WO2020034800A1

WO2020034800A1 - 机器学习模型的处理方法、装置、介质及电子设备

Info

Publication number: WO2020034800A1
Application number: PCT/CN2019/096183
Authority: WO
Inventors: 张博
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2018-08-15
Filing date: 2019-07-16
Publication date: 2020-02-20
Also published as: CN109255234A; CN109255234B

Abstract

一种机器学习模型的处理方法、装置、计算机可读介质及电子设备。该机器学习模型的处理方法包括：获取机器学习模型的模型文件和需要添加至所述模型文件中的目标操作单元（S310）；将所述目标操作单元添加至所述模型文件中，得到处理后的模型文件（S320）；运行所述处理后的模型文件，以在所述处理后的模型文件的运行过程中执行所述目标操作单元（S330）。

Description

机器学习模型的处理方法、装置、介质及电子设备

本申请要求于2018年8月15日提交中国专利局、申请号为201810930411.9，申请名称为“机器学习模型的处理方法、装置、介质及电子设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机及通信技术领域，具体而言，涉及一种机器学习模型的处理方法、装置、计算机可读介质及电子设备。

背景技术

机器学习框架封装实现了常见的机器学习和深度学习算法，并提供易用的接口，可用来快速训练机器学习模型或验证新的机器学习算法等。在利用机器学习框架对机器学习模型进行训练后，可以把模型保存至文件中得到模型文件，以用于后续跨环境部署或共享给其他人使用。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本申请的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本申请的实施例提供了一种机器学习模型的处理方法、装置、计算机可读介质及电子设备，可以解决不能方便地对机器学习模型的模型文件进行修改的问题。

本申请的其它特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

本申请实施例提供了一种机器学习模型的处理方法，由电子设备执行，该方法包括：获取机器学习模型的模型文件和需要添加至所述模型文件中的目标操作单元(操作单元即为Operation)；调用所述机器学习模型对应的机器学习框架中的应用程序编程接口向所述模型文件中添加所述目标操作单元，得到处理后的模型文件，其中，所述目标操作单元不影响所述模型文件的输出结果；运行所述处理后的模型文件，以在所述处理后的模型文件的运行过程中执行所述目标操作单元。

本申请实施例提供了一种机器学习模型的处理方法，由电子设备执行，该包括：获取机器学习模型的模型文件；解析所述模型文件，以得到所述模型文件包含的各个操作单元；对所述各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元。

本申请实施例提供了一种机器学习模型的处理装置，包括：获取单元，用于获取机器学习模型的模型文件和需要添加至所述模型文件中的目标操作单元；添加单元，用于调用所述机器学习模型对应的机器学习框架中的应用程序编程接口向所述模型文件中添加所述目标操作单元，得到处理后的模型文件，其中，所述目标操作单元不影响所述模型文件的输出结果；处理单元，用于运行所述处理后的模型文件，以在所述处理后的模型文件的运行过程中执行所述目标操作单元。

本申请实施例提供了一种机器学习模型的处理装置，包括：获取单元，用于获取机器学习模型的模型文件；解析单元，用于解析所述模型文件，以得到所述模型文件包含的各个操作单元；检测单元，用于对所述各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元。

本申请实施例提供了一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本申请任一实施例中所述的机器学习模型的处理方法。

本申请实施例提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现本申请任一实施例中所述的机器学习模型的处理方法。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。在附图中：

图1示出了可以应用本申请实施例的机器学习模型的处理方法或机器学习模型的处理装置的示例性系统架构的示意图；

图2示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图；

图3示意性示出了根据本申请的一个实施例的机器学习模型的处理方法的流程图；

图4示意性示出了根据本申请的另一个实施例的机器学习模型的处理方法的流程图；

图5示出了根据本申请的一个实施例的机器学习系统的架构示意图；

图6示出了根据本申请的一个实施例的TensorFlow模型的生成过程示意图；

图7示出了根据本申请的一个实施例的使用TensorFlow框架构建AI系统的流程图；

图8示意性示出了根据本申请的一个实施例的攻击测试方法的流程图；

图9A示意性示出了根据本申请的一个实施例的机器学习模型的处理装置的框图；

图9B示意性示出了根据本申请的另一个实施例的机器学习模型的处理装置的框图；

图10A示意性示出了根据本申请的另一个实施例的机器学习模型的处理装置的框图；

图10B示意性示出了根据本申请的另一个实施例的机器学习模型的处理装置的框图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本申请将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本申请的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本申请的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

一般地，若机器学习模型的模型文件不能满足用户的需求，则需要重新对机器学习模型进行训练，这种方式不仅费时费力，而且灵活性较差。

有鉴于此，本申请实施例提供了一种机器学习模型的处理方法、装置、计算机可读介质及电子设备，可以解决不能方便地对机器学习模型的模型文件进行修改的问题。

图1示出了可以应用本申请实施例的机器学习模型的处理方法或机器学习模型的处理装置的示例性系统架构100的示意图。

如图1所示，系统架构100可以包括终端设备(如终端设备101、终端设备102和终端设备103中的一种或多种)、网络104和服务器105。终端设备可以是具有显示屏的各种电子设备，包括但不限于智能手机、平板电脑、便携式计算机和台式计算机等等。网络104用以在终端设备和服务器105之间提供通信链路的介质，网络104可以包括各种连接类型，例如有线通信链路、无线通信链路等等。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。

用户可以使用终端设备通过网络104与服务器105交互，以接收或发送消息等。服务器105可以是提供各种服务的服务器。例如用户可以使用终端设备将机器学习模型的模型文件和需要添加至模型文件中的目标操作单元上传至服务器105。服务器105可以将该目标操作单元添加至模型文件中，得到处理后的模型文件，进而服务器105可以运行该处理后的模型文件，以在处理后的模型文件的运行过程中执行该目标操作单元。具体地，比如用户可以将用于进行攻击测试的操作单元上传至服务器105，服务器105可以将该用于攻击测试的操作单元添加至模型文件中，进而通过执行该用于攻击测试的操作单元来进行攻击测试。

需要说明的是，本申请实施例所提供的机器学习模型的处理方法一般由服务器105执行，相应地，机器学习模型的处理装置一般设置于服务器105中。但是，在本申请的其它实施例中，终端也可以与服务器具有相似的功能，从而执行本申请实施例所提供的机器学习模型的处理方案。

图2示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图2示出的电子设备的计算机系统200仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图2所示，计算机系统200包括中央处理单元(Central Processing Unit，CPU)201，其可以根据存储在只读存储器(Read-Only Memory，ROM)202中的程序或者从存储部分208加载到随机访问存储器(Random Access Memory，RAM)203中的程序而执行各种适当的动作和处理。在RAM 203中，还存储有系统操作所需的各种程序和数据。CPU 201、ROM 202以及RAM 203通过总线204彼此相连。输入/输出(Input/Output，I/O)接口205也连接至总线204。

以下部件连接至I/O接口205：包括键盘、鼠标等的输入部分206；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分207；包括硬盘等的存储部分208；以及包括诸如LAN(Local Area Network，局域网)卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至I/O接口205。可拆卸介质211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器210上，以便于从其上读出的计算机程序根据需要被安装入存储部分208。

特别地，根据本申请的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分209从网络上被下载和安装，和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(CPU)201执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请实施例中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

本申请实施例还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如下述实施例中所述的方法。例如，所述的电子设备可以实现如图3 和图4所示的各个步骤。

以下对本申请实施例的技术方案的实现细节进行详细阐述。

图3示意性示出了根据本申请的一个实施例的机器学习模型的处理方法的流程图，该机器学习模型的处理方法可由前述实施例中所述的电子设备执行。参照图3所示，该机器学习模型的处理方法至少包括步骤S310至步骤S340，详细介绍如下：

在步骤S310中，获取机器学习模型的模型文件和需要添加至所述模型文件中的目标操作单元。

在本申请的一个实施例中，机器学习模型的模型文件可以是通过序列化的方式进行存储的，并且机器学习模型可以是基于图模型的流失计算模型，比如TensorFlow(谷歌研发的人工智能学习系统)模型。

在步骤S320中，将所述目标操作单元添加至所述模型文件中，得到处理后的模型文件。

在本申请的一个实施例中，可以调用机器学习模型对应的机器学习框架中的应用程序编程接口(即Application Programming Interface，简称API)向模型文件中添加目标操作单元。具体地，可以将目标操作单元插入模型文件中的设定位置，或者可以通过目标操作单元替换模型文件中的指定操作单元来将目标操作单元添加至模型文件中。在本申请实施例中，所述目标操作单元不影响所述模型文件的输出结果。

在步骤S330中，运行所述处理后的模型文件，以在所述处理后的模型文件的运行过程中执行所述目标操作单元。

在本申请的一个实施例中，可以加载处理后的模型文件的运行环境，进而在该运行环境中解析并执行所述目标操作单元。

图3所示实施例的技术方案使得模型使用者能够根据实际需求向模型文件中添加相应的操作单元以实现相应的功能，不仅能够方便地对机器学习模型的模型文件进行修改，而且提高了对模型文件进行修改的灵活性。

在本申请的一个实施例中，可以将处理后的模型文件加载至安全沙箱中，以在该安全沙箱中运行处理后的模型文件。其中，安全沙箱是一个独立的虚拟环境，其可以按照安全策略限制程序的运行，该实施例中通过将处理后的模型文件加载至安全沙箱中来运行，使得即便模型文件中包含恶意的操作单元，也能够避免对运行模型文件的设备造成危害，提高了设备的安全性能。

在本申请的一个实施例中，可以在运行处理后的模型文件之前，对处理后的模型文件中包含的各个操作单元进行安全性检测，以确定该模型文件中是否存在可疑的操作单元，若确定模型文件中不存在可疑的操作单元，则运行处理后的模型文件。该实施例的技术方案可以有效检测出模型文件中包含的可疑的操作单元，保证模型文件的运行安全性。

在本申请的一个实施例中，上述的需要添加至模型文件中的目标操作单元可以是用于进行攻击测试的操作单元，进而可以在执行目标操作单元的过程中对机器学习模型进行攻击测试。

图4示意性示出了根据本申请的另一个实施例的机器学习模型的处理方法的流程图。该机器学习模型的处理方法可由前述实施例中所述的电子设备执行。

参照图4所示，根据本申请的另一个实施例的机器学习模型的处理方法，包括如下步骤：

步骤S410，获取机器学习模型的模型文件。

在本申请的一个实施例中，机器学习模型的模型文件可以是通过序列化的方式进行存储的，并且机器学习模型可以是基于图模型的流失计算模型，比如TensorFlow模型。

步骤S420，解析所述模型文件，以得到所述模型文件包含的各个操作单元。

步骤S430，对所述各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元。

在本申请的一个实施例中，可以根据各个操作单元调用的应用程序编程接口，确定各个操作单元调用的应用程序编程接口是否异常，进而将调用的应用程序编程接口异常的操作单元确定为可疑的操作单元。比如若不允许调用写操作的API接口，但是检测到某个操作单元调用了该 API接口，那么可以确定该操作单元是可疑的操作单元。

在本申请的一个实施例中，若确定模型文件中存在可疑的操作单元，则进行预警提示；和/或若确定模型文件中不存在可疑的操作单元，则运行所述模型文件。

图4所示实施例的技术方案能够在运行模型文件之前，对模型文件中包含的操作单元的安全性进行确认，避免了模型文件中含有非法的操作单元而出现恶意攻击的问题，提高了模型文件的安全性。

在本申请的一个具体应用场景中，可以将用于攻击测试的操作单元添加至模型文件中，以通过对机器学习模型进行攻击测试来发现机器学习模型的漏洞，进而对机器学习模型进行完善，从而提高机器学习模型的安全性。以下对该具体应用场景的细节进行详细阐述。

如图5所示，根据本申请的一个实施例的机器学习系统的架构，主要包括机器学习框架501、机器学习框架501依赖的第三方软件库502，以及运行在机器学习框架之上的应用程序503。其中，机器学习框架501可以是诸如TensorFlow、Caffe(Convolutional Architecture for Fast Feature Embedding，卷积神经网络框架)、Torch(一种基于Lua脚本语言的机器学习框架)等。第三方软件库502可以包括Protobuf(全称为Protocol Buffer，是谷歌提出的一种数据交换的格式)、Libpng(是一款C语言编写的比较底层的读写PNG文件的跨平台的库)、Libgif(是一款C语言编写的比较底层的读写GIF文件的跨平台的库)、OpenCV(Open Source Computer Vision Library，开源计算机视觉库)、Libpeg(是一款C语言编写的比较底层的读写PEG文件的跨平台的库)、Ffmpeg(一套可以用来记录、转换数字音频、视频，并能将其转化为流的开源计算机程序)等。应用程序503可以包括程序、数据、模型等。

在本申请的一个实施例中，可以通过对机器学习框架依赖的第三方软件库502进行软件Fuzzing(一种基于缺陷注入的自动软件测试技术)测试，以发现存在的安全漏洞。但是，由于机器学习框架是一个复杂的软件系统，除第三方软件库502之外，机器学习框架本身也会存在安全问题，因此在本申请的实施例中，针对机器学习框架的安全性进行了分析，并针对机器学习框架提出了相应的攻击测试方案。其中，目前流行的机器学习框架的计算模型可以分为基于图模型的流式计算模型和类似普通计算机编程语言的程序式计算模型，其中，大多数机器学习框架采用基于图模型的流式计算模型，典型的即为TensorFlow模型，以下以TensorFlow模型为例，对本申请实施例的技术方案的实现细节进行详细阐述。

如图6所示，在本申请的一个实施例中，机器学习算法中的所有计算在TensorFlow中均以Graph(图表)表示，Graph中的Operation(操作)表示一个具体的计算操作，如Add操作用于对2个数值进行相加；Tensor(张量)表示数据，Tensor可作为Operation的输入或输出，数据的具体流向用Graph中的边表示。在TensorFlow中训练一个机器学习模型的流程如下：

1)准备工作：根据要解决的实际问题，设计机器学习算法及准备训练使用的样本数据；

2)构建Graph：使用TensorFlow提供的API，根据算法构建Graph；

3)执行Graph：调用TensorFlow API执行Graph，该过程就是模型的训练过程，Graph运行在TensorFlow的Runtime(运行时刻，指一个程序在运行的状态)环境之上；

4)生成TensorFlow模型：训练完成后，生成算法的参数，然后把模型保存在文件中，供后续部署或优化使用。

在本申请的一个实施例中，如图7所示，使用TensorFlow框架构建AI(Artificial Intelligence，人工智能)系统的过程包括了机器学习模型的训练及部署，具体包括如下步骤：

步骤S701，确定样本数据及算法。

步骤S702，获取并训练机器学习模型，比如将公开的训练好的模型作为待使用的机器学习模型进行训练。

步骤S703，判断训练后的机器学习模型是否满足需求，若是，则执行步骤S704；否则，返回步骤S701。

步骤S704，在确定训练后的机器学习模型满足需求时，部署机器学习模型。

基于上述的流程，通过对TensorFlow模型的训练及部署过程的系统性分析可以得出TensorFlow模型存在以下三类攻击方式：

1)数据攻击：在模型训练阶段和模型部署到生成环境后，模型会接收来自外部的数据(如样本数据)，如果机器学习框架对数据解析处理存在缺陷，则会导致此类攻击，典型的输入数据如图片、音频等。

2)模型攻击：各类机器学习框架均存在大量其他研究者训练好的模型，框架使用者可以对这些模型重新训练以满足自己的需求，也可以直接用于生产环境部署，但这些外部模型属于不可信数据，如果框架对模型处理存在缺陷，则会导致此类攻击。

3)算法攻击：前人已做过大量研究，针对机器学习算法存在的缺陷，可生成恶意样本，致使模型的判断结果不符合预期。

在本申请的一个实施例中，对于数据攻击，可以通过对数据进行检测处理来保证输入至机器学习模型中的数据的安全性；对于算法攻击，可以通过完善机器学习算法的缺陷来确保模型判断结果的准确性。以下实施例将详细阐述对于模型攻击的处理。

在本申请的一个实施例中，TensorFlow中训练好的模型可以保存为序列化后的文件，文件中保存有Graph的所有数据结构，包括Operation和Tensor。当再次使用模型文件时，其中的Operation操作可在TensorFlow的Runtime环境中被解释执行，因此可以认为TensorFlow的模型文件中保存有可以被执行的代码，这是一个相当大的风险点。基于此，如果在模型文件中插入恶意的Operation，当他人使用该模型文件时，其中的恶意Operation就会被执行，造成不可预期的后果。

本申请的实施例中通过图8所示的攻击测试流程对该攻击方式进行了说明，主要包括如下步骤：

步骤S801，生成正常的模型文件。

步骤S802，在正常的模型文件中插入恶意Operation，生成恶意模型文件。具体地，该过程可利用TensorFlow提供的合法API完成，即通过API将恶意模型文件插入到正常的模型文件中。

步骤S803，把恶意模型文件公开放置到互联网上，如放置到GitHub(一个面向开源及私有软件项目的托管平台)，供他人下载使用。

步骤S804，模型下载者在下载恶意模型文件后运行模型。由于模型文件的共享及使用预先训练好的模型是一个很常见的场景，并且目前用户对于模型文件的认知仍停留在机器学习模型文件是一个数据文件，基本无害的层面，因此通常情况下模型下载者并不会过多关注模型文件的安全性。同时，模型文件在TensorFlow中运行时，对于用户而言并不会有任何异常，模型可能仍会输出符合预期的结果。

步骤S805，恶意Operation被执行，可能会造成诸如电脑被控制、数据被盗取等后果。具体地，恶意Operation所做的动作取决于恶意Operation中的代码。

图8所示的攻击测试方法发现并利用了TensorFlow框架固有的安全机制缺失，具有以下3个特点：

1)影响面广：该风险在TensorFlow的所有版本中均存在，且攻击过程利用了互联网的传播特性。

2)隐蔽性高：攻击过程的几个关键点如下载模型、运行模型文件等均不会表现出任何异常，用户较难察觉，即该攻击过程具有很强的隐蔽性。

3)修复成本较高：该攻击利用的是TensorFlow的基础特性，即基于图的计算模型，无法从根本上修复该特性，需要增加其他的安全机制来防御此类攻击。

通过上述的攻击测试方法发现了机器学习框架的安全漏洞，进而可以引起业界对机器学习框架安全性的关注，改善了机器学习框架的安全性，并提高机器学习框架用户的安全意识。此外，本申请的实施例还提出了相应的应对策略，以尽可能提高模型文件的执行安全性，具体如下：

应对策略1：使用沙箱(Sandbox)机制，在沙箱中运行不可信的模型文件(如TensorFlow模型文件)，这样即使模型文件中存在恶意的Operation，也可以将危害限制在沙箱中，不会影响到用户电脑及私密数据的安全性。

应对策略2：采用模型文件安全扫描工具，该扫描工具用于扫描模型文件中的所有Operation，对可疑Operation发出警告或提醒。用户在使用不可信的机器学习模型之前，可以使用该扫描工具对模型文件进行检查。

应对策略3：由于用户通常认为模型文件为数据文件，是无害的，但是通过上述分析可知，模型文件可以被当作一个基于图的程序被执行，因此可以通过安全稳定来提高用户的安全意识。

上述应用场景中以在模型文件中添加恶意的Operation来进行攻击测试为例对本申请实施例的技术方案进行了阐述，在本申请的其它应用场景中，还可以在模型文件中添加其它自定义的Operation，以实现不同的功能，即用户可以根据实际需求自定义Operation中的代码，进而添加至模型文件中来执行。

以下介绍本申请的装置实施例，可以用于执行本申请上述实施例中的机器学习模型的处理方法。对于本申请装置实施例中未披露的细节，请参照本申请上述的机器学习模型的处理方法的实施例。

图9A示意性示出了根据本申请的一个实施例的机器学习模型的处理装置的框图。

参照图9A所示，根据本申请的一个实施例的机器学习模型的处理装置900，包括：第一获取单元902、添加单元904和处理单元906。

其中，第一获取单元902用于获取机器学习模型的模型文件和需要添加至所述模型文件中的目标操作单元；添加单元904用于将所述目标操作单元添加至所述模型文件中，得到处理后的模型文件；处理单元906用于运行所述处理后的模型文件，以在所述处理后的模型文件的运行过程中执行所述目标操作单元。

在本申请的一个实施例中，所述添加单元904被配置为：将所述目标操作单元插入所述模型文件中的设定位置；或通过所述目标操作单元替换所述模型文件中的指定操作单元。

在本申请的一个实施例中，所述添加单元904被配置为：调用所述机器学习模型对应的机器学习框架中的应用程序编程接口向所述模型文件中添加所述目标操作单元。

在本申请的一个实施例中，所述处理单元906被配置为：加载所述处理后的模型文件的运行环境，在所述运行环境中解析并执行所述目标操作单元。

在本申请的一个实施例中，所述目标操作单元包括：用于进行攻击测试的操作单元；所述处理单元906还用于：在执行所述目标操作单元的过程中对所述机器学习模型进行攻击测试。

在本申请的一个实施例中，所述机器学习模型包括：基于图模型的流式计算模型。

在本申请的一个实施例中，所述处理单元906被配置为：将所述处理后的模型文件加载至安全沙箱中，以在所述安全沙箱中运行所述处理后的模型文件。

在本申请的一个实施例中，如图9B所示，机器学习模型的处理装置900还包括：第一检测单元908，用于对所述处理后的模型文件中包含的各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元；所述处理单元906被配置为，在所述第一检测单元确定所述模型文件中不存在可疑的操作单元时，运行所述处理后的模型文件。

在本申请的一个实施例中，所述第一检测单元908被配置为：根据所述各个操作单元调用的应用程序编程接口，确定所述各个操作单元调用的应用程序编程接口是否异常；将调用的应用程序编程接口异常的操作单元确定为可疑的操作单元。

图10A示意性示出了根据本申请的另一个实施例的机器学习模型的处理装置的框图。

参照图10A所示，根据本申请的另一个实施例的机器学习模型的处理装置1000，包括：第二获取单元1002、解析单元1004和第二检测单元1006。

其中，第二获取单元1002用于获取机器学习模型的模型文件；解析单元1004用于解析所述模型文件，以得到所述模型文件包含的各个操作单元；第二检测单元1006用于对所述各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元。

在本申请的一个实施例中，如图10B所示，机器学习模型的处理装置1000还包括：处理单元1008，用于在所述第二检测单元1006确定所述模型文件中存在可疑的操作单元时，进行预警提示；和/或用于在所述第二检测单元1006确定所述模型文件中不存在可疑的操作单元时，运行所述模型文件。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本申请实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的申请后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims

一种机器学习模型的处理方法，由电子设备执行，包括：

获取机器学习模型的模型文件和需要添加至所述模型文件中的目标操作单元；

调用所述机器学习模型对应的机器学习框架中的应用程序编程接口向所述模型文件中添加所述目标操作单元，得到处理后的模型文件，其中，所述目标操作单元不影响所述模型文件的输出结果；

运行所述处理后的模型文件，以在所述处理后的模型文件的运行过程中执行所述目标操作单元。
根据权利要求1所述的机器学习模型的处理方法，所述将所述目标操作单元添加至所述模型文件中，包括：

将所述目标操作单元插入所述模型文件中的设定位置；或

通过所述目标操作单元替换所述模型文件中的指定操作单元。
根据权利要求1所述的机器学习模型的处理方法，所述运行所述处理后的模型文件，以在所述处理后的模型文件的运行过程中执行所述目标操作单元，包括：

加载所述处理后的模型文件的运行环境，在所述运行环境中解析并执行所述目标操作单元。
根据权利要求1所述的机器学习模型的处理方法，所述目标操作单元包括：用于进行攻击测试的操作单元；

所述处理方法还包括：在执行所述目标操作单元的过程中对所述机器学习模型进行攻击测试。
根据权利要求1所述的机器学习模型的处理方法，所述机器学习模型包括：基于图模型的流式计算模型。
根据权利要求1至5中任一项所述的机器学习模型的处理方法，所述运行所述处理后的模型文件，包括：

将所述处理后的模型文件加载至安全沙箱中，以在所述安全沙箱中运行所述处理后的模型文件。
根据权利要求1至5中任一项所述的机器学习模型的处理方法，在运行所述处理后的模型文件之前，还包括：

对所述处理后的模型文件中包含的各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元；

若确定所述模型文件中不存在可疑的操作单元，则运行所述处理后的模型文件。
根据权利要求7所述的机器学习模型的处理方法，所述对所述处理后的模型文件中包含的各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元，包括：

根据所述各个操作单元调用的应用程序编程接口，确定所述各个操作单元调用的应用程序编程接口是否异常；

将调用的应用程序编程接口异常的操作单元确定为可疑的操作单元。
一种机器学习模型的处理方法，由电子设备执行，包括：

获取机器学习模型的模型文件；

解析所述模型文件，以得到所述模型文件包含的各个操作单元；

对所述各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元。
根据权利要求9所述的机器学习模型的处理方法，还包括：

若确定所述模型文件中存在可疑的操作单元，则进行预警提示；和/或

若确定所述模型文件中不存在可疑的操作单元，则运行所述模型文件。
一种机器学习模型的处理装置，包括：

获取单元，用于获取机器学习模型的模型文件和需要添加至所述模型文件中的目标操作单元；

添加单元，用于调用所述机器学习模型对应的机器学习框架中的应用程序编程接口向所述模型文件中添加所述目标操作单元，得到处理后的模型文件，其中，所述目标操作单元不影响所述模型文件的输出结果；

处理单元，用于运行所述处理后的模型文件，以在所述处理后的模型文件的运行过程中执行所述目标操作单元。
一种机器学习模型的处理装置，包括：

获取单元，用于获取机器学习模型的模型文件；

解析单元，用于解析所述模型文件，以得到所述模型文件包含的各个操作单元；

检测单元，用于对所述各个操作单元进行安全性检测，以确定所述模型文件中是否存在可疑的操作单元。
一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至10中任一项所述的方法。
一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至10中任一项所述的方法。