编程为接收灵敏度阈值。
在其他特征中,处理器还被编程为基于比较和灵敏度阈值来选择选择性剔除层内的一个或多个节点以停用。
在其他特征中,处理器还被编程为在所选择的一个或多个节点被停用之后计算损失函数。
在其他特征中,处理器还被编程为基于损失函数来更新神经网络内的一个或多个权重。
在其他特征中,处理器还被编程为基于损失函数通过反向传播来更新神经网络内的一个或多个权重。
在其他特征中,处理器还被编程为经由预训练的神经网络基于提供给经预训练的神经网络的多个对抗性图像来生成多个对抗性图像特征。
在其他特征中,经预训练的神经网络包括经预训练的卷积神经网络。
在其他特征中,经预训练的卷积神经网络包括视觉几何群(VGG)19神经网络。
在其他特征中,神经网络基于多个自然图像来生成多个自然特征。
一种方法,包括在神经网络的选择性剔除层处接收多个对抗性图像特征和多个自然图像特征,基于多个对抗性图像特征与多个自然图像特征的比较来选择选择性剔除层内的一个或多个节点以停用,以及停用所选择的一个或多个节点。
在其他特征中,该方法包括:接收灵敏度阈值。
在其他特征中,该方法包括:基于该比较和灵敏度阈值来选择选择性剔除层内的一个或多个节点以停用。
在其他特征中,该方法包括:在所选择的一个或多个节点被停用之后计算损失函数。
在其他特征中,该方法包括:基于损失函数来更新神经网络内的一个或多个权重。
在其他特征中,该方法包括:基于损失函数通过反向传播来更新神经网络内的一个或多个权重。
在其他特征中,该方法包括:经由经预训练的神经网络基于提供给经预训练的神经网络的多个对抗性图像来生成多个对抗性图像特征。
在其他特征中,经预训练的神经网络包括经预训练的卷积神经网络。
在其他特征中,经预训练的卷积神经网络包括视觉几何群(VGG)19神经网络。
在其他特征中,神经网络基于多个自然图像来生成多个自然特征。
根据本文提供的描述,进一步的应用领域将变得显而易见。应该理解的是,描述和具体示例仅旨在用于说明的目的,并不旨在限制本公开的范围。
附图说明
本文描述的附图仅用于说明目的,并不旨在以任何方式限制本公开的范围。
图1是包括车辆的示例系统的框图;
图2是系统内的示例服务器的框图;
图3是示例计算设备的框图;
图4是示例神经网络的示图;
图5是在选择性剔除层中多个节点已被停用的示例性神经网络的示图;
图6A至图6C是示出用于训练一个或多个神经网络的示例过程的框图;以及
图7是示出了用于训练神经网络以选择性剔除选择性剔除层内的一个或多个节点的示例过程的流程图。
具体实施方式
以下描述本质上仅是示例性的,并不旨在限制本公开、应用或用途。
本公开公开了一种或多种实施方式,该实施方式通过选择性地剔除选择性剔除层内的一个或多个节点来生成具有针对对抗性攻击的改进的鲁棒性的神经网络。选择性剔除层可以包括神经网络中的一个或多个隐藏层。可以基于神经网络的预期用途,例如,对象分类、对象标识等,基于经验分析来选择选择性剔除层。
图1是示例车辆系统100的框图。系统100包括车辆105,其是陆地车辆,诸如汽车、卡车等。车辆105包括计算机110、车辆传感器115、用于致动各种车辆部件125的致动器120和车辆通信模块130。经由网络135,通信模块130允许计算机110与服务器145通信。
计算机110可以以自主、半自主模式或非自主(手动)模式操作车辆105。出于本公开的目的,自主模式被定义为车辆105的推进、制动和转向中的每一个由计算机110控制;在半自主模式下,计算机110控制车辆105的推进、制动和转向中的一个或两个;在非自主模式下,人类操作员控制车辆105的推进、制动和转向中的每一个。
计算机110可以包括编程为操作车辆105的制动、推进(例如,通过控制内燃发动机、电动机、混合动力发动机等中的一个或多个来控制车辆的加速)、转向、气候控制、内部和/或外部灯等中的一个或多个,以及确定计算机110(而不是人类操作员)是否以及何时控制这些操作。附加地,计算机110可以被编程为确定人类操作员是否以及何时控制这些操作。
计算机110可以包括或,例如,经由车辆105的通信模块130(如下文进一步的描述)被通信地耦合到一个以上的处理器(例如,包括在车辆105中包括的电子控制器单元(ECU)等中),以用于监控和/或控制各种车辆部件125,例如,动力系控制器、制动控制器、转向控制器等。进一步,计算机110可以,经由车辆105的通信模块130,与使用全球定位系统(GPS)的导航系统通信。作为示例,计算机110可以请求和接收车辆105的位置数据。位置数据可以是已知的形式,例如地理坐标(纬度和经度坐标)。
计算机110通常被布置用于在车辆105的通信模块130上通信,并且还与车辆105的内部有线和/或无线网络(例如,车辆105中的总线等(诸如控制器局域网(CAN)等))和/或其他有线和/或无线机构通信。
经由车辆105的通信网络,计算机110可以向车辆105中的各种设备传输消息和/或从各种设备(例如,车辆传感器115、致动器120、车辆部件125、人机界面(HMI)等)接收消息。替代地或附加地,在计算机110实际上包括多个设备的情况下,车辆105的通信网络可以用于在本公开中表示为计算机110的设备之间的通信。进一步,如下文所述,各种控制器和/或车辆传感器115可以向计算机110提供数据。车辆105的通信网络可以包括一个或多个网关模块,该一个或多个网关模块在车辆105内的各种网络和设备(诸如协议转换器、阻抗匹配器、速率转换器等)之间提供互操作性。
车辆传感器115可以包括各种设备,诸如已知的向计算机110提供数据的设备。例如,车辆传感器115可以包括设置在车辆105的顶部、车辆105的前挡风玻璃后面、车辆105周围等的光检测和测距(lidar)传感器115等,这些传感器115提供物体的相对位置、尺寸和形状和/或车辆105周围的状况。作为另一示例,固定在车辆105保险杠上的一个或多个雷达传感器115可以提供数据以提供并测距物体(可能包括第二车辆106)相对于车辆105的位置的速度等。车辆传感器115还可以包括(一个或多个)相机传感器115,例如前视相机传感器、侧视相机传感器、后视相机传感器等,从而提供来自车辆105内部和/或外部的视场的图像。
车辆105的致动器120经由电路、芯片、电机或可以根据已知的适当控制信号来致动各种车辆子系统的其他电子和/或机械部件来实施。致动器120可以用于控制部件125,包括车辆105的制动、加速和转向。
在本公开的上下文中,车辆部件125是一个或多个硬件部件,适于执行机械或机电功能或操作,诸如,移动车辆105、减慢或停止车辆105、转向车辆105等。部件125的非限制性示例包括推进部件(其包括例如内燃发动机和/或电动机等)、传动部件、转向部件(例如,其可以包括方向盘、转向架等中的一个或多个)、制动部件(如下所述)、停车辅助部件、自适应巡航控制部件、自适应转向部件、可移动座椅等。
此外,计算机110可以被配置用于经由车辆到车辆通信模块或接口130与车辆105外部的设备进行通信,例如,通过车辆到车辆(V2V)或车辆到基础设施(V2X)无线通信到另一车辆、到(通常经由网络135)远程服务器145。模块130可以包括计算机110可以通过其进行通信的一个或多个机构,包括任何所需的无线(例如,蜂窝、无线、卫星、微波和射频)通信机构的组合和任何所需的网络拓扑(或者当使用多个通信机构时的拓扑)。经由模块130提供的示例性通信包括蜂窝、蓝牙、IEEE 802.11、专用短程通信(DSRC)和/或广域网(WAN),包括提供数据通信服务的互联网。
网络135可以是各种有线或无线通信机构中的一种或多种,包括任何所需的有线(例如,电缆和光纤)和/或无线(例如,蜂窝、无线、卫星、微波和射频)通信机构的组合和任何所需的网络拓扑(或当使用多个通信机构时的拓扑)。示例性通信网络包括提供数据通信服务的无线通信网络(例如,使用蓝牙、蓝牙低功耗(BLE)、IEEE 802.11、诸如专用短程通信(DSRC)的车辆到车辆(V2V)等)、局域网(LAN)和/或广域网(WAN)(包括互联网)。
计算机110可以基本上连续地、周期性地和/或在服务器145的指示下接收和分析来自传感器115的数据。进一步,可以在例如计算机110中基于lidar传感器115、相机传感器115等数据来使用对象分类或标识技术,以标识对象的类型(例如,车辆、人、岩石、坑洞、自行车、摩托车等)以及对象的物理特征。
图2示出了包括选择性剔除神经网络训练系统205的示例服务器145。如图所示,选择性剔除神经网络训练系统205可以包括神经网络模块210、选择性剔除模块215和存储模块220。
如刚所提及的,选择性剔除神经网络训练系统205可以包括神经网络模块210。特别地,神经网络模块210可以管理、维护、训练、实施、利用或与一个或多个神经网络通信。例如,神经网络模块210可以与存储模块220通信以访问存储在数据库225内的神经网络,例如神经网络400。此外,选择性剔除神经网络训练系统205可以与选择性剔除模块215通信,以训练和实施神经网络来对数字图像进行分类或为其他可能的域生成预测。
如本文所述,选择性剔除模块215可以基于选择性剔除例程来训练和实施神经网络。例如,选择性剔除模块215可以与神经网络模块210和存储模块220通信,以访问存储在数据库225中的神经网络。此外,选择性剔除模块215可以确定与神经网络内的多个神经元的分类标签相关联的梯度损失。
图3示出了可以被配置成执行本文描述的过程中的一个或多个的示例计算设备300,即计算机110和/或(一个或多个)服务器145。如图所示,计算设备可以包括处理器305、存储器310、存储设备315、I/O接口320和通信接口325。另外,计算设备300可以包括输入设备,诸如触摸屏、鼠标、键盘等。在某些实施方式中,计算设备300可以包括比图3中示出的部件更少或更多的部件。
在特定实施方式中,(一个或多个)处理器305包括用于执行指令(诸如构成计算机程序的指令)的硬件。作为示例而非限制,为了执行指令,(一个或多个)处理器305可以从内部寄存器、内部高速缓存、存储器310或存储设备315中检索(或获取)指令,并解码和执行指令。
计算设备300包括耦合到(一个或多个)处理器305的存储器310。存储器310可以用于存储数据、元数据和程序以便由(一个或多个)处理器执行。存储器310可以包括易失性和非易失性存储器中的一个或多个,诸如随机存取存储器(“RAM”)、只读存储器(“ROM”)、固态盘(“SSD”)、闪存、相变存储器(“PCM”)或其他类型的数据存储装置。存储器310可以是内部或分布式存储器。
计算设备300包括存储设备315,该存储设备315包括用于存储数据或指令的存储装置。作为示例而非限制,存储设备315可以包括上述所述的非暂时性存储介质。存储设备315可以包括硬盘驱动器(HDD)、闪存、通用串行总线(USB)驱动器或这些或其他存储设备的组合。
计算设备300还包括一个或多个输入或输出(“I/O”)设备/接口320,这些I/O设备/接口320被提供来允许用户向计算设备300提供输入(诸如用户笔划)、从计算设备300接收输出、以及以其他方式向计算设备300和从计算设备300传送数据。这些I/O设备/接口320可以包括鼠标、小键盘或键盘、触摸屏、照相机、光学扫描仪、网络接口、调制解调器、其他已知的I/O设备或这些I/O设备/接口320的组合。可以利用书写设备或手指激活触摸屏。
I/O设备/接口320可以包括用于向用户呈现输出的一个或多个设备,包括但不限于图形引擎、显示器(例如,显示屏)、一个或多个输出驱动器(例如,显示驱动器)、一个或多个音频扬声器以及一个或多个音频驱动器。在某些实施方式中,设备/接口320被配置成向显示器提供图形数据以呈现给用户。图形数据可以代表一个或多个图形用户界面和/或可以服务于特定实施方式的任何其他图形内容。
计算设备300还可以包括通信接口325。通信接口325可以包括硬件、软件或两者。通信接口325可以提供一个或多个接口,用于计算设备和一个或多个其他计算设备300或一个或多个网络之间的通信(诸如,例如基于数据包的通信)。作为示例而非限制,通信接口325可以包括用于与以太网或其他有线网络通信的网络接口控制器(NIC)或网络适配器、或者用于与诸如WI-FI的无线网络通信的无线NIC(WNIC)或无线适配器。计算设备300还可以包括总线330。总线330可以包括将计算设备300的部件相互耦合的硬件、软件或两者。
图4是可以在本文中使用的示例深度神经网络(DNN)400的示图。DNN 400包括多个节点405,并且节点405被布置成使得DNN 400包括输入层410、一个或多个隐藏层415和输出层420。DNN 400的每一层可以包括多个节点405。虽然图4示出了三(3)个隐藏层415,但是应当理解的是,DNN 400可以包括附加的或更少的隐藏层。输入和输出层410、420也可以包括多于一(1)个节点405。如图所示,隐藏层415中的一个包括选择性剔除层425。选择性剔除层425包括其中一个或多个节点405被停用的隐藏层。如下文更详细的描述,基于对一个或多个节点405的干扰超过预定干扰阈值的对抗性图像特征来停用一个或多个节点405。可以根据DNN 400的使用,即对象分类、对象标识等,通过经验分析来确定预定义的干扰阈值。
节点405有时被称为人工神经元,因为它们被设计成模拟生物神经元,例如人类神经元。每个节点405的一组输入(由箭头表示)各自乘以相应的权重。然后,加权输入可以在输入函数中求和,以提供(可能通过偏差调节)净输入。然后,净输入可以被提供给激活函数,该激活函数又向所连接的节点405提供输出。激活函数可以是各种合适的函数,通常基于经验分析来选择。如图4中的箭头所示,节点405的输出然后可以被提供用于包含在到下一层中的一个或多个神经元305的一组输入中。
DNN 400可以被训练成接受数据作为输入,并基于该输入生成输出。在一个示例中,DNN400可以利用地面真实数据(即,关于真实世界状况或状态的数据)进行训练。例如,DNN 400可以由处理器利用地面真实数据训练或利用附加数据进行更新。例如,可以通过使用高斯分布来初始化权重,并且可以将每个节点405的偏差设置为零。训练DNN 400可以包括通过合适的技术(诸如具有优化的反向传播)来更新权重和偏差。地面真实数据可以包括但不限于指定图像内的对象的数据或指定物理参数的数据,例如,角度、速度、距离、颜色、色调或对象相对于另一对象的角度。例如,地面真实数据可以是表示对象和对象标签的数据。
机器学习服务(诸如基于递归神经网络(RNN)、卷积神经网络(CNN)、长短期记忆(LSTM)神经网络或门控递归单元(GRU)的服务)可以使用本公开中描述的DNN 400来实施。在一个示例中,与服务相关的内容或其他信息(诸如单词、句子、图像、视频或其他此类内容/信息)可以被转换成矢量表示。
图5示出了示例DNN 400,其中多个节点405由于对抗性图像特征对节点405的干扰超过了预定义的干扰阈值而被选择性地停用或剔除。
图6A至图6C示出了根据本公开的一个或多个实施方式的用于选择性地剔除DNN400内的一个或多个节点405的示例过程。如图6A所示,经预训练的DNN 400-1接收一组对抗性图像605,并生成对抗性图像特征610。例如,对抗性图像605可以包括交通标志的数字图像和导致典型的神经网络对图像内描绘的对象进行错误分类的噪声输入,即干扰。预训练的DNN 400-1被训练以生成包括由神经网络用来生成预测的潜在或隐藏特征的对抗性图像特征610。预训练的DNN 400-1可以经由前向传播来生成对抗性图像特征610。在各种实施方式中,经预训练的DNN 400-1可以包括经预训练的卷积神经网络,诸如视觉几何群(VGG)19神经网络等。
参考图6B,在DNN 400-2的训练阶段期间,DNN 400-2接收一组自然图像615并生成自然图像特征620。如图所示,DNN 400-2包括选择性剔除层425。自然图像615可以包括未被干扰的对象的数字图像。换句话说,自然图像包括源自真实世界分布的图像。自然图像特征620可以包括由神经网络用来生成预测的潜在或隐藏的特征。
参考图6C,对抗性图像特征610、自然图像特征620、灵敏度阈值625和剔除概率630被提供给选择性剔除层425。灵敏度阈值625和剔除概率630可以包括小于一(1)的正实数。灵敏度阈值625和剔除概率630可以根据DNN 400-2的期望用途通过经验分析来确定。
应当理解的是,结果特征610、620包括d维向量,其中d是大于一(1)的实数。在各种实施方式中,选择性剔除模块215可以逐点比较对抗性图像特征610和自然图像特征620,以获得比较的d维向量,其中d是大于一(1)的实数。d维向量的每个元素包括零(0)和一(1)之间的实数。
选择性剔除模块215可以基于特征610、620比较来自选择性剔除层425的输出。例如,选择性剔除模块215基于由选择性剔除层425生成的预测输出与地面实况来确定损失。
选择性剔除模块215还可以通过绝对差、外积、归一化相关等方式来比较特征610、620。选择性剔除模块215然后通过将d维向量的每个元素的结果值与灵敏度阈值625进行比较,来确定要选择性剔除(例如,停用)的一个或多个节点405。例如,对应于被选择用于剔除的元素的节点405被设置为零(0)。选择性剔除模块215可以根据剔除概率选择性地剔除节点405。结果矢量(即元素被设置为零(0)后的矢量)可以被重新缩放以调节矢量的期望值。选择性剔除模块215然后返回经调节的特征矢量。然后,经调节的特征矢量通过DNN 400-2的后续层,即在选择性剔除层425之后的层进行向前传播。选择性剔除模块215然后可以计算损失函数。然后,DNN 400-2的一个或多个权重可以技术进行更新,诸如基于所计算的损失函数的优化的反向传播。
所描述的过程可以发生多次。例如,该过程可以继续,直到达到期望的精度或者达到期望的损失收敛为止。所得到的经训练的DNN 400-2可以通过停用可能更容易受到对抗性特征影响的节点405,形成对抗性攻击更具鲁棒性的神经网络。
一旦经过训练,DNN 400-2可以被提供给车辆105。计算机110可以使用DNN 400-2,利用由传感器115捕获的图像进行对象分类和/或对象标识。基于对象分类和/或对象标识,计算机110可以基于一个或多个车辆操作协议操作车辆,即,从自主操作模式过渡到半自主操作模式、修改车辆速度和/或车辆方向等。
图7是用于根据本文描述的技术来训练诸如DNN 400-2的DNN 400的示例过程700的流程图。过程700的框可以由服务器145执行。过程700开始于框705,其中生成对抗性图像特征610。如上所讨论的,经预训练的DNN 400-1基于提供给DNN 400-1的一个或多个对抗性图像605(诸如一批对抗性图像)来生成一个或多个对抗性图像特征610。
在框710,自然图像特征620由DNN 400-2生成。例如,DNN 400-2基于提供给DNN400-2的一个或多个自然图像615(诸如一批自然图像)来生成一个或多个自然图像特征620。在框715,如上面参考图6C所讨论的,基于对抗性图像特征610和自然图像特征620的比较来选择性地停用DNN 400-2的一个或多个节点405。在框720,在节点405被停用之后,DNN400-2的一个或多个权重被更新。例如,DNN 400-2的一个或多个权重可以基于所计算的损失函数来确定,该损失函数考虑了与地面实况相比的多个分类标签。
在框725,确定是否已经达到精度阈值或损失收敛。如果既没有达到精度阈值也没有达到损失收敛,则过程700返回到框705。否则,过程700结束。
本公开的描述本质上仅仅是示例性的,并且不脱离本公开的主旨的变型旨在处于本公开的范围内。这种变化不应被视为背离了本公开的精神和范围。
一般而言,所描述的计算系统和/或设备可以采用多种计算机操作系统中的任何一种,包括但绝不限于微软汽车操作系统、微软Windows操作系统、Unix操作系统(例如,由加利福尼亚州Redwood Shores的Oracle公司分发的Solaris操作系统)、由纽约Armonk的International Business Machines公司分发的AIX UNIX操作系统、Linux操作系统、由加利福尼亚州库比蒂诺的Apple公司分发的Mac OSX和iOS操作系统、由加拿大滑铁卢的Blackberry公司分发的BlackBerry OS、以及由Google公司和开放手机联盟开发的Android操作系统、或者由QNX Software Systems公司提供的用于信息娱乐的
CAR平台的版本和变型。计算设备的示例包括但不限于车载计算机、计算机工作站、服务器、台式计算机、笔记本电脑、膝上型计算机或手持式计算机、或者一些其他计算系统和/或设备。
计算机和计算设备通常包括计算机可执行指令,其中这些指令可以由一个或多个计算设备执行,诸如上面列出的计算设备。计算机可执行指令可以由使用各种编程语言和/或技术创建的计算机程序编译或解释,包括但不限于(单独地或以组合的方式)JavaTM、C、C++、Matlab、Simulink、Stateflow、Visual Basic、Java Script、Perl、HTML等。这些应用中的一些可以在虚拟机上编译和执行,诸如Java虚拟机、Dalvik虚拟机等。一般而言,处理器(例如,微处理器)例如从存储器、计算机可读介质等接收指令,并执行这些指令,从而执行一个或多个过程,包括本文描述的过程中的一个或多个。这些指令和其他数据可以使用各种计算机可读介质来存储和传输。计算设备中的文件通常是指存储在计算机可读介质(例如存储介质、随机存取存储器等)上的数据的集合。
存储器可以包括计算机可读介质(其也称为处理器可读介质),包括任何参与提供可由计算机(例如,由计算机的处理器)读取的数据(例如,指令)的非暂时性(例如,有形)介质。这种介质可以采取多种形式,包括但不限于非易失性介质和易失性介质。非易失性介质可以包括例如光盘或磁盘以及其他永久性存储器。易失性介质可以包括,例如,通常构成主存储器的动态随机存取存储器(DRAM)。这种指令可以通过一种或多种传输介质传输,包括同轴电缆、铜线和光纤,包括包含耦接到ECU的处理器的系统总线的电线。计算机可读介质的常见形式包括,例如,软盘(Floppy Disk)、软盘(Flexible Disk)、硬盘、磁带、任何其他磁介质、CD ROM、DVD、任何其他光学介质、穿孔卡、纸带、任何其他具有孔图案的物理介质、RAM、PROM、EPROM、闪速EEPROM、任何其他存储芯片或盒式磁带、或任何其他计算机可以读取的介质。
本文描述的数据库、数据储存库或其他数据存储可以包括用于存储、访问和检索各种数据的各种机构,包括分层数据库、文件系统中的文件集、呈专有格式的应用数据库、关系数据库管理系统(RDBMS)等。每个这样的数据存储通常都包括在采用计算机操作系统的计算设备(如上述所提及的)内,并且通过网络以各种方式中的任何一种或多种来访问。文件系统可以从计算机操作系统中访问,并且可以包括以各种格式存储的文件。除了用于创建、存储、编辑和执行所存储的过程的语言之外,RDBMS通常还使用结构化查询语言(SQL),诸如上述提及的PL/SQL语言。
在一些示例中,系统元件可以作为计算机可读指令(例如,软件)在一个或多个计算设备(例如,服务器、个人计算机等)上实现,并存储在与其相关联的计算机可读介质(例如,磁盘、存储器等)上。计算机程序产品可以包括存储在计算机可读介质上的、用于执行本文描述的功能的此类指令。
在本申请中,包括下面的定义,术语“模块”或术语“控制器”可以用术语“电路”代替。术语“模块”可以指以下内容或是其一部分、或者包括以下内容:专用集成电路(ASIC);数字、模拟或混合模拟/数字分立电路;数字、模拟或混合模拟/数字集成电路;组合逻辑电路;现场可编程门阵列(FPGA);执行代码的处理器电路(共享处理器电路、专用处理器电路或处理器电路群组);存储由处理器电路执行的代码的存储器电路(共享存储器电路、专用存储器电路或存储器电路群组);提供所述功能的其他合适的硬件部件;或者上述的一些或全部的组合,诸如在片上系统中。
该模块可以包括一个或多个接口电路。在一些示例中,接口电路可以包括连接到局域网(LAN)、互联网、广域网(WAN)或其组合的有线或无线接口。本公开的任何给定模块的功能可以分布在经由接口电路连接的多个模块之间。例如,多个模块可以允许负载平衡。在另一示例中,服务器(也称为远程或云)模块可以代表客户端模块完成一些功能。
关于本文描述的介质、过程、系统、方法、启发等,应该理解的是,尽管这些过程的步骤等已经被描述为按照一定的顺序发生,但是这些过程可以按照本文所描述的顺序以外的顺序执行的所描述的步骤来实践。还应该理解的是,可以同时执行某些步骤,可以添加其他步骤,或者可以省略本文描述的某些步骤。换句话说,本文中的过程描述是为了说明某些实施方式的目的而提供的,并且不应该以任何方式被解释为限制权利要求。
因此,应该理解的是,上文描述旨在示例性而非限制性。通过阅读以上描述,除了所提供的示例之外的许多实施方式和应用对于本领域技术人员来说将是显而易见的。本发明的范围不应参照上述描述来确定,而应替代地参照所附权利要求以及这些权利要求的等同物的全部范围来确定。预期并打算在本文中讨论的领域中将出现未来的发展,并且所公开的系统和方法将被并入到这样的未来实施方式中。总之,应该理解的是,本发明能够进行修改和变化,并且仅由所附权利要求来限定。
除非在本文中做出相反的明确指示,否则权利要求中使用的所有术语旨在给出本领域技术人员所理解的简单和普通的含义。特别地,除非权利要求叙述了相反的明确限制,否则例如“一个”、“该”、“所述”等单数冠词的使用应该被理解为叙述所指示的元件中的一个或多个。
Claims (10)
1.一种包括计算机的系统,所述计算机包括处理器和存储器,所述存储器包括指令使得所述处理器被编程为:
在神经网络的选择性剔除层接收多个对抗性图像特征和多个自然图像特征;
基于所述多个对抗性图像特征与所述多个自然图像特征的比较来选择所述选择性剔除层内的一个或多个节点以停用;以及
停用所选择的一个或多个节点。
2.根据权利要求1所述的系统,其中,所述处理器还被编程为接收灵敏度阈值。
3.根据权利要求2所述的系统,其中,所述处理器还被编程为基于所述比较和所述灵敏度阈值来选择所述选择性剔除层内的一个或多个节点以停用。
4.根据权利要求1所述的系统,其中,所述处理器还被编程为在所选择的一个或多个节点被停用之后计算损失函数。
5.根据权利要求4所述的系统,其中,所述处理器还被编程为基于所述损失函数更新所述神经网络内的一个或多个权重。
6.根据权利要求5所述的系统,其中,所述处理器还被编程为基于所述损失函数通过反向传播来更新所述神经网络内的一个或多个权重。
7.根据权利要求1所述的系统,其中,所述处理器还被编程为经由预训练的神经网络基于提供给所述预训练的神经网络的多个对抗图像来生成所述多个对抗性图像特征。
8.根据权利要求7所述的系统,其中,所述经预训练的神经网络包括经预训练的卷积神经网络。
9.根据权利要求8所述的系统,其中,所述预训练的神经网络包括视觉几何群VGG19神经网络。
10.根据权利要求1所述的系统,其中,所述神经网络基于多个自然图像来生成所述多个自然特征。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/535,129 | 2021-11-24 | ||
| US17/535,129 US20230162039A1 (en) | 2021-11-24 | 2021-11-24 | Selective dropout of features for adversarial robustness of neural network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116168210A true CN116168210A (zh) | 2023-05-26 |
Family
ID=86227204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211302939.4A Pending CN116168210A (zh) | 2021-11-24 | 2022-10-24 | 用于神经网络的对抗鲁棒性的特征的选择性剔除 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230162039A1 (zh) |
| CN (1) | CN116168210A (zh) |
| DE (1) | DE102022123257A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11891195B2 (en) * | 2020-07-29 | 2024-02-06 | The Boeing Company | Mitigating damage to multi-layer networks |
-
2021
- 2021-11-24 US US17/535,129 patent/US20230162039A1/en active Pending
-
2022
- 2022-09-13 DE DE102022123257.3A patent/DE102022123257A1/de active Pending
- 2022-10-24 CN CN202211302939.4A patent/CN116168210A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230162039A1 (en) | 2023-05-25 |
| DE102022123257A1 (de) | 2023-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112438729A (zh) | 驾驶员警觉性检测系统 | |
| US11100372B2 (en) | Training deep neural networks with synthetic images | |
| CN116136963A (zh) | 自适应地修剪神经网络系统 | |
| CN113298250A (zh) | 用于定位和对象检测的神经网络 | |
| CN114119625A (zh) | 点云数据的分割与分类 | |
| CN116168210A (zh) | 用于神经网络的对抗鲁棒性的特征的选择性剔除 | |
| US11657635B2 (en) | Measuring confidence in deep neural networks | |
| US20230192118A1 (en) | Automated driving system with desired level of driving aggressiveness | |
| US20230162480A1 (en) | Frequency-based feature constraint for a neural network | |
| US20220188621A1 (en) | Generative domain adaptation in a neural network | |
| US11620475B2 (en) | Domain translation network for performing image translation | |
| US10977783B1 (en) | Quantifying photorealism in simulated data with GANs | |
| US20230316728A1 (en) | Robust neural network learning system | |
| CN112700001A (zh) | 用于深度强化学习的认证对抗鲁棒性 | |
| US20230139521A1 (en) | Neural network validation system | |
| US20240046627A1 (en) | Computationally efficient unsupervised dnn pretraining | |
| US11321587B2 (en) | Domain generation via learned partial domain translations | |
| US11068749B1 (en) | RCCC to RGB domain translation with deep neural networks | |
| US11462020B2 (en) | Temporal CNN rear impact alert system | |
| US20230376832A1 (en) | Calibrating parameters within a virtual environment using reinforcement learning | |
| US11977715B2 (en) | Vehicle display | |
| CN117095266A (zh) | 神经网络中的生成域自适应 | |
| CN114581865A (zh) | 深度神经网络中的置信度测量 | |
| CN117115625A (zh) | 未见环境分类 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |