JP2023513109A - 二値画像認識システムへのサイバー攻撃の検出及び軽減 - Google Patents

二値画像認識システムへのサイバー攻撃の検出及び軽減 Download PDF

Info

Publication number
JP2023513109A
JP2023513109A JP2022547100A JP2022547100A JP2023513109A JP 2023513109 A JP2023513109 A JP 2023513109A JP 2022547100 A JP2022547100 A JP 2022547100A JP 2022547100 A JP2022547100 A JP 2022547100A JP 2023513109 A JP2023513109 A JP 2023513109A
Authority
JP
Japan
Prior art keywords
image data
binary image
computer
recognition system
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022547100A
Other languages
English (en)
Inventor
バルカンスキー,エリック
チェイス,ハリソン
行人 大柴
リリー,アレクサンダー
シンガー,ヤロン
ワン,リチャード
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robust Intelligence Inc
Original Assignee
Robust Intelligence Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robust Intelligence Inc filed Critical Robust Intelligence Inc
Publication of JP2023513109A publication Critical patent/JP2023513109A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/40Document-oriented image-based pattern recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/74Image or video pattern matching; Proximity measures in feature spaces
    • G06V10/761Proximity, similarity or dissimilarity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V20/00Scenes; Scene-specific elements
    • G06V20/95Pattern authentication; Markers therefor; Forgery detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/10Character recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/10Character recognition
    • G06V30/20Combination of acquisition, preprocessing or recognition functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Multimedia (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Medical Informatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Image Analysis (AREA)
  • Image Processing (AREA)
  • Character Discrimination (AREA)
  • Closed-Circuit Television Systems (AREA)

Abstract

コンピュータ実行方法は、コンピュータシステムにより二値画像データを受信するステップであって、前記コンピュータシステムは前記二値画像データ内の画素値を検出し前記二値画像データに関連する非機械語値を提示するように構成される、ステップと、画像認識システムによって読まれた時に前記二値画像データに関連する前記非機械語値を変えるように変更された少なくとも1つの画素値を前記二値画像データが更に含むと前記コンピュータシステムにより判断するステップと、前記コンピュータシステムにより前記画像認識システムに前記二値画像データを見直すよう警告するステップとを含む。

Description

関連出願
本出願は、2020年2月6日に出願された米国仮特許出願第62/971021号に関連しそれに対する優先権を主張する。その仮特許出願の開示全体を全ての目的のために本明細書に引用する。
本開示は、撮像システムへのサイバー攻撃に関連する画像内の攻撃されうるパラメータの検出及び特定の最適化に概ね関するがこれに限られない。
近年、人工知能(AI)システムの脆弱性を理解することに非常に大きな関心が払われてきた。例えば、画像分類モデルへの攻撃は、AIシステムが対処する必要がある幾つかの弱点を実証してきた。このような攻撃は、人の目には実質的に感知できないやり方で画像を歪め、従来の画像分類システムにこれらの画像を誤分類させる。実際、これらの脆弱性は重大な被害、例えば広範な金融詐欺をもたらしうる。
カラー画像及びグレースケール画像のためのAI分類モデルを安全にするのに多大な労力が払われて来たが、二値画像のためのモデル、特に小切手走査のためのモデルへの攻撃についてほとんど知られていない。攻撃について知識なしでは、攻撃を防ぐためにすることは多くない。例として、なりすまし攻撃は、悪意のある者がネットワークホストに対する攻撃を仕掛ける、データを盗む、アクセス制御を迂回するなどのためにネットワーク上の別の装置又はユーザのふりをすることである。一般に、なりすまし攻撃は人の目には感知できないやり方で画像を歪め、従来のモデルにこれらの画像を誤分類させる。カラー画像及びグレースケール画像の画像分類モデルへのなりすまし攻撃は、各画素の色値に小さい乱れを生じさせることで、歪められた画像内にノイズを隠すことに依拠する。これらの既知の脆弱性の故に、従来の方法をそれらの攻撃を防ぐために使用できる。
カラー画像及びグレースケール画像への攻撃と異なり、二値画像への攻撃のサーチ空間は極端に制限され、各画素の小さい乱れでノイズを隠すことが出来ない。二値画像の各画素は黒又は白でありうるだけなので、二値画像への攻撃の最適化は新しい根本的な課題をなりすまし攻撃に課する。
カラー画像及びグレースケール画像への攻撃を微調整して二値画像に働くようにすることは可能でない。上述したように、グレースケール画像及びカラー画像の場合、攻撃を生成する時、小さい乱れを各個々の画素に作りうる(どんな変更をする必要があるかを評価し、変更を人の目には感知できない変更に限定するために)。これらの小さい乱れはおよそ1/255~10/255の大きさである。二値画像の場合、これらの小さい乱れを画素に作ることが出来ない。画素は黒か白(例えば、1又は0)であるので、どんな変更もちょうど1の変更である。これはカラー画像及びグレースケール画像を攻撃するための乱れより1桁大きく、二値画像への攻撃に転用できない。従って、二値画像への攻撃はより困難で、この問題はほとんど研究されていない。しかし、研究の欠如が、この領域の画像認識を、弱点をつく攻撃から守ることはない。従来のAIシステムは知らないものを検出できない。
上記を考慮すると、二値画像認識システムへのサイバー攻撃の検出及び軽減のための改善されたシステム及び方法が、従来のサイバー攻撃検出モデルの上記障害及び欠陥を克服するために必要とされる。
本開示は二値画像分類のためのモデルの脆弱性を検出するためのシステム及び方法に関する。
本書に開示された第1態様によれば、二値画像分類のためのモデルの脆弱性を検出するためのコンピュータ実行方法が明らかにされる。この方法は、
コンピュータシステムにより二値画像データを受信するステップであって、前記コンピュータシステムは前記二値画像データ内の画素値を検出し前記二値画像データに関連する非機械語値を提示するように構成される、ステップと、
画像認識システムによって読まれた時に前記二値画像データに関連する前記非機械語値を変えるように変更された少なくとも1つの画素値を前記二値画像データが更に含むと前記コンピュータシステムにより判断するステップと、
前記コンピュータシステムにより前記画像認識システムに前記二値画像データを見直すよう警告するステップと
を含む。
幾つかの実施形態では、前記二値画像データが変更された画素値を含むと判断する前記ステップは、前記画像認識システムの第1人工知能モデル及び第2人工知能モデルが同時に攻撃されたと判断することを含む。
幾つかの実施形態では、前記画像認識システムの前記第1人工知能モデルは前記二値画像データの数字で書かれた数値額を表す部分を分類し、前記画像認識システムの前記第2人工知能モデルは前記二値画像データの文字で書かれた前記数値額を表す第2部分を分類する。
幾つかの実施形態では、前記2つのモデルが同時に攻撃されたと判断する前記ステップは、認識システムへの陰影付き組み合わせ攻撃を使用する非標的型攻撃が前記2つのモデルのうち少なくとも1つに使用されたと判断することを含む。
幾つかの実施形態では、本方法は認識システムへの陰影付き組み合わせ攻撃の標的型バージョンが2回実行され両方のモデルを攻撃したか否かを判断するステップを更に含む。
本書に開示された別の態様によれば、命令群を記憶する1つ以上の持続性コンピュータ読取可能媒体が明らかにされる。前記命令群は二進数を見直すように構成されたコンピュータシステムにより実行された時、前記コンピュータシステムに少なくとも
前記コンピュータシステムにより二値画像データを受信するステップであって、前記コンピュータシステムは前記二値画像データ内の画素値を検出し前記二値画像データに関連する非機械語値を提示するように構成される、ステップと、
画像認識システムによって読まれた時に前記二値画像データに関連する前記非機械語値を変えるように変更された少なくとも1つの画素値を前記二値画像データが更に含むと前記コンピュータシステムにより判断するステップと、
前記コンピュータシステムにより前記画像認識システムに前記二値画像データを見直すよう警告するステップと
を実行させる。
幾つかの実施形態では、前記二値画像データが変更された画素値を含むと判断する前記ステップは、前記画像認識システムの第1人工知能モデル及び第2人工知能モデルが同時に攻撃されたと判断することを含む。
幾つかの実施形態では、前記画像認識システムの前記第1人工知能モデルは前記二値画像データの数字で書かれた数値額を表す部分を分類し、前記画像認識システムの前記第2人工知能モデルは前記二値画像データの文字で書かれた前記数値額を表す第2部分を分類する。
幾つかの実施形態では、前記2つのモデルが同時に攻撃されたと判断する前記ステップは、認識システムへの陰影付き組み合わせ攻撃を使用する非標的型攻撃が前記2つのモデルのうち少なくとも1つに使用されたと判断することを含み、前記方法は認識システムへの陰影付き組み合わせ攻撃の標的型バージョンが2回実行され両方のモデルを攻撃したか否かを判断するステップを随意に更に含む。
幾つかの実施形態では、前記二値画像データは英数字列又は小切手のうち少なくとも1つであり、前記画像認識システムは随意に光学式文字認識システムである。
本書に開示された別の態様によれば、二値画像分類のためのモデルの脆弱性を判断するためのコンピュータ実行方法が明らかにされる。この方法は、
コンピュータシステムにより二値画像データを受信するステップであって、前記コンピュータシステムは前記二値画像データ内の複数の画素値の組みをテストし画像認識システムにおける前記二値画像データに関連する非機械語値を提示するように構成される、ステップと、
前記画像認識システムによって読まれた時に前記二値画像データに関連する前記非機械語値を変えるように変更された少なくとも1つの画素値を前記二値画像データが更に含むと前記コンピュータシステムにより判断するステップと、
前記コンピュータシステムにより前記画像認識システムがなりすまし攻撃に脆弱であると警告するステップと
を含み、前記二値画像データは任意選択で英数字列又は小切手である。
幾つかの実施形態では、前記二値画像データが変更された画素値を含むと判断する前記ステップは、前記画像認識システムの第1人工知能モデル及び第2人工知能モデルが同時に攻撃されたと判断することを含む。
幾つかの実施形態では、前記画像認識システムの前記第1人工知能モデルは前記二値画像データの数字で書かれた数値額を表す部分を分類し、前記画像認識システムの前記第2人工知能モデルは前記二値画像データの文字で書かれた前記数値額を表す第2部分を分類する。
幾つかの実施形態では、前記2つのモデルが同時に攻撃されたと判断する前記ステップは、認識システムへの陰影付き組み合わせ攻撃を使用する非標的型攻撃が前記2つのモデルのうち少なくとも1つに使用されたと判断することを含む。
幾つかの実施形態では、この方法は認識システムへの陰影付き組み合わせ攻撃の標的型バージョンが2回実行され両方のモデルを攻撃したか否かを判断するステップを更に含む。
二値画像認識システムへのサイバー攻撃を軽減するためのモデル機密保護システムの実施形態を示す代表的な最上位図である。 図1のモデル機密保護システムを使用する二値画像認識システムのAIモデルを安全に配備するための方法の代表的な実施形態を示すフローチャートである。 1つの実施形態に係る図1の二値画像認識システムで検出されうる画像認識処理への代表的な攻撃を示す。 1つの実施形態に係る図1のモデル機密保護システムで検出されうる代表的な小切手なりすまし攻撃を示す。 1つの実施形態に係る図1のモデル機密保護システムで軽減されうる代表的な小切手提出プロセスを示す。 1つの実施形態に係る図1のモデル機密保護システムで軽減されうる数字への代表的ななりすまし攻撃を示す。 別の実施形態に係る図1のモデル機密保護システムで軽減されうる文字への代表的ななりすまし攻撃を示す。 1つの実施形態に係る図1のモデル機密保護システムで軽減されうる手書き数字への代表的ななりすまし攻撃を示す。 1つの実施形態に係る図1のモデル機密保護システムで軽減されうるタイプされた単語への代表的ななりすまし攻撃を示す。 別の実施形態に係る図1のモデル機密保護システムで軽減されうるタイプされた単語への代表的ななりすまし攻撃を示す。 1つの実施形態に係る図1のモデル機密保護システムで軽減されうる様々な攻撃アルゴリズムによる神経回路網モデルに対するL距離及び問い合せの数に基づく典型的な成功率比較を示す。 図1のモデル機密保護システムを実現するためのソフトウェアアーキテクチャの代表的な実施形態を示す図である。 図1のモデル機密保護システムを実現するためのマシンの代表的な実施形態を示す図である。
図は一定の縮尺で描かれておらず、説明の目的のために全ての図を通して類似の構造又は機能の要素は類似の符号で概ね表されることに注意されたい。また、図は好適な実施形態の説明を容易にするようにだけ意図されていることにも注意されたい。図は説明される実施形態の全ての態様は示しておらず、本開示の範囲を限定しない。
現在入手可能なサイバー攻撃検出及び軽減システムは二値画像分類のためのモデルへの攻撃に適応できないので、画像認識システムに画像認識ツール訓練セットに基づいて誤った結果を記録させうるように一部変更された又は破損した二値画像を特定するシステム及び方法が開示される。本解決策は、人が手作業で小切手を見直す時、小切手の拒絶を起動することがない誤った結果を有利にも低減する。
本書に開示されたシステム及び方法は、二値画像分類モデルがすり抜けられるか又は騙される仕方の理解を有利にも利用し、様々な画像認識システムを守るように訓練されうる機械学習機能の設計を許す。この問題への追加の解決策は、既存の画像走査システムをテストし、強化し、及び保護するためのテスト方法によって説明される。
本主題は既存の画像認識システムの大規模な更新なしで既存のシステムを保護することで、この問題への追加の解決策を提供するのを助けうる。これは、例えば図1に示すように既存の画像認識システムの上に存在する検証処理を挿入することで達成されうる。
図1を参照すると、AIモデル300をAI動作環境100内に安全に配備するためのモデル機密保護システム200の概略図が示されている。AIモデル300は、専門家が同じ情報を提供された場合に下すであろう決定をその情報に基づいて複製するようにデータ及び/又は専門家入力を使って訓練される1つ以上のコンピュータ実行数学アルゴリズムを含みうる。代表的なAIモデル300は、これらに限定されないが、専門家システム、場合ベース推論、行動ベース人工知能、進化的計算法、分類子、統計モデル、確率モデル、神経回路網、決定木、隠れたマルコフモデル、サポートベクターマシン、ファジイ論理、ベイズ分類子など、又はこれらの任意の組み合わせを含みうる。
モデル機密保護システム200は赤組エンジン(又はモデル評価エンジン)220及びファイアウォール240を備えるとして示されている。赤組エンジン220はAIモデル300の1つ以上の欠陥(及び/又は脆弱性)を特定するように構成されうる。少し異なる言い方では、赤組エンジン220はAIモデル300を攻撃できるデータを決定できる。AIモデル300を攻撃することはAIモデル300を騙すこと、例えば上述したなりすましを含みうる。少し異なる言い方では、攻撃は、AIモデル300を騙し誤った決定を下させること、AIモデルが虚偽データを真のデータと認識すること、合成(又は偽造された又は改竄された)データを真のデータと認識すること、及びそれらの組み合わせを含みうる。攻撃はAIモデル300を攻撃するように構成されたデータを含みうる。1つの実施形態では、赤組エンジン220はAIモデル300の脆弱性を要約する報告を出力しうる。
ファイアウォール240は、赤組エンジン220によって特定された欠陥に基づいてAIモデル300を外部データ400によって騙されることから保護できる。外部データ400は、ファイアウォール240が確立されていない場合にAIモデル300に入力されるどんなデータも含みうる。少し異なる言い方では、ファイアウォール240は赤組エンジン220によって特定された抜け穴にパッチを当て、外部データ400とAIモデル300の間の追加の機密保護層を作りうる。幾つかの実施形態では、ファイアウォール240は外部データ400内に攻撃を検出すると警報を生成できる。
幾つかの実施形態では、モデル機密保護システム200はアプリケーション・プログラミング・インターフェース(API)によって少なくとも部分的に駆動され、AIモデル300の前の外部データ400のデータ供給路に挿入されうる。モデル機密保護システム200はクリーンで改竄されていないデータをAIモデル300に返し及び/又は出力しうる。様々な実施形態では、AIモデル300はそのままで及び/又は変更されないでもよい。有利にも、モデル機密保護システム200はAIモデル300をAIモデル300の大規模な更新なしに保護できる。
図1は例示目的だけのために赤組エンジン220及びファイアウォール240を別々のユニットとして示しているが、赤組エンジン220及びファイアウォール240は少なくとも部分的に制限なく統合及び/又は組み合わされうる。例えば、赤組エンジン220及びファイアウォール240はそれぞれコンピュータハードウェア、ファームウェア、及び/又はソフトウェア上で実現されうる。従って、赤組エンジン220及びファイアウォール240は1つ以上のコンピュータシステム上に記憶されたコード化された命令として実現されうる。赤組エンジン220及びファイアウォール240に関連するコード化された命令は別々の及び/又は統合されたプログラムでありえ、赤組エンジン220及びファイアウォール240は別々のハードウェア上で必ずしも実現されない。
図2を参照すると、AIモデル300を安全に配備するための代表的な方法2000が示されている。AIモデル300の1つ以上の欠陥がステップ2010で特定されうる。様々な実施形態では、赤組エンジン220(図1に示す)がステップ2010を実行できる。
AIモデル300はステップ2020においてAIモデル300の特定された欠陥(ステップ2010において)に基づき外部データ400による攻撃から保護されうる。様々な実施形態では、ファイアウォール240(図1に示す)はステップ2020を実行しうる。ファイアウォール240による保護は有利にもAIモデル300用にカスタマイズされ、従って効果的でありうる。上述したように、モデル機密保護システム200は特に二値画像分類モデルへの攻撃を検出し軽減するに適している。
幾つかの実施形態では、二値画像はd次元画像として定義され、その画像の各画素は割り当てられた値(例えば、0又は1)を持つ。画素は黒(例えば、値0と定義される)又は白(例えば、値1と定義される)である。例えば、幾つかの実施形態では、システムは、二値画像を確率分布F(x)[0,1]にマップするmクラス分類子を仮定する。ここでF(x)は画像xがクラスiに属する信頼度又は確率に相当する。xの予測されるラベルyは最良の信頼度を持つクラスである。即ち、y=arg max F(x)である。二値画像処理システムの例は小切手処理、ナンバープレート認識、レシート処理、保険書類抽出、及び法律書類テキスト認識と比較システムを含む。これらの二値画像処理システムは二値画像を分類するのにモデル、例えば図1に示すAIモデル300に依拠しうる。
幾つかの実施形態では、光学式文字認識(OCR)システムは手書き又は印刷されたテキストの画像を電子文字列に変換する。このシステムは、自動レシート処理、パスポート認識、保険書類抽出、及びナンバープレート認識を含む多くの重要な用途を有する。通常、幾つかのOCRシステム、例えばテッセラクトは入力をバイナリ形式に変換する前処理を実行する。
バイナリ攻撃
例えば、バイナリOCRシステムのAIモデル300を攻撃する問題に一定の形式を与えるために、ラベルは文字列であるOCR用の分類子Fが本書で使用される。ラベルyを有する二値画像xを考えると、システムは、視覚的にxに類似するが期待される結果yと実質的に異なる予測ラベルy’を有する敵対的例x’を作成する。言い換えると、y’≠yである。
例えば、ナンバープレート23FC6Aの画像xを考えると、システムは異なる有効なナンバープレート番号として認識される類似の画像x’を作成できる。システムは次に敵対的画像x’の元の画像xとの類似性を、知覚メトリックD(x’)を使って計測できる。二値画像の場合、固有メトリックはxとx’が異なる画素の数であり、2つの画像間のL距離に相当する。L距離は通常、異なる要素(例えば、画素)の数を数えることで2つの入力画像間の距離を測り(例えば、メトリックとして表される)、次のように定式化されうる。
Figure 2023513109000002
従って、敵対的例を見つけることは次の最適化手法として定式化されうる。
Figure 2023513109000003
ここでkは敵対的画像x’に対して許される最大の相違量である。幾つかの実施形態では、最大の相違量はkによって束縛されxとx’の距離が大き過ぎないことを保証する。最大許容値kを設定することは、敵対的画像x’がL空間において元の画像xにまだ近いことを保証する。標的ラベルyを持つ標的型攻撃の場合、システムはF(x’) yを最大にできる。
小切手処理システム。小切手処理システムは小切手の二値画像xを入力として受け付け、信頼度スコアF(x)を出力する。信頼度スコアF(x)は、小切手に書かれたもの(カーティシ額認識(CAR)及びリーガル額認識(LAR))の最も可能性の高い値を表す。
図3は、例えばなりすまし小切手を処理し偽りのCAR額及びLAR額を決める間の典型的な画像認識処理3000を示す。CAR部308は数字で書かれた数値額304を指定し、LAR部306は文字で書かれた叙述額302を指定する。走査処理はCAR308及びLAR306の各部の信頼因子を生成する。ほとんどの従来の走査システムはこれを結合額値310及び結合認識信頼度値312に分解する。ここで、一般にほとんどの商用システムが検証調査を止める。
小切手処理システムは画像認識システムの特別な変異型であり、互いを検証する2つの独立なモデルを使用する。カーティシ額認識(CAR)用のモデルFは数字で書かれた額を分類し、リーガル額認識(LAR)用の別のモデルFは文字で書かれた額を分類する。入力小切手画像の2つのモデルによって予測されるラベルが一致しない場合、その小切手はフラッグが立てられ更には処理されない。或いは、2つの値が一致する場合、小切手は処理される。例えば、有効な小切手のCAR304が「100」と読め、同じ小切手のLAR302が「百」と読める場合、2つの値は一致し、小切手は処理される。小切手処理システムを入力xに関して攻撃することについての1つの課題は、FとFL両方に対して同じ標的ラベルを有する敵対的例x’を作ることである。前の例に戻ると、成功する敵対的小切手画像はCARを「900」と読ませ、LARを「九百」と読ませることがあり、そうでないと値が一致しないため、小切手はフラッグが立てられる。この標的型攻撃の場合、対応する最適化問題は
Figure 2023513109000004
この標的型攻撃の場合、攻撃者は真の額yと異なる標的額yに変えようと試み、FとFL両方がx’を額yとして誤分類するようにFとFLを攻撃しうる。小切手処理システムはまた、これらのモデルが自身の予測に低い信頼度を持つ小切手にフラッグを立てるので、攻撃者は確率F(x’) y及びF(x’) y両方を最大にできる。x’がxに出来るだけ同じに見えるようにするために、攻撃者はまた、変更する画素の数を所定の数k以下に制限しなければならない。多くの小切手処理システムはFとFLだけが限定された数の最も可能性の高い額について確率を出力するように構成されている。この制限は攻撃者が真の額とは別の標的額を選択するのを困難にする。FとFLのそれぞれについて最も可能性の高い額同士は互いに素な集合である場合がある。
別の制限は攻撃者が使用されるモデルFについてどんな情報も持たずモデルの出力を観察できるだけであることである。言い換えると、攻撃者は問い合せx’に対してモデルFの出力された確率分布にアクセスするだけである。
図4では、小切手なりすまし攻撃4000は、数字及びテキスト行(CAR及びLAR)の攻撃変更404がされた小切手のデジタル画像402から成る。攻撃変更は変更された小切手のデジタル画像406(変更されたCAR408及び変更されたLAR410を有する)を使う。これは小切手のデジタル画像402を人の目には感知できないやり方で変え攻撃者の利益のためにモデル誤りを生成し、モデル機密保護システム200によって検出され軽減されうる敵対的モデルなりすまし攻撃を生成する。
図5は本書に記載したシステム及び方法と共に使用されうる小切手提出プロセス5000の代表的なデータフロー図を示す。図5を参照すると、小切手提出プロセス5000は5001で処理のために小切手が提出される時に始まる。次に、5002において小切手は走査され小切手の二値画像を生成する。バイナリ形式にされると、5003において画像認識システム(不図示)は二値画像を、図3を参照して説明したように処理できる。例えば、幾つかの実施形態では、5004において小切手処理システムは小切手の二値画像xを入力として受け付け、その小切手に書かれたもの(カーティシ額認識(CAR)及びリーガル額認識(LAR))の最も可能性の高い値を表す信頼度スコアF(x)を出力する。前述したように、5005において画像認識システムは次に特定されたCAR及びLAR値が一致するかを判断する。
幾つかの実施形態では、走査処理はCAR308及びLAR306(図3に示す)の各部について信頼度因子を生成する。信頼度因子は次に最終スコアに解される。従来の走査システムはこれを結合額値310及び結合認識信頼度値312に分解し検証調査を止めるが、モデル機密保護システム200は5006においてなりすまし防止見直しを実行できる。言い換えると、モデル機密保護システム200は5006において、例えば本書で説明した標的型攻撃を使用して改竄されたどんなCAR/LAR画像も阻止する。
幾つかの実施形態では、なりすまし防止見直しは並列に働く2つの副方法から成る。先ず、画像ベース方法は機械学習モデル(例えば、AIモデル300)を訓練することを含む。機械学習モデルは生の小切手画像を入力として受け取り、その画像が改竄されているか否か分類できる。モデルを訓練することはデータ生成ステップとモデル訓練ステップを含む。データ生成ステップは所定の数の改竄された画像を大規模に生成する本書で説明した方法を含む。モデル訓練ステップは、1つ以上のコンピュータ視覚分類アルゴリズムを実行して、改竄されていない小切手及び本書で説明したように生成された改竄された小切手について訓練しながら機械学習モデルを小切手が改竄されているか否か分類するように訓練することを含む。例として、視覚分類アルゴリズムは、視覚像を分析するのに使用される1つ以上の畳み込み神経回路網を含みうる。
通常、ブラックボックス攻撃は小切手処理システムに頻繁に問い合せることを必要とする。従って、ファイアウォール240は小切手処理システムへの入力を時間経過につれ監視し入力列が敵対的攻撃の一部でありうる場合を特定する。
なりすまし防止見直し5006の各段階及び入力列が敵対的攻撃の一部であるとの判断の間、スコアが各入力に対して生成される。メタモデルは2つの個々のモデルの予測を受け取り、それらを単一のスコアに組み合わせる。単一のモデルと比較すると、これら2つのモデルは互いに補完する異なる強さと弱さを有する。例えば、問い合せを監視することは特にブラックボックス攻撃を検出し防ぐのに適し、有利にも敵対的例が特定される前に攻撃を防ぐことが出来る。詐欺行為者が問い合せの数を(例えば、転送攻撃により)制限する場合、機械学習モデルはその攻撃をより良く特定できる。
二値画像が本書に説明したやり方で改竄されたとモデル機密保護システム200が判断すると、改竄された小切手画像は5007における承認処理に進むのを妨げられ5008で拒絶される。
二値画像を攻撃する
上述したように、モデル機密保護システム200は画像分類モデルへの複数の攻撃を検出し軽減できる。モデル機密保護システム200により検出されうる代表的な攻撃が説明される。2つのバリエーションが例示目的だけのために説明されるが、システムは二値画像内にノイズを隠し問い合せの数を最適化する課題に対処する複数の方法のどんな組み合わせも実行し検出できることは理解される。
モデルFによって真のラベルyとして分類される二値画像xへの組み合わせ攻撃の簡略化されたバージョンであって、アルゴリズム1として説明されるバージョンが示されている。各繰り返しにおいて、アルゴリズム1は、xを反対の色に反転するとF(x’)の最大減少を引き起こすような入力画像xの画素pを見つける。F(x’)はこの乱された入力x’が真のラベルyとして分類される信頼度である。言い換えると、システムは画素を反転させ、このプロセスを乱された入力の分類がy’≠yであるか又は元の画像と最大L距離kに達するまで繰り返す。下記のアルゴリズム1では、x’+eは画素pが反転された画像x’を表す。
Figure 2023513109000005
アルゴリズム1により生成された敵対的画像x’はモデル300をうまく騙し元の画像xとの小さいL距離を有しうる。しかし、入力に加えられたノイズはまだ人の目には見えうり、敵対的例を生成するのに必要なモデルへの問い合せの数は大きい。
ノイズを隠す
前述したように、カラー画像又はグレースケール画像への攻撃の場合、ノイズはどんな個々の画素への変更も可能な色の範囲に対して小さいのでしばしば感知できない。
二値画像内の各画素について、どんな攻撃もその色を反転するか又はそのままとするかだけができる。従って、各画素の色の小さい変更は可能でなく、勾配ベース手法は適用できない。ノイズのある画素(即ち、色が反転されその色が近傍の画素と異なる画素)は近傍の画素と色が異なるので目立つ。アルゴリズム1は小さな数の画素だけの色を反転するので、小さなL距離を有するノイズとなるが、ノイズのある画素は非常に目立つ。
この問題に対処するために、画像内の黒領域と白領域の境界上の画素だけを変更するのを許す新しい制約が導入される。1つの画素が白で隣接する8個の画素の少なくとも1つが黒ならば(又はその反対)、その画素は境界上にある。この制約の下で生成された敵対的例は元の画像とのより大きなL距離を有するが、ノイズはかなり目立ちにくい。
問い合せの数を最適化する
ブラックボックスモデルへの多くの問い合せを必要とする場合、攻撃は計算コストが高いことがある。モデルがアプリケーション・プログラミング・インターフェース(API)の後に隠された有料サービスの場合、攻撃を実行することは、費用面でも高くつく。幾つかの論文が成功する攻撃のために必要な問い合せの数を低減する手法を提案してきた。従来の解決策の多くは勾配推定に基づき、従って、二値設定には当てはまらない。
画素間の相関関係を空間的及び繰り返しに亘って時間的に利用する2つの最適化手法が導入される。各繰り返しについて、点x’において画素pを反転させることによるゲインはpの方向のFの離散微分として次のように定義される。
Figure 2023513109000006
この値が閾値τより大きいならば、画素は大きなゲインを有する。即ち、画素pを反転させることがラベルyのモデル信頼度のτより大きい量の減少を引き起こす場合、その画素は大きなゲインを有する。
空間的相関関係
モデル機密保護システム200によって検出されうる第1の変更は、画素ゲイン間の空間的相関関係の利用に基づく。同じ空間領域内の画素同士は、図9に示すように類似の離散微分を有する可能性が高い。繰り返し毎に、攻撃者はアルゴリズムの前回の繰り返し時に変更した画素pに隣接する8個の画素N(p)のゲインを評価するのに優先順位を付けるであろう。これらの画素の1つが大きなゲインを持つなら、攻撃者はそれを反転させ、残りの画素を評価することなく次の繰り返しへ進むであろう。
時間的相関関係
モデル機密保護システム200によって検出されうる第2の変更は、画素pからの異なる繰り返しに亘るゲイン間の相関関係の利用に基づく。1つの繰り返しにおいて大きな離散微分を有する画素は、次の繰り返しにおいて大きな離散微分を有する可能性が他の画素より高い。
繰り返し毎に、攻撃者は前回の繰り返し時に大きなゲインを有した画素を先ず考えなければならない。これらの画素の1つが現在の繰り返しにおいて大きなゲインを生成し続けるならば、その画素は反転され、システムは残りの画素を評価することなく次の繰り返しに進む。このプロセスは、多くの繰り返しに亘って誤分類への影響が少ない画素を無視する。
SCAR
モデル機密保護システム200によって軽減されうるアルゴリズム1の二値画像の攻撃のためのより詳細な方法がアルゴリズム2において説明される。問い合せの数を改善するために、アルゴリズム2は、上記の空間的及び時間的相関関係に応じて大きなゲインを持つと期待される画素の離散微分を評価するのに優先順位を付ける。
これらの画素の1つが大きなゲインを持つならば、その画素は反転され、残りの画素は評価されない。これらの画素のどれも大きなゲインを持たないならば、攻撃者は画像x内の黒領域と白領域の境界B(x)上の全ての画素を考える。この場合、最大のゲインを持つ画素はそのゲインがτより大きいか否かに拘らず反転される。
前記のように、座標iの方向の標準基底ベクトルはeで表される。ベクトルgを持つ各画素のゲインは監視され維持される。幾つかの実施形態では、アルゴリズム2は認識システムへの陰影付き組み合わせ攻撃(SCAR)を表す。
Figure 2023513109000007
アルゴリズム2は、Fによってラベルy’≠yとして分類される敵対的例x’を見つける非標的型攻撃である。非標的型攻撃は、上記whileループ内の第1条件をy=arg max F(x’)からy≠arg max F(x’)に変え、ゲインgをF(x)-F(x+e)に代えてF(x+e)yt-F(x)ytとして計算することで、容易に標的ラベルyを持つ標的型攻撃に変更されうる。
同時攻撃
小切手処理システムを攻撃することに2つの重要な課題がある。前の項では、小切手画像を二値画像に前処理することで引き起こされる課題が紹介された。第2の課題は小切手処理システムは2つの独立なモデルであって他方のモデルの出力を検証する2つのモデルを使用することであり、Fは数字で書かれた額を分類し、Fは文字で書かれた額を分類する。これによって動機付けられて、2つの別々のOCRシステムを同時に攻撃する問題に取り組むアルゴリズムが導入される。
幾つかの実施形態では、モデル機密保護システム200は、攻撃がF及びFLがそれぞれ可能性の高いと判断した額の交点において標的額を何時捜すかを理解する。しかし、変更されていない小切手の場合、モデル300はしばしば真の額を高度に確信し、他の額は極めて小さい確率か又はモデルによる予測として全く現れない。
敵対的例となるであろう標的額を選択する可能性を増加させるために、F及びFL両方へのSCARを使った非標的型攻撃が開始され、真の額yの信頼度が減少した画像xを返す。次に、目的はF及びFL両方を攻撃することなので、標的額は最大値min(F(x),FL(x))を持つ額yとなるように選択される。SCAR(T‐SCAR)の標的型バージョンは2回実行され、画像xに関してF及びFL両方に標的型攻撃を行う。これは下記のアルゴリズム3として定式化される。
Figure 2023513109000008
図3に示す一例の小切手を参照すると、アルゴリズム3は、例えば額が401ドルと書かれた小切手を攻撃するのに使用されうる。図示のように、アルゴリズム3は、多くの金融機関が使用する従来のCAR/LAR認識処理を使用することで、高い信頼度0.909で額を701ドルとして誤分類するように実行されうる。モデル機密保護システム200はアルゴリズム3が小切手の二値画像を変更するのに使用されたかを判断できる。
図6A~6Eは、モデル機密保護システム200によって検出されうる様々なデータセットで訓練された畳み込み神経回路網(CNN)(例えば、モデル300)への一連の代表的な攻撃を例示する。各代表的な図では、元の画像が左端に示され、本書に説明した攻撃の様々な出力が右側に示される。右側に示された攻撃は、攻撃の進展を必ずしも表していない、むしろ独立した攻撃であり、例示の目的だけのために示されている。
図6Aは上記の異なるアルゴリズムを使用する数字へのなりすまし攻撃を説明する。左から右へ(()内は分類)元の数字(2)、SCAR(7)、VANILLA‐SCAR(7)、POINTWISE(8)、SIMBA(7)。攻撃の種類に続く丸括弧内の数字は画像認識処理の誤って決定された結果を表す。例えば、第2画像は上記SCARアルゴリズムを使って攻撃され値7になりすましている。
図6Bは異なるアルゴリズムを使用する文字へのなりすまし攻撃を説明する。左から右へ(()内は分類)元の文字(8)、SCAR(3)、VANILLA‐SCAR(3)、POINTWISE(2)、SIMBA(5)。
図6Cは異なるアルゴリズムを使用する多桁数字へのなりすまし攻撃を説明する。左から右へ(()内は分類)元の数字(1625)、SCAR(15625)、SIMBA(1025)、VANILLA‐SCAR(10625)、POINTWISE(1025)。
図6Dは異なるアルゴリズムを使用する多文字単語へのなりすまし攻撃を説明する。左から右へ元の単語(test)、SCAR(fest)。
図6Eは異なるアルゴリズムを使用する多文字単語へのなりすまし攻撃を説明する。左から右へ元の単語(down)、SCAR(dower)。
4つの攻撃方法
4つの攻撃方法、SCAR、VANILLA‐SCAR、SIMBA、及びPOINTWISEが比較される。
・アルゴリズム2であり閾値τ=0.1を持つSCAR
・アルゴリズム1であるVANILLA‐SCAR。SCARをアルゴリズム1と比較するとノイズを隠し問い合せの数を最適化することの重要性を示す。
・アルゴリズム1でありデカルト基底でε=1のSIMBA。SIMBAはブラックボックス設定の(カラー)画像を小さい数の問い合せを使って攻撃するためのアルゴリズムである。繰り返し毎に、SIMBAは方向qをサンプルしεq又は-εqに向かって、これらの1つが目標を高めるなら、一歩進む。qがデカルト基底からサンプルされε=1である設定では、SIMBAは二値画像へのL攻撃に相当し、繰り返しランダムに画素を選択し反転させる(そうすることが真のラベルの信頼度を減少させるなら)。
POINTWISEは先ず画像が誤分類されるまでランダム塩こしょうノイズを加える。次にPOINTWISEは画像が誤分類されたままならがつがつと各変更された画素を元の色に戻す。
メトリック
モデルFへの各攻撃Aの働きを評価し集合Xをテストするために、3つのメトリックを使用できる。これらのメトリックはそのような攻撃に対するシステム/モデルの脆弱性を有利にも示す。
Aの成功率は 画像x(x∈X)のうち出力画像x=A(x)が敵対的(即ち、xの予測されたラベルyがxの真のラベルyと異なる)である画像の割合である。Fによって初め正しく分類された画像xだけが攻撃される。
距離が、画像x’=A(x)が元の画像xにどれだけ似ているかを測るために使用され、xとx’が異なる画素の数である。
出力画像x’=A(x)を得るためにモデルFへの問い合せの数。
距離制約k。画像寸法dは各実験で異なるので、最大L距離kを選択するのに理にかなった手法を捜す。ラベルyを持つ画像xの場合、L制約は次式で表される。
Figure 2023513109000009
ここでF(x)は画像の前景内の画素の数をカウントし、α∈|0,1|は既定の分数(0と1の間の分数)であり、|y|はy中のキャラクタの数(例えば、|23FC6A|=6)である。言い換えると、kはx内の1キャラクタ当りの画素の平均数に既定の分数を掛けたものである。幾つかの実施形態では、α=1/5である。
テッセラクト攻撃例
OCRシステムの脆弱性は手書き文字だけでなく、人がより頑丈であると期待する印刷された文字にも関わる。この脆弱性は英単語の文脈で説明され、多くの場合に単一画素の変化が、広く使われているオープンソース文字認識システムによって単語が英語辞書内の異なる意味論的意味を持つ別の単語に誤分類されるのに十分であることを示す。
テッセラクトモデル。テッセラクトは印刷された文字用に設計されたオープンソース文字認識システムである。テッセラクト4は深層学習のための人工再帰型神経回路網(RNN)アーキテクチャである長・短期記憶(LSTM)モデルに基づく。システムは画像を入力として受け取り、画像は先ず各行の画像に分けられる。テッセラクトは入力画像を前処理の一部として二値化する。次に各行はLSTMモデルによって処理され、文字列を出力する。
データセット。単一の印刷された英単語の画像がシステムによって英語用に訓練されたテッセラクトのバージョンを用いてテストされうる。幾つかの実施形態では、英語の長さ4の単語がランダムに選択された。1000個のそのような画像についての正解率は0.965で正しく分類された単語の平均信頼度は0.906であった。テッセラクトによって正しく分類された単語のうち、100個のランダムな単語が攻撃するために選択されうる。幾つかの場合、特に、ノイズが多い画像の場合、テッセラクトはどんな単語も認識せずその入力を拒絶する。これらの攻撃の目標は、画像を真の単語と異なる意味を持つ単語として誤分類することであるので、生成された敵対的画像が英語辞書内の単語として分類された場合だけ、攻撃は成功と考えられる。
図7は攻撃の結果のグラフを示す。MNISTを使って訓練されたCNNモデル、EMNISTを使って訓練されたLeNet5モデル、手書き数字に対するLSTMモデル、及び印刷された単語に対するテッセラクトモデルの場合の成功率対L距離及び成功率対問い合せの数。
図8は本書に記載された装置のうちどんな1つ以上の装置にも導入されうるソフトウェアアーキテクチャ800を示すブロック図である。図8は単にソフトウェアアーキテクチャの非限定例であり、多くの他のアーキテクチャが本書に記載された機能を可能にするために実現されうることは理解されるであろう。様々な実施形態では、ソフトウェアアーキテクチャ800は図9のマシン900などのハードウェアによって実行される。
この一例のアーキテクチャでは、ソフトウェアアーキテクチャ800は層の積み重ねとして概念化されうり、各層は特定の機能を提供してもよい。例えば、ソフトウェアアーキテクチャ800はオペレーティングシステム804、ライブラリ806、フレームワーク808、及びアプリケーション810などの層を含む。動作上、アプリケーション810はソフトウェアスタックを通してAPIコール812を呼び出し、APIコール812に応答してメッセージ814を受け取る。幾つかの実施形態で同じである。
様々な実施形態では、オペレーティングシステム804はハードウェア資源を管理し、共通のサービスを提供する。オペレーティングシステム804は、例えばカーネル820、サービス822、及びドライバー824を含む。カーネル820はハードウェアと他のソフトウェア層の間の抽象層として働く。幾つかの実施形態で同じである。例えば、カーネル820はメモリ管理、プロセッサ管理(例えば、予定を組む)、装置管理、ネットワーク接続、機密保護設定、及び他の機能を提供する。サービス822は他の共通のサービスをその他のソフトウェア層に提供しうる。幾つかの実施形態によれば、ドライバー824は基盤を成すハードウェアを制御又はと接続するのを担う。例えば、ドライバー824は表示ドライバー、カメラドライバー、BLUETOOTH(登録商標)又はBLUETOOTH(登録商標)低エネルギードライバー、フラッシュメモリドライバー、シリアル通信ドライバー(例えば、ユニバーサル・シリアル・バス(USB)ドライバー)、Wi‐Fi(登録商標)ドライバー、オーディオドライバー、電力管理ドライバーなどを含みうる。
幾つかの実施形態では、ライブラリ806はアプリケーション810が利用する低レベル共通基盤を提供する。ライブラリ806は、メモリ割り当て機能、ストリング操作機能、数学機能などの機能を提供しうるシステムライブラリ830(例えば、C標準ライブラリ)を含みうる。また、ライブラリ806はAPIライブラリ832、例えばメディアライブラリ(例えば、様々なメディア形式、例えば動画エキスパートグループ4(MPEG4)、Advanced Video Coding(H.264又はAVC)、動画エキスパートグループ層3(MP3)、Advanced Audio Coding(AAC)、Adaptive Multi‐Rate(AMR)音声コーデック、Joint Photographicエキスパートグループ(JPEG又はJPG)、又はPortable Network Graphics(PNG)の表出及び操作を支えるライブラリ)、グラフィックライブラリ(例えば、表示器上のグラフィックコンテキストに2D及び3Dで描くのに使用されるOpenGLフレームワーク)、データベースライブラリ(例えば、様々な関係型データベース機能を提供するSQLite)、ウェブライブラリ(例えば、ウェブ閲覧機能を提供するWebKit)などを含みうる。ライブラリ806はまた、多くの他のAPIをアプリケーション810に提供するために多種多様な他のライブラリ834を含みうる。
幾つかの実施形態によれば、フレームワーク808はアプリケーション810が利用しうる高レベル共通基盤を提供する。例えば、フレームワーク808は様々なグラフィカル・ユーザ・インターフェース(GUI)機能、高レベル資源管理、高レベル位置サービスなどを提供する。フレームワーク808はアプリケーション810が利用しうる広範囲の他のAPI(そのうちの幾つかは特定のオペレーティングシステム804又はプラットフォームに特有である)を提供できる。
1つの実施形態では、アプリケーション810はホームアプリケーション850、接触アプリケーション852、閲覧アプリケーション854、本読みアプリケーション856、位置アプリケーション858、メディアアプリケーション860、メッセージ通信アプリケーション862、ゲームアプリケーション864、及び多種多様な取りそろえの他のアプリケーション、例えば第三者アプリケーション866を含む。幾つかの実施形態によれば、アプリケーション810は自身の中に規定された機能を実行するプログラムである。様々なプログラミング言語が様々な構造を持つアプリケーション810のうち1つ以上を作成するために使用されうる。その例は、オブジェクト指向プログラミング言語(例えば、オブジェクトC、Java、又はC++)又は手続き型プログラミング言語(例えば、C又はアセンブリ言語)である。特定の実施例では、第三者アプリケーション866(例えば、ANDROID(登録商標)又はIOS(商標)ソフトウェア開発キット(SDK)を使って特定のプラットフォームのベンダー以外の主体によって開発されたアプリケーション)は携帯電話オペレーティングシステム、例えば「IOS」、「ANDROID」、WINDOWS(登録商標)Phone、又は別の携帯電話オペレーティングシステム上で動作する携帯電話ソフトウェアであってもよい。この例では、第三者アプリケーション866はオペレーティングシステム804が提供するAPIコール812を本書に記載の機能を可能にするために呼び出しうる。
図9は実施形態に係るマシン900に本書に記載の方法の任意の1つ以上を実行させるために命令セットを実行するコンピュータシステムの形態のマシン900の概略を示す。具体的には、図9はコンピュータシステムの一例の形態のマシン900の概略を示し、その中でマシン900に本書に記載の方法の任意の1つ以上を実行させるための命令群916(例えば、ソフトウェア、プログラム、アプリケーション、アプレット、アプリ、又は他の実行可能コード)が実行されうる。例えば、命令群916はマシン900に図2又は図5の方法を実行させてもよい。加えて又は或いは、命令群916は図1及び図3、4を参照して説明した機能のどれでも実行してよい。命令群916はプログラムされていない汎用マシン900を、説明された機能を説明されたやり方で実行するようにプログラムされた特別なマシン900に変える。他の実施形態では、マシン900は独立した装置として動作するか又は他のマシンに結合(例えば、ネットワーク接続)されてもよい。ネットワーク接続された場合、マシン900はサーバー・クライアント・ネットワーク環境でサーバーマシン又はクライアントマシンとして、又はピアツーピア(又は分散)ネットワーク環境でピアマシンとして動作してよい。マシン900は、これらに限定されないがサーバーコンピュータ、クライアントコンピュータ、パーソナルコンピュータ(PC)、タブレットコンピュータ、ラップトップコンピュータ、ネットブック、セットトップボックス(STB)、パーソナルデジタルアシスタント(PDA)、娯楽メディアシステム、携帯電話、スマートフォン、携帯装置、装着可能装置(例えば、スマートウォッチ)、スマート家庭用装置(例えば、スマート器具)、他のスマート装置、ウェブ器具、ネットワークルーター、ネットワークスイッチ、ネットワークブリッジ、又はマシン900がする動作を指定する命令群916を順次又は他のやり方で実行できる任意のマシンから成ってよい。また、単一のマシン900だけが示されているが、用語「マシン」は命令群916を個々に又は共同で実行して本書に記載の方法の任意の1つ以上を実行するマシン900の集まりを含むと考えるべきである。
マシン900は、例えばバス902を介して互いに通信するように構成された複数のプロセッサ910、メモリ930、及びI/O構成要素950を含んでよい。1つの実施形態では、複数のプロセッサ910(例えば、中央処理ユニット(CPU)、縮小命令セット計算(RISC)プロセッサ、複雑命令セット計算(CISC)プロセッサ、グラフィック処理ユニット(GPU)、デジタル信号プロセッサ(DSP)、特定用途集積回路(ASIC)、無線周波数集積回路(RFIC)、別のプロセッサ、又はこれらの任意の適切な組み合わせ)は、例えば命令群916を実行するプロセッサ912及びプロセッサ914を含んでよい。用語「プロセッサ」は、同時に命令群916を実行する2つ以上の独立したプロセッサ(時にはコアと呼ばれる)から成るマルチコアプロセッサを含むように意図されている。図9は複数のプロセッサ910を示すが、マシン900は単一コアの単一のプロセッサ912、複数のコアの単一のプロセッサ912(例えば、マルチコアプロセッサ912)、単一コアの複数のプロセッサ912、914、複数のコアの複数のプロセッサ912、914、又はこれらの任意の組み合わせから成ってもよい。
メモリ930は、バス902を介してプロセッサ910にそれぞれアクセスできるメインメモリ932、静的メモリ934、及び記憶ユニット936を含んでよい。メインメモリ932、静的メモリ934、及び記憶ユニット936は本書で説明した方法又は機能の任意の1つ以上を具現化する命令群916を記憶する。命令群916は、マシン900による実行中に、メインメモリ932内、静的メモリ934内、記憶ユニット936内、少なくとも1つのプロセッサ910内(例えば、プロセッサのキャッシュメモリ内)、又はそれらの任意の適切な組み合わせ内に、完全に又は部分的に存在してもよい。
I/O構成要素950は、入力を受け取り、出力を提供し、出力を生成し、情報を送信し、情報を交換し、測定値を取り込むなどの多種多様な構成要素を含んでよい。特定のマシンに含まれる特定のI/O構成要素950は、そのマシンの種類に依存する。例えば、携帯電話などの可搬式マシンはタッチ入力デバイス又は他のそのような入力機構をたぶん含むが、ヘッドレスサーバーマシンにはそのようなタッチ入力デバイスをたぶん含まない。I/O構成要素950は、図9に示していない他の多くの構成要素を含んでよいことは理解されるであろう。I/O構成要素950は、下記の説明を単に簡単にするために機能に従ってグループ分けされ、このグループ分けは決して限定ではない。様々な実施形態では、I/O構成要素950は、出力構成要素952及び入力構成要素954を含んでよい。出力構成要素952は、視覚構成要素(例えば、プラズマディスプレイパネル(PDP)、発光ダイオード(LED)ディスプレイ、液晶ディスプレイ(LCD)、プロジェクタ、又は陰極線管(CRT)などのディスプレイ)、音響構成要素(例えば、スピーカ)、触覚構成要素(例えば、振動モータ、抵抗機構)、他の信号発生器などを含んでよい。入力構成要素954は、英数字入力構成要素(例えば、キーボード、英数字入力を受け取るように構成されたタッチスクリーン、光キーボード、又は他の英数字入力構成要素)、ポイントベース入力構成要素(例えば、マウス、タッチパッド、トラックボール、ジョイスティック、モーションセンサ、又は別のポインティング器具)、触知入力構成要素(例えば、物理的ボタン、タッチ又はタッチジェスチャの位置及び/又は力を提供するタッチスクリーン、又は他の触知入力構成要素)、音声入力構成要素(例えば、マイク)などを含んでよい。
他の実施形態では、I/O構成要素950は、広範囲の他の構成要素の中でも、生体認証構成要素956、動き構成要素958、環境構成要素960、又は位置構成要素962を含んでよい。例えば、生体認証構成要素956は、表情(例えば、手の表情、顔の表情、声の表情、身体のジェスチャ、又は視線追跡)を検出し、生体信号(例えば、血圧、心拍数、体温、発汗、又は脳波)を測定し、人を識別する(例えば、音声識別、網膜識別、顔識別、指紋識別、又は脳波図に基づく識別)などの構成要素を含んでよい。動き構成要素958は、加速度センサ構成要素(例えば、加速度計)、重力センサ構成要素、回転センサ構成要素(例えば、ジャイロスコープ)などを含んでよい。環境構成要素960は、例えば照度センサ構成要素(例えば、光度計)、温度センサ構成要素(例えば、周囲温度を検出する1つ以上の温度計)、湿度センサ構成要素、圧力センサ構成要素(例えば、気圧計)、音響センサ構成要素(例えば、背景ノイズを検出する1つ以上のマイク)、近接センサ構成要素(例えば、近くの物体を検出する赤外線センサ)、ガスセンサ(例えば、安全のために又は大気中の汚染物質を測定するために有害ガスの濃度を検出するガス検出センサ)、又は周囲の物理的環境に対応する表示、測定、又は信号を提供しうる他の構成要素を含んでよい。位置構成要素962は、位置センサ構成要素(例えば、全地球測位システム(GPS)受信構成要素)、高度センサ構成要素(例えば、高度がそれから導出されうる気圧を検出する高度計又は気圧計)、方位センサ構成要素(例えば、磁力計)などを含んでよい。
通信は、多種多様な技術を使用して実現されてよい。I/O構成要素950は、カップリング982及びカップリング972を介してマシン900をネットワーク980又はデバイス970に結合するように動作可能な通信構成要素964を含んでよい。例えば、通信構成要素964は、ネットワーク980とインターフェースするのにネットワークインターフェース構成要素又は別の適切なデバイスを含んでよい。更なる例では、通信構成要素964は、有線通信構成要素、無線通信構成要素、セルラー通信構成要素、近距離無線通信(NFC)構成要素、Bluetooth構成要素(例えば、Bluetooth低エネルギー)、Wi-Fi構成要素、及び他の方式による通信を提供する他の通信構成要素を含んでよい。デバイス970は、別のマシン又は多種多様な周辺デバイス(例えば、USBを介して結合された)のいずれであってもよい。
また、通信構成要素964は、識別子を検出するか、又は識別子を検出するように動作可能な構成要素を含んでよい。例えば、通信構成要素964は、無線周波数識別(RFID)タグ読取構成要素、NFCスマートタグ検出構成要素、光学読取構成要素(例えば、統一商品コード(UPC)バーコードなどの1次元バーコード、QRコード(登録商標)、アズテックコード、DATA Matrix、Dataglyph、MaxiCode、PDF417、Ultra Code、UCC RSS-2Dバーコードなどの多次元バーコード、及び他の光学コードを検出する光学センサ)、又は音響検出構成要素(例えば、タグ付き音声信号を識別するマイク)を含んでよい。加えて、インターネットプロトコル(IP)地理位置情報による位置、Wi-Fi信号三角測量による位置、特定の位置を示すNFCビーコン信号の検出による位置など、通信構成要素964によって様々な情報を得てもよい。
様々なメモリ(即ち、930、932、934及び/又はプロセッサ910のメモリ)及び/又は記憶ユニット936は、本書に説明される方法又は機能のうち任意の1つ以上を具現化する、又はそれらによって利用される命令群916及びデータ構造体(例えば、ソフトウェア)の1つ以上のセットを記憶してもよい。これらの命令(例えば、命令群916)は、プロセッサ910によって実行されると、開示された実施形態を実施する様々な動作を生じさせる。
本書で使用されるように、用語「マシン記憶媒体」、「デバイス記憶媒体」、及び「コンピュータ記憶媒体」は交換可能に使用されうる。これらの用語は、実行可能命令及び/又はデータを記憶する単一又は複数の記憶デバイス及び/又は媒体(例えば、集中型又は分散型データベース、及び/又は関連するキャッシュ及びサーバー)を指す。従って、これらの用語はこれらに限定されないが、固体メモリと光学及び磁気媒体とを含み、プロセッサの内部又は外部のメモリを含むと理解されるべきである。マシン記憶媒体、コンピュータ記憶媒体、及び/又はデバイス記憶媒体の具体的例は、例として、半導体メモリデバイス、例えば消去可能プログラマブル読取専用メモリ(EPROM)、電気的消去可能プログラマブル読取専用メモリ(EEPROM)、フィールドプログラマブルゲートアレイ(FPGA)、及びフラッシュメモリデバイスを含む不揮発性メモリと、内部ハードディスク及びリムーバブルディスクなどの磁気ディスクと、光磁気ディスクと、CD-ROM及びDVD-ROMディスクとを含む。用語「マシン記憶媒体」、「コンピュータ記憶媒体」、及び「デバイス記憶媒体」は、具体的には、搬送波、変調データ信号、及び他のそのような媒体を含まない(それらのうち少なくとも幾つかは、下記に説明される用語「信号媒体」に含まれる)。
様々な実施形態では、ネットワーク980の1つ以上の部分は、アドホックネットワーク、イントラネット、エクストラネット、バーチャル・プライベートネットワーク(VPN)、ローカル・エリア・ネットワーク(LAN)、無線LAN(WLAN)、広域ネットワーク(WAN)、無線WAN(WWAN)、大都市圏ネットワーク(MAN)、インターネット、インターネットの一部、公衆電話交換網(PSTN)の一部、旧来の電話サービス(POTS)ネットワーク、携帯電話ネットワーク、無線ネットワーク、Wi-Fiネットワーク、別のタイプのネットワーク、又は2つ以上のそのようなネットワークの組み合わせであってもよい。例えば、ネットワーク980又はネットワーク980の一部は、無線又は携帯電話ネットワークを含んでよく、カップリング982は、符号分割多重アクセス(CDMA)接続、モバイル通信のためのグローバルシステム(GSM)接続、又は別の種類のセルラーもしくは無線カップリングであってもよい。この例では、カップリング982は、単一キャリア無線伝送技術(1xRTT)、Evolution-Data Optimized(EVDO)技術、汎用パケット無線サービス(GPRS)技術、Enhanced Data rates for GSM Evolution(EDGE)技術、3Gを含む第3世代連携プロジェクト(3GPP(登録商標))、第4世代無線(4G)ネットワーク、ユニバーサルモバイル遠隔通信システム(UMTS)、高速パケットアクセス(HSPA)、マイクロ波アクセスのための世界的相互運用(WiMAX)、長期発展(LTE)標準、様々な標準設定機関によって規定される他の標準、他の長距離プロトコル、又は、他のデータ転送技術などの様々な種類のデータ転送技術のどれでも実行してよい。
命令群916は、ネットワークインターフェースデバイス(例えば、通信構成要素964に含まれるネットワークインターフェース構成要素)を介して伝送媒体を使用し複数の周知の転送プロトコル(例えば、Hypertext Transfer Protocol(HTTP))のどれか1つを利用してネットワーク980を通じて送信又は受信されてもよい。同様に命令916は、デバイス970へカップリング972(例えば、ピアツーピアカップリング)を介して伝送媒体を使用して送信又は受信されてもよい。用語「伝送媒体」と「信号媒体」は同じものを意味し、本開示において交換可能に使用されてよい。用語「伝送媒体」と「信号媒体」は、マシン900による実行のために命令群916を記憶し、符号化し、又は運びうる任意の無形の媒体を含み、そのようなソフトウェアの通信を可能にするデジタルもしくはアナログ通信信号又は他の無形の媒体を含むと理解されるべきである。従って、用語「伝送媒体」と「信号媒体」は任意の形態の変調データ信号、搬送波、などを含むと理解されるべきである。用語「変調データ信号」はその1つ以上の特性が情報を信号内に符号化するように設定又は変えられた信号を意味する。
用語「マシン読取可能媒体」、「コンピュータ読取可能媒体」、及び「デバイス読取可能媒体」は同じものを意味し、本開示において交換可能に使用されうる。これらの用語はマシン記憶媒体及び伝送媒体両方を含むように定義される。従って、これらの用語は記憶デバイス/媒体及び搬送波/変調データ信号の両方を含む。
この解決法の実施形態はハードウェア、ファームウェア、及びソフトウェアのうち1つ又は組み合わせにより実現される。実施形態はまた、少なくとも1つのプロセッサによって読み取られ実行され本書に記載した動作を実行しうるコンピュータ読取可能記憶デバイスに記憶された命令群として実現されてもよい。コンピュータ読取可能記憶デバイスはマシン(例えば、コンピュータ)により読取可能な形態の任意の非記憶情報を含んでよい。例えば、コンピュータ読取可能記憶デバイスは読取専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光学記憶媒体、フラッシュメモリデバイス、クラウドサーバー、又は他の記憶デバイス及び媒体を含んでよい。幾つかの実施形態は1つ以上のプロセッサを含みコンピュータ読取可能記憶デバイスに記憶された命令群を有して構成されてよい。下記の説明及び参照される図面は特定の実施形態を十分に説明し当業者がそれらを実施するのを可能にする。他の実施形態は構造上、論理上、電気に関する、プロセス上、及び他の変更を含んでもよい。幾つかの実施形態の部分及び特徴は他の実施形態のそれらに含まれるか、置き換えられてもよい。請求項に明記された実施形態はそれらの請求項の全ての有効な等価物を含む。
1つ以上の方法ステップの記述は、追加の方法ステップ又は明示されたステップの間の中間の方法ステップの存在を排除しないことは理解されるべきである。同様に、デバイス又はシステム内の1つ以上の構成要素の記述は、追加の構成要素又は明示された構成要素の間の中間の構成要素の存在を排除しないことは理解されるべきである。
上記説明は、詳細な説明の一部を成す添付の図面への参照を含む。図面は例示として発明が実施されうる特定の実施形態を示す。これらの実施形態はまた、本書において「実施例」とも呼ばれる。そのような実施例は示された又は記述された要素に加えて他の要素を含みうる。しかし、本発明者らは示された又は記述された要素だけが設けられた実施例も考慮している。また、本発明者らはまた、特定の実施例(又はその1つ以上の態様)に関して又は本書に示された又は記述された他の実施例(又はそれらの1つ以上の態様)に関して示された又は記述された要素(又はそれらの1つ以上の態様)の任意の組み合わせ又は並べ替えを使用する実施例も考慮している。
1つ以上の方法ステップの記述は、追加の方法ステップ又は明示されたステップの間の中間の方法ステップの存在を排除しないことは理解されるべきである。同様に、デバイス又はシステム内の1つ以上の構成要素の記述は、追加の構成要素又は明示された構成要素の間の中間の構成要素の存在を排除しないことは理解されるべきである。
幾つかの場合、開示した技術の実施形態は、機械学習アルゴリズムを利用して画像認識システムに提出された変更された可能性のある二値画像データを特定するように構成されたシステムを含む。幾つかの実施形態では、二値化防御システムは機械学習を利用し、疑わしいパターンの人との対話/見直しを活用して防御アルゴリズムに教えるのを助け他の欠陥の検出を向上させてもよい。
本書と引用されたいずれかの文書の間の矛盾した使用法がある場合、本書の使用法が有効である。
本書において、特許文献において普通であるが、英語の用語「a」又は「an」は、「少なくとも1つ」又は「1つ以上」の他のあらゆる使用例又は使用とは独立に、1つ又は1つ超を含むように使用される。本書において、英語の用語「or」は非排他的orを指すのに使用され、そうでないと指示されない限り、「A or B」は「A but not B(AであるがBでない)」、「B but not A」、及び「A and B」を含む。本書において、英語の用語「including」及び「in which」は、それぞれ用語「comprising」及び「wherein」の平易な英語の同義語として使用される。また、添付の請求項において、英語の用語「including」及び「comprising」はオープンエンドである、即ち、そのような用語の後に列挙された要素に加えて要素を含むシステム、デバイス、物品、組成物、配合物、又はプロセスも請求項の範囲内に入ると考えられる。また、添付の請求項において、用語「第1」、「第2」、「第3」などは単にラベルとして使用され、それらの対象物に数値要件を導入するように意図されていない。
「平行な」、「垂直な」、「丸い」、又は「正方形の」などの幾何学用語は、文脈がそうでないと示さない場合、絶対的数学的正確さを必要とするように意図されていない。それどころか、そのような幾何学用語は製造又は等価な機能による変動を見込んでいる。例えば、要素が丸い又は概ね丸いと表現される場合、正確には円形でない要素(例えば、やや楕円形又は多辺多角形である要素)もこの表現に含まれる。
本書で説明された方法例は、少なくとも部分的に、マシン又はコンピュータによって実行されうる。幾つかの実施例は、上記の実施例に記載された方法を実行するように電子デバイスを構成するよう動作可能な命令群が符号化されたコンピュータ読取可能媒体又はマシン読取可能媒体を含みうる。そのような方法の実施形態は、マイクロコード、アセンブリ言語コード、高水準言語コードなどのコードを含みうる。このようなコードは、様々な方法を実行するためのコンピュータ読取可能命令群を含みうる。コードは、コンピュータプログラム製品の部分を形成してよい。更に、一実施例では、コードは、例えば実行中又は他の時に、1つ以上の揮発性、持続性、又は不揮発性の有形コンピュータ読取可能媒体に記憶されうる。これらの有形コンピュータ読取可能媒体の例は、これらに限定されないが、ハードディスク、取り外し可能磁気ディスク、取り外し可能光ディスク(例えば、コンパクトディスク及びデジタルビデオディスク)、磁気カセット、メモリカード又はスティック、ランダムアクセスメモリ(RAM)、読取専用メモリ(ROM)などを含みうる。
上記の説明は、例示的であり、限定的でないように意図されている。例えば、上記で説明した実施例(又は、それらの1つ以上の態様)を、互いに組み合わせて使用してもよい。他の実施形態が、例えば当業者によって上記の説明を見直した後に使用されうる。要約書は、米国特許施行規則37CFR1.72(b)を順守し読み手が本技術的開示の本質を速やかに見つけ出すのを許すために提供される。要約書は、請求項の範囲又は意味を解釈又は限定するために用いられないことを理解して提出されている。また、上記の詳細な説明では、様々な特徴をグループ分けして、本開示を整理した場合がある。これは、請求項にない開示された特徴が、どんな請求項にも本質的であることを意図していると解釈されるべきでない。むしろ、発明の対象は、特定の開示された実施形態の全てより少ない特徴に存在することがある。従って、添付の請求項は実施例又は実施形態として詳細な説明に引用され、各請求項は、別個の実施形態として独立し、そのような実施形態は、様々な組み合わせ又は並べ替えで互いに組み合わせられうることが考慮されている。本発明の範囲は、添付の請求項をそれらの請求項が権利を持つ等価物の全範囲と共に参照して決められるべきである。
100 AI動作環境
200 モデル機密保護システム
220 赤組エンジン(又はモデル評価エンジン)
240 ファイアウォール
302 叙述額
304 数値額
306 LAR部
308 CAR部
310 結合額値
312 結合認識信頼度値
400 外部データ

Claims (15)

  1. 二値画像分類のためのモデルの脆弱性を検出するためのコンピュータ実行方法であって、
    コンピュータシステムにより二値画像データを受信するステップであって、前記コンピュータシステムは前記二値画像データ内の画素値を検出し前記二値画像データに関連する非機械語値を提示するように構成される、ステップと、
    画像認識システムによって読まれた時に前記二値画像データに関連する前記非機械語値を変えるように変更された少なくとも1つの画素値を前記二値画像データが更に含むと前記コンピュータシステムにより判断するステップと、
    前記コンピュータシステムにより前記画像認識システムに前記二値画像データを見直すよう警告するステップと
    を含むコンピュータ実行方法。
  2. 前記二値画像データが変更された画素値を含むと判断する前記ステップは、前記画像認識システムの第1人工知能モデル及び第2人工知能モデルが同時に攻撃されたと判断することを含む請求項1記載のコンピュータ実行方法。
  3. 前記画像認識システムの前記第1人工知能モデルは前記二値画像データの数字で書かれた数値額を表す部分を分類し、前記画像認識システムの前記第2人工知能モデルは前記二値画像データの文字で書かれた前記数値額を表す第2部分を分類する、請求項1又は2記載のコンピュータ実行方法。
  4. 前記2つのモデルが同時に攻撃されたと判断する前記ステップは、認識システムへの陰影付き組み合わせ攻撃を使用する非標的型攻撃が前記2つのモデルのうち少なくとも1つに使用されたと判断することを含む、請求項1~3のいずれかに記載のコンピュータ実行方法。
  5. 認識システムへの陰影付き組み合わせ攻撃の標的型バージョンが2回実行され両方のモデルを攻撃したか否かを判断するステップを更に含む請求項1~4のいずれかに記載のコンピュータ実行方法。
  6. 命令群を記憶する1つ以上の持続性コンピュータ読取可能媒体であって、前記命令群は二進数を見直すように構成されたコンピュータシステムにより実行された時、前記コンピュータシステムに少なくとも
    前記コンピュータシステムにより二値画像データを受信するステップであって、前記コンピュータシステムは前記二値画像データ内の画素値を検出し前記二値画像データに関連する非機械語値を提示するように構成される、ステップと、
    画像認識システムによって読まれた時に前記二値画像データに関連する前記非機械語値を変えるように変更された少なくとも1つの画素値を前記二値画像データが更に含むと前記コンピュータシステムにより判断するステップと、
    前記コンピュータシステムにより前記画像認識システムに前記二値画像データを見直すよう警告するステップと
    を実行させる、持続性コンピュータ読取可能媒体。
  7. 前記二値画像データが変更された画素値を含むと判断する前記ステップは、前記画像認識システムの第1人工知能モデル及び第2人工知能モデルが同時に攻撃されたと判断することを含む請求項6記載の持続性コンピュータ読取可能媒体。
  8. 前記画像認識システムの前記第1人工知能モデルは前記二値画像データの数字で書かれた数値額を表す部分を分類し、前記画像認識システムの前記第2人工知能モデルは前記二値画像データの文字で書かれた前記数値額を表す第2部分を分類する、請求項6又は7記載の持続性コンピュータ読取可能媒体。
  9. 前記2つのモデルが同時に攻撃されたと判断する前記ステップは、認識システムへの陰影付き組み合わせ攻撃を使用する非標的型攻撃が前記2つのモデルのうち少なくとも1つに使用されたと判断することを含み、前記方法は認識システムへの陰影付き組み合わせ攻撃の標的型バージョンが2回実行され両方のモデルを攻撃したか否かを判断するステップを随意に更に含む、請求項6~8のいずれかに記載の持続性コンピュータ読取可能媒体。
  10. 前記二値画像データは英数字列又は小切手のうち少なくとも1つであり、前記画像認識システムは随意に光学式文字認識システムである、請求項6~9のいずれかに記載の持続性コンピュータ読取可能媒体。
  11. 二値画像分類のためのモデルの脆弱性を判断するためのコンピュータ実行方法であって、
    コンピュータシステムにより二値画像データを受信するステップであって、前記コンピュータシステムは前記二値画像データ内の複数の画素値の組みをテストし画像認識システムにおける前記二値画像データに関連する非機械語値を提示するように構成される、ステップと、
    前記画像認識システムによって読まれた時に前記二値画像データに関連する前記非機械語値を変えるように変更された少なくとも1つの画素値を前記二値画像データが更に含むと前記コンピュータシステムにより判断するステップと、
    前記コンピュータシステムにより前記画像認識システムがなりすまし攻撃に脆弱であると警告するステップと
    を含み、
    前記二値画像データは任意選択で英数字列又は小切手である、コンピュータ実行方法。
  12. 前記二値画像データが変更された画素値を含むと判断する前記ステップは、前記画像認識システムの第1人工知能モデル及び第2人工知能モデルが同時に攻撃されたと判断することを含む請求項11記載のコンピュータ実行方法。
  13. 前記画像認識システムの前記第1人工知能モデルは前記二値画像データの数字で書かれた数値額を表す部分を分類し、前記画像認識システムの前記第2人工知能モデルは前記二値画像データの文字で書かれた前記数値額を表す第2部分を分類する、請求項11又は12記載のコンピュータ実行方法。
  14. 前記2つのモデルが同時に攻撃されたと判断する前記ステップは、認識システムへの陰影付き組み合わせ攻撃を使用する非標的型攻撃が前記2つのモデルのうち少なくとも1つに使用されたと判断することを含む、請求項11~13のいずれかに記載のコンピュータ実行方法。
  15. 認識システムへの陰影付き組み合わせ攻撃の標的型バージョンが2回実行され両方のモデルを攻撃したか否かを判断するステップを更に含む請求項11~14のいずれかに記載のコンピュータ実行方法。
JP2022547100A 2020-02-06 2021-02-05 二値画像認識システムへのサイバー攻撃の検出及び軽減 Pending JP2023513109A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202062971021P 2020-02-06 2020-02-06
US62/971,021 2020-02-06
PCT/US2021/016787 WO2021158898A1 (en) 2020-02-06 2021-02-05 Detection and mitigation of cyber attacks on binary image recognition systems

Publications (1)

Publication Number Publication Date
JP2023513109A true JP2023513109A (ja) 2023-03-30

Family

ID=74845071

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022547100A Pending JP2023513109A (ja) 2020-02-06 2021-02-05 二値画像認識システムへのサイバー攻撃の検出及び軽減

Country Status (6)

Country Link
US (1) US11875586B2 (ja)
EP (1) EP4100873B1 (ja)
JP (1) JP2023513109A (ja)
CA (1) CA3170146A1 (ja)
IL (1) IL295121B1 (ja)
WO (1) WO2021158898A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11675896B2 (en) * 2020-04-09 2023-06-13 International Business Machines Corporation Using multimodal model consistency to detect adversarial attacks

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7587066B2 (en) * 2005-12-15 2009-09-08 Pitney Bowes Inc. Method for detecting fraud in a value document such as a check
US20170287252A1 (en) 2016-04-03 2017-10-05 Harshal Dwarkanath Laddha Counterfeit Document Detection System and Method
US11341277B2 (en) * 2018-04-20 2022-05-24 Nec Corporation Method and system for securing machine learning models
US11768932B2 (en) * 2019-06-28 2023-09-26 Baidu Usa Llc Systems and methods for fast training of more robust models against adversarial attacks
US11042799B2 (en) * 2019-08-20 2021-06-22 International Business Machines Corporation Cohort based adversarial attack detection
WO2021086837A1 (en) * 2019-10-29 2021-05-06 Woolly Labs, Inc. Dba Vouched System and methods for authentication of documents

Also Published As

Publication number Publication date
US11875586B2 (en) 2024-01-16
CA3170146A1 (en) 2021-08-12
EP4100873A1 (en) 2022-12-14
EP4100873B1 (en) 2024-03-13
WO2021158898A1 (en) 2021-08-12
IL295121A (en) 2022-09-01
IL295121B1 (en) 2024-05-01
US20210248241A1 (en) 2021-08-12

Similar Documents

Publication Publication Date Title
US10944767B2 (en) Identifying artificial artifacts in input data to detect adversarial attacks
US11494496B2 (en) Measuring overfitting of machine learning computer model and susceptibility to security threats
CN111832019B (zh) 基于生成对抗网络的恶意代码检测方法
US20220269796A1 (en) Method and system for securely deploying an artificial intelligence model
US20210300433A1 (en) Systems and methods for defending against physical attacks on image classification
US20190303662A1 (en) Recognition of handwritten characters in digital images using context-based machine learning
Zhao et al. A review of computer vision methods in network security
CN112231703B (zh) 一种结合api模糊处理技术的恶意软件对抗样本生成方法
Wang et al. Deep learning-based efficient model development for phishing detection using random forest and BLSTM classifiers
CN109600362B (zh) 基于识别模型的僵尸主机识别方法、识别设备及介质
US11977626B2 (en) Securing machine learning models against adversarial samples through backdoor misclassification
CN112241530B (zh) 恶意pdf文档的检测方法及电子设备
Yao et al. Deep learning for phishing detection
Dinh et al. Recent advances of Captcha security analysis: a short literature review
Macas et al. Adversarial examples: A survey of attacks and defenses in deep learning-enabled cybersecurity systems
JP2023513109A (ja) 二値画像認識システムへのサイバー攻撃の検出及び軽減
Yu et al. AI-powered GUI attack and its defensive methods
Depuru et al. Deep Learning-based Malware Classification Methodology of Comprehensive Study
Cole et al. A new facial authentication pitfall and remedy in web services
Canady et al. Adversarially robust edge-based object detection for assuredly autonomous systems
CN114021136A (zh) 针对人工智能模型的后门攻击防御系统
US11551137B1 (en) Machine learning adversarial campaign mitigation on a computing device
CN113536322A (zh) 一种基于对抗神经网络的智能合约可重入漏洞检测方法
Rahman et al. An exploratory analysis of feature selection for malware detection with simple machine learning algorithms
Xu et al. Verification Code Recognition Based on Active and Deep Learning

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230323

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230707

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240215