JP2023526809A - 入力データに対して第1のニューラルネットワークを安全に使用するための方法及び第2のニューラルネットワークのパラメータを学習するための方法 - Google Patents
入力データに対して第1のニューラルネットワークを安全に使用するための方法及び第2のニューラルネットワークのパラメータを学習するための方法 Download PDFInfo
- Publication number
- JP2023526809A JP2023526809A JP2022570235A JP2022570235A JP2023526809A JP 2023526809 A JP2023526809 A JP 2023526809A JP 2022570235 A JP2022570235 A JP 2022570235A JP 2022570235 A JP2022570235 A JP 2022570235A JP 2023526809 A JP2023526809 A JP 2023526809A
- Authority
- JP
- Japan
- Prior art keywords
- neural network
- input
- approximating
- target layer
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 90
- 230000006870 function Effects 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims abstract description 15
- 238000012549 training Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 8
- 230000004913 activation Effects 0.000 claims description 7
- 238000003780 insertion Methods 0.000 description 4
- 230000037431 insertion Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 241000282326 Felis catus Species 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003709 image segmentation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 230000003071 parasitic effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/0985—Hyperparameter optimisation; Meta-learning; Learning-to-learn
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Image Analysis (AREA)
Abstract
Description
(a)恒等関数を近似する少なくとも1つの畳み込みニューラルネットワークが挿入される第1のニューラルネットワークに対応する第2のニューラルネットワークを構築するステップ、
(b)前記入力データに対して第2のニューラルネットワークを使用するステップ
を端末のデータ処理手段によって実装することを含むことを特徴とする方法に関する。
(a)恒等関数を近似する少なくとも1つの畳み込みニューラルネットワークが挿入される第1のニューラルネットワークに対応する第2のニューラルネットワークを構築するステップ、
(a1)第2のニューラルネットワークのパラメータを学習データベースから学習するステップ
をサーバのデータ処理手段によって実装することを含むことを特徴とする方法である。
本発明の2つの補完的態様によれば、提案されるものは、
- 第1のニューラルネットワーク(第1のNN)を安全に使用するための方法、
- 第2のニューラルネットワーク(第2のNN)のパラメータを学習するための方法
である。
本発明は、人工超平面を使用して、NNを複雑にすることなく、攻撃者のタスクを複雑化することを提案する。換言すれば、NNをさもなければより煩雑にし、その性能を悪化させることなく、著しくよりロバストにすることにより、NNが安全にされる。
第1の態様によれば、[図2a]に関して提案されるものは、端末2のデータ処理手段21によって実装される、入力データに対して第1のNNを安全に使用するための方法の第1の実施形態である。
1.挿入される恒等CNNの数を選択すること、
2.この数と同数の恒等CNNを(戻すことを伴って又は伴わずに)恒等CNNの組から得ること、
3.得た恒等CNNごとに、作用される(即ちその入力においてCNNが挿入される)標的層を第1のNNの層(具体的には線形及び/又は中間層)の中から選択すること、
4.得られた恒等CNNごとに、この恒等CNNの入力/出力チャネルの数と同数の関連標的層の入力チャネルを選択すること。
ReLU等の活性化関数を有する交互の畳み込み層(線形層)及び非線形層のみで構成される小さいCNNは、恒等の近似の品質及び第1のNNを別様により煩雑にすることなく、超平面を複雑化することの両方の点で非常に優れた結果を与える。
全結合ネットワーク(FCN)タイプの3つの隠れ層を有するReLU NNを第1のNNとして取って試験を行い、隠れ層は、512個、512個及び32個の入力チャネルをそれぞれ有し、このFCNは、手書き数字を認識するため(任意のサイズの入力画像の分類)に使用されている。この第1のNNは、MNIST(Mixed National Institute of Standards and Technology)学習ベースに基づいてこのタスクのために訓練することができ、97.9%の正分類率を示す。
第1のNN及び1つ又は複数の恒等CNNのパラメータを事前に得る代替策として、該当する場合には第2のNNのアーキテクチャを決定するための上述の選択を実装することにより、第1のNN及び恒等CNNのモデルから第2のNNを構築するステップ(a)から直接開始し、その後にのみ第1のNNの学習ベース(例えば、上述のNISTベース)に基づいて第2のNNのパラメータを学習することができる。これは、[図2b]によって示されている実施形態であり、今回は構築及び学習がサーバ1側で実装されていることが理解されるであろう。
第4の態様及び第5の態様によれば、本発明は、入力データに対して第1のニューラルネットワークを安全に使用するために、本発明の第1の態様若しくは第3の態様による方法を、又は第2のニューラルネットワークのパラメータを学習するために、本発明の第2の態様による方法を(具体的にはサーバ1又は端末2のデータ処理手段11、21上で)実行するためのコード命令を含むコンピュータプログラム製品と、また、このコンピュータプログラム製品が含まれる、コンピュータ機器によって読み出され得る記憶手段(サーバ1又は端末2のメモリ12、22)とに関する。
Claims (17)
- 入力データに対して第1のニューラルネットワークを安全に使用するための方法において、以下のステップ:
(a)恒等関数を近似する少なくとも1つの畳み込みニューラルネットワークが前記第1のニューラルネットワーク内の標的層の入力において挿入される前記第1のニューラルネットワークに対応する第2のニューラルネットワークを構築するステップ、
(b)前記入力データに対して前記第2のニューラルネットワークを使用するステップ
を端末(2)のデータ処理手段(21)によって実装することを含むことを特徴とする方法。 - 前記畳み込みニューラルネットワークは、前記標的層の入力サイズよりも小さい出力サイズを有して、前記標的層の特定の入力チャネルのみを近似する、請求項1に記載の方法。
- ステップ(a)は、前記第1のニューラルネットワークの層の中から前記第1のニューラルネットワークの前記標的層を選択するステップを含む、請求項1又は2に記載の方法。
- ステップ(a)は、前記標的層の前記入力チャネルの全ての中から、近似される前記標的層の入力チャネルを選択するステップを含む、請求項1~3の何れか一項に記載の方法。
- 前記恒等関数を近似する前記少なくとも1つの畳み込みニューラルネットワークは、2つの整数の積に等しい出力サイズを有する、請求項1~4の何れか一項に記載の方法。
- 前記第1のニューラルネットワーク及び前記恒等関数を近似する前記少なくとも1つの畳み込みニューラルネットワークのパラメータを得る予備ステップ(a0)を含む、請求項1~5の何れか一項に記載の方法。
- ステップ(a0)は、前記恒等関数を近似する畳み込みニューラルネットワークの組のパラメータを得るステップを含み、ステップ(a)は、挿入される前記恒等関数を近似する少なくとも1つの畳み込みニューラルネットワークを前記組から選択するステップを含む、請求項6に記載の方法。
- ステップ(a)は、前記恒等関数を近似する選択された畳み込みニューラルネットワークごとに、前記第1のニューラルネットワークの前記層の中から前記第1のニューラルネットワークの前記標的層を選択するステップ及び/又は前記標的層の前記入力チャネルの全ての中から、近似される前記標的層の前記入力チャネルを選択するステップを含む、請求項7に記載の方法。
- ステップ(a)は、選択される前記組の前記恒等関数を近似する畳み込みニューラルネットワークの数を事前に選択するステップを更に含む、請求項7又は8に記載の方法。
- ステップ(a0)は、前記第1のニューラルネットワーク及び前記恒等関数を近似する前記少なくとも1つの畳み込みニューラルネットワークの前記パラメータを少なくとも1つの学習データベースから学習する、サーバ(1)のデータ処理手段(11)によって実装されるステップである、請求項6~9の何れか一項に記載の方法。
- 前記第1のニューラルネットワーク及び前記恒等関数を近似する前記1つ又は複数の畳み込みニューラルネットワークは、ReLU関数等の活性化関数を有する交互の線形層及び非線形層を含む、請求項1~10の何れか一項に記載の方法。
- 前記標的層は、線形層である、請求項11に記載の方法。
- 前記恒等関数を近似する前記少なくとも1つの畳み込みニューラルネットワークは、例えば、サイズ5×5のフィルタ畳み込み層である2つ又は3つの線形層を含む、請求項11又は12に記載の方法。
- 第2のニューラルネットワークのパラメータを学習するための方法において、以下のステップ:
(a)恒等関数を近似する少なくとも1つの畳み込みニューラルネットワークが第1のニューラルネットワーク内の標的層の入力において挿入される前記第1のニューラルネットワークに対応する前記第2のニューラルネットワークを構築するステップ、
(a1)前記第2のニューラルネットワークの前記パラメータを学習データベースから学習するステップ
をサーバ(1)のデータ処理手段(11)によって実装することを含むことを特徴とする方法。 - 入力データに対して第1のニューラルネットワークを安全に使用するための方法であって、請求項14に記載の方法に従って第2のニューラルネットワークのパラメータを学習するステップと、前記入力データに対して前記第2のニューラルネットワークを使用するステップ(b)を端末(2)のデータ処理手段(21)によって実装するステップとを含む方法。
- コンピュータプログラム製品であって、前記プログラムがコンピュータによって実行されるとき、第2のニューラルネットワークのパラメータを学習するために、又は入力データに対して第1のニューラルネットワークを安全に使用するために、請求項1~15の何れか一項に記載の方法を実行するためのコード命令を含むコンピュータプログラム製品。
- コンピュータ機器によって読み出され得る記憶媒体であって、コンピュータプログラム製品は、第2のニューラルネットワークのパラメータを学習するために、又は入力データに対して第1のニューラルネットワークを安全に使用するために、請求項1~15の何れか一項に記載の方法を実行するためのコード命令を含む、記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2004945A FR3110268B1 (fr) | 2020-05-18 | 2020-05-18 | Procédés d’utilisation sécurisée d’un premier réseau de neurones sur une donnée d’entrée, et d’apprentissage de paramètres d’un deuxième réseau de neurones |
FR2004945 | 2020-05-18 | ||
PCT/FR2021/050842 WO2021234252A1 (fr) | 2020-05-18 | 2021-05-14 | Procédés d'utilisation sécurisée d'un premier réseau de neurones sur une donnée d'entrée, et d'apprentissage de paramètres d'un deuxième réseau de neurones |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023526809A true JP2023526809A (ja) | 2023-06-23 |
JPWO2021234252A5 JPWO2021234252A5 (ja) | 2024-05-23 |
Family
ID=72644318
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022570235A Pending JP2023526809A (ja) | 2020-05-18 | 2021-05-14 | 入力データに対して第1のニューラルネットワークを安全に使用するための方法及び第2のニューラルネットワークのパラメータを学習するための方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20230196073A1 (ja) |
EP (1) | EP4154189A1 (ja) |
JP (1) | JP2023526809A (ja) |
FR (1) | FR3110268B1 (ja) |
WO (1) | WO2021234252A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3133469A1 (fr) | 2022-03-09 | 2023-09-15 | Idemia Identity & Security France | Procédé d’utilisation sécurisée d’un premier réseau de neurones sur une donnée d’entrée |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11023593B2 (en) * | 2017-09-25 | 2021-06-01 | International Business Machines Corporation | Protecting cognitive systems from model stealing attacks |
-
2020
- 2020-05-18 FR FR2004945A patent/FR3110268B1/fr active Active
-
2021
- 2021-05-14 JP JP2022570235A patent/JP2023526809A/ja active Pending
- 2021-05-14 WO PCT/FR2021/050842 patent/WO2021234252A1/fr unknown
- 2021-05-14 US US17/999,155 patent/US20230196073A1/en active Pending
- 2021-05-14 EP EP21732457.3A patent/EP4154189A1/fr active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2021234252A1 (fr) | 2021-11-25 |
FR3110268B1 (fr) | 2022-10-21 |
FR3110268A1 (fr) | 2021-11-19 |
US20230196073A1 (en) | 2023-06-22 |
EP4154189A1 (fr) | 2023-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Raff et al. | Barrage of random transforms for adversarially robust defense | |
Pinto et al. | Face spoofing detection through visual codebooks of spectral temporal cubes | |
Goel et al. | Dual branch convolutional neural network for copy move forgery detection | |
Wang et al. | Amora: Black-box adversarial morphing attack | |
Khammari | Robust face anti‐spoofing using CNN with LBP and WLD | |
Xue et al. | Dp-image: Differential privacy for image data in feature space | |
WO2021047482A1 (en) | Method and system for performing steganographic technique | |
US20220198711A1 (en) | Learned forensic source system for identification of image capture device models and forensic similarity of digital images | |
CN111507386A (zh) | 一种存储文件及网络数据流加密通信检测方法及系统 | |
CN104618350A (zh) | 一种图片验证码的生成方法 | |
CN110826420A (zh) | 人脸识别模型的训练方法及装置 | |
Hashim et al. | An extensive analysis and conduct comparative based on statistical attach of LSB substitution and LSB matching | |
Joslin et al. | Attributing and detecting fake images generated by known GANs | |
Nguyen et al. | Generative adversarial networks and image-based malware classification | |
WO2021086572A1 (en) | Signature verification | |
JP2023526809A (ja) | 入力データに対して第1のニューラルネットワークを安全に使用するための方法及び第2のニューラルネットワークのパラメータを学習するための方法 | |
Alkhowaiter et al. | Evaluating perceptual hashing algorithms in detecting image manipulation over social media platforms | |
Jasmine et al. | A privacy preserving based multi-biometric system for secure identification in cloud environment | |
TWI822309B (zh) | 生物特徵識別方法、伺服器、客戶端、生成對抗樣本的方法、電腦儲存媒體及電腦程式產品 | |
US11574180B2 (en) | Methods for learning parameters of a convolutional neural network, and classifying an input datum | |
Alkhowaiter et al. | Image authentication using self-supervised learning to detect manipulation over social network platforms | |
Shashidhar et al. | Novel framework for optimized digital forensic for mitigating complex image attacks | |
Lou et al. | Black-box attack against GAN-generated image detector with contrastive perturbation | |
Mohammadi et al. | Privacy-preserving deep-learning models for fingerprint data using differential privacy | |
Wu et al. | Giid-net: Generalizable image inpainting detection network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240514 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240514 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20240514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240611 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240621 |