WO2020173252A1

WO2020173252A1 - 运用自锁机制保护深度神经网络的方法、系统及终端

Info

Publication number: WO2020173252A1
Application number: PCT/CN2020/072807
Authority: WO
Inventors: 范力欣; 范力颖
Original assignee: 笵成科技南京有限公司
Priority date: 2019-02-28
Filing date: 2020-01-17
Publication date: 2020-09-03
Also published as: CN109919303A; CN109919303B

Abstract

本公开属于人工智能领域，自锁机制包括两个核心过程：首先，在训练神经网络时，使用特定的数字密匙进行加锁处理；其次，在使用时，经过处理的深度神经网络需要与密匙相互配合，才能发挥正常的功能。通过本公开所提供的自锁机制，如果没有密匙配合的盗版网络，则无法发挥正常功能，由此解决了相关技术中所提供的数字水印保护机制只能证明神经网络的归属权，而维权必须通过法律途径，时效性差而且成本高昂。

Description

运用自锁机制保护深度神经网络的方法、系统及终端

技术领域

本公开实施例涉及人工智能领域，尤其涉及一种运用自锁机制保护深度神经网络的方法、系统及终端。背景技术

深度神经网络：也简称神经网络或者网络，是指在二十一世纪初取得重大突破的人工智能技术。其基本特征是通过多层次的，由局部到全局的特征提取，来学习对输入信号的智能处理能力。输入信号可以是一维的语音信号，也可以是高维度的图像，视频等多媒体数字信号。针对给定的数字信号样本，深度学习算法通过调整及优化深度神经网络的海量参数，来掌握所需要的数据处理能力。不同的数字样本和网络结构，决定了神经网络不同类型的数据处理能力。不同的网络参数值，则决定了同一类处理能力的能力高低。在网络结构上，深度神经网络有多种不同形式 (如卷积神经网络 CNN, 递归神经网络 RNN，生成对抗网络 GAN 等等)。在应用功能上，神经网络可以用于语音识别，自然语言处理 NLP，计算机视觉 CV，大数据挖掘等等。在运算载体上，神经网络可以运行在计算机中央处理器 (CPU) , 图形加速器 (GPU)，张量处理器 (TPU)，专用人工智能芯片，云计算中心，移动设备，可穿戴设备，智能视频终端，车载设备及其他交通工具，物联网设备 (IoT devices) 等中。数字卷积运算：是各种深度神经网络的核心运算，其本质是对输入数据在滑动窗口中，按网络卷积核 (convolution kernel)参数计算其加权和 (或者加权平均)，作为对下一层次的输入。不同的网络参数，决定了不同的加权权重值，也就决定了对下一层次不同的数据输入。特别地，在神经网络卷积层中 (convolution layer)，是用较小尺寸的卷积核 (convolution kernel)去滑动覆盖输入信号的整个维度空间。而在全连接层中 (fully connected layer) , 是用全尺寸的卷积核直接与输入信号计算加权和，即不需要滑动卷积核。所以，在全连接层中，卷积计算也就与点积 (dot product)计算等同。神经网络学习训练算法：针对给定的数字信号样本，深度学习算法通过调整及优化神经网络的海量参数，来掌握所需要的数据处理能力。具体的学习训练算法，既与网络结构有关 (如生成对抗网络 GAN)，也与选择的优化目标函数有关。神经网络开发成本通常包括如下几个方面。 a)硬件成本，包括用于计算的计算机，中央处理单元（CPU）或 /和图形处理器（GPU）等的费用，其中图形处理器是用于对数字卷积运算的加速处理。 b）软件成本，包括安装相关操作系统，配套软件，深度学习算法等的费用。 C）学习训练成本，包括数据采集的成本，数据标注的成本，学习训练算法的开发调试成本，运行时的能耗，耗费的时间成本等。注意，学习训练时的时间成本，通常是一次训练耗费若干天，若干周甚至更长的时间。而开发过程中，经常需要反复训练，以取得最优网络性能。神经网络使用成本通常包括如下几个方面。 a）硬件成本，包括用于计算的计算机，中央处理单元（CPU）或 /和图形处理器（GPU）等的费用，其中图形处理器是用于对数字卷积运算的加速处理。 b）软件成本，包括安装相关操作系统，配套软件等的费用。 c）运行成本，运行时的能耗，耗费的时间成本等。注意，仅仅使用时的运行成本，相比上述神经网络开发时的成本大大降低：因为这时并不包括数据采集的成本，数据标注的成本，学习训练算法的开发调试成本，而且在使用时运行的能耗更低，耗费的时间更少。一般来说，使用时的运行时间，只需若干秒甚至毫秒而已，也不需要反复运行多次。由于神经网络的使用成本和时间成本，相比开发时候的对应成本，要低若干个数量级，非法拷贝和非法使用等侵权行为的利益诱惑巨大，侵权者趋之若鸯。所以，对深度神经网络进行知识产权保护刻不容缓。无防护网络：没有附加任何数字特征的原始网络，能够通过学习实现给定的数据处理功能，但无法证明其归属权。在面对非法拷贝、非法使用等侵权行为时，没有任何技术方案保护其知识产权。数字水印：是一种特定的数字特征（或者数字指纹），可以通过特别的算法附加在数字多媒体产品，如图片和影视作品中。再利用相应的算法，又可以从媒体产品中提取识别出已经附加的数字特征，从而证明产品的归属权。理想的数字水印，应该具有鲁棒性。也就是说，即使数字产品经过各种数据变换处理（如图片裁剪，视频压缩编解码等），附加的数字水印还是能够可靠的提取识别出来。在使用上，数字水印可以是秘密的，也可以是公开的。在形式上，数字水印可以是不可见的，也可以是可见的。水印网络：指利用数字水印技术，附加了秘密数字水印的深度神经网络。这种水印网络，能够证明其归属权，但不能防止对网络本身的拷贝和非法使用。水印网络的维权，必须通过举证走法律途径，时效性差而且成本高昂。发明内容

本公开至少部分实施例提供了一种运用自锁机制保护深度神经网络的方法、系统及终端。本公开实施例所针对的深度神经网络，包括了所述提及的所有各种形式，不同输入信号，不同类型，不同网络结构，不同应用功能，不同运算载体上的深度神经网络，也包括在原理上相同的任何神经网络，例如：卷积神经网络（CNN），递归神经网络（RNN），生成对抗网络（GAN）等等，无论其运行环境如何。根据本公开其中一实施例，提供一种运用自锁机制保护深度神经网络的方法，包括：配合预定的数字密匙和学习训练数据样本，对所述深度神经网络进行自锁，得到自锁的深度神经网络；如果配合预定的数字密匙使用所述自锁的深度神经网络，则得到正常发挥预定功能的第一特征信息；如果未配合所述预定的数字密匙使用所述自锁的深度神经网络，则得到功能缺失或者性能下降的第二特征信息；其中，在所述自锁的深度神经网络被非法解锁的情况下，配合所述预定的数字密匙使用所述自锁的深度神经网络得到第三特征信息，其中，所述第三特征信息为证明所述自锁的深度神经网络的归属权的统计特征。可选地，配合所述预定的数字密匙和所述学习训练数据样本，对所述深度神经网络进行自锁包括：根据带标注或者不带标注信息的所述学习训练数据样本，训练并更新所述深度神经网络的第一部分网络参数，其中，所述第一部分网络参数参与实现所述深度神经网络的预定功能，并与所述预定的数字密匙共同确定第二部分网络参数的数值；根据所述预定的数字密匙和所述第一部分网络参数的数值，在训练过程中计算并更新所述第二部分网络参数的数值，以得到所述深度神经网络的预定功能，其中，所述深度神经网络的预定功能包括以下至少之一：图像分类，自然语言处理。这样训练得到深度神经网络，所述的第一部分网络参数与所述预定的数字密匙有着严格的关联性，所述的这种关联性是对自锁的深度神经网络提供知识产权保护的关键。可选地，配合所述预定的数字密匙使用所述自锁的深度神经网络包括：根据所述第一部分网络参数和所述预定的数字密匙，计算并设定所述第二部分网络参数的数值; 采用所述第一部分网络参数和所述第二部分网络参数，控制所述自锁的深度神经网络执行数据处理操作。也就是说，所述第一部分网络参数和所述第二部分网络参数，都是实现网络正常功能不可或缺的重要组成部分。可选地，未配合所述预定的数字密匙使用所述自锁的深度神经网络包括：获取非预定的数字密匙和非法拷贝的第一部分网络参数，计算得到异常的第二部分网络参数; 使用所述非法拷贝的第一部分网络参数和所述异常的第二部分网络参数，得到功能缺失或者性能下降的所述第二特征信息。上述情况下，使用性能严重下降或功能缺失的网络时，侵权者并不能从侵权行为获得利益，也就没有了侵权动机，从而预防性地保护了所述自锁神经网络的知识产权。当侵权者非法地获得了上述第二部分网络参数，即非法解锁网络时，结合被非法拷贝的上述第一部分网络参数，被侵权的所述深度神经网络的就可以发挥正常功能。可选地，配合所述预定的数字密匙使用所述自锁的深度神经网络得到所述第三特征信息包括：在所述自锁的深度神经网络被非法解锁的情况下，去除非法解锁得到的深度神经网络中的所述第二部分网络参数，利用所述预定的数字密匙使用并展示所述深度神经网络的预定功能，得到第一结果，以及利用非预定的数字密匙使用并展示所述深度神经网络不能执行预定功能，或者，所述预定功能的性能下降并且下降幅度与预计幅度一致，得到第二结果；结合所述第一结果和所述第二结果确定所述预定的数字密匙与所述第一部分网络参数具有关联性，其中，所述关联性在生成所述深度神经网络时被赋予。由于所述的这种关联性，只能在生成所述深度神经网络的时候赋予，也即证明了所述网络的归属权。可选地，所述第一部分网络参数和所述第二部分网络参数共同构成所述深度神经网络的全部参数。可选地，所述第一部分网络参数，第二部分网络参数以及所述预定的数字密匙共同构成使用所述深度神经网络所需的全部先决信息并且共同作用于所需处理的输入数字信号。可选地，上述第一部分网络参数可以是公开的，也可以是不公开的；可选地，上述的第二部分网络参数是不公开的，而是在使用所述深度神经网络时，根据所述第一部分网络参数和所述预定的数字密匙计算出来的。可选地，所述第一部分网络参数的全体，结合所述预定的数字密匙，共同决定所述的第二部分网络参数。可选地，所述第一部分网络参数的一部分，结合所述预定的数字密匙，共同决定所述的第二部分网络参数。可选地，上述用于学习训练的、带标注或者不带标注信息的数据样本，可以是公开的，也可以是不公开的。可选地，上述的数字密匙包括：任意预先选定的不公开的，一组或者多组数字信息可选地，所述预定的数字密匙只分发给合法授权的所述深度神经网络用户。可选地，所述预定的数字密匙由所述深度神经网络的用户拥有人选定。可选地，上述的数字密匙包括：任意预先选定的不公开的，一组或者多组图片；所述预定的数字密匙图片只分发给合法授权的所述深度神经网络用户。可选地，上述的数字密匙图片包括：所述深度神经网络拥有人的护照照片，身份证照片，签名，指纹图片，虹膜图片等任何可以确定所述深度神经网络拥有人身份的图片。可选地，上述的数字密匙图片包括：合法授权的所述深度神经网络用户法人的护照照片，身份证照片，签名，指纹图片，虹膜图片等任何可以确定用户身份的图片。可选地，上述的数字密匙图片包括：具备所述深度神经网络拥有权的法人团体徽标，公司标识（logo）等任何可以确定法人身份（ID）的图片。可选地，上述的数字密匙图片包括：合法授权的所述深度神经网络用户的法人团体徽标，公司标识（logo）等任何可以确定用户法人身份（ID）的图片。可选地，上述的数字密匙包括：任意预先选定的不公开的，一组或者多组语音信号；所述数字密匙语音信号只分发给合法授权的所述深度神经网络用户。可选地，上述的数字密匙语音信号包括：所述深度神经网络拥有人的声纹录音等任何可以确定所述深度神经网络所述拥有人身份的语音信号。可选地，上述的数字密匙语音信号包括：合法授权的所述深度神经网络用户法人的声纹录音，以及任何可以确定所述用户身份的语音信号。可选地，上述的数字密匙包括：任意预先选定的不公开的，一组或者多组数字密码；所述数字密码由合法授权的所述深度神经网络的用户选定。可选地，上述的数字密匙包括：任意预先选定的不公开的，一组或者多组数字密码；所述数字密码由合法授权的所述深度神经网络的用户，通过特定的密码生成工具产生。可选地，上述的数字密匙包括：任意预先选定的不公开的，一组或者多组数字密码；所述数字密码由所述深度神经网络的拥有法人选定。可选地，上述的数字密匙包括：任意预先选定的不公开的，一组或者多组数字密码；所述数字密码由所述深度神经网络的拥有法人，通过特定的密码生成工具产生。根据本公开其中一实施例，提供了一种运用自锁机制保护深度神经网络的系统，包括：配合预定的数字密匙和学习训练数据样本，对所述深度神经网络进行自锁，得到自锁的深度神经网络的第一模块；配合所述预定的数字密匙，对所述自锁的深度神经网络合法使用的第二模块；当没有给出所述预定的数字密匙时，对所述自锁的深度神经网络进行保护的第三模块；配合所述预定的数字密匙，对被非法解锁的所述深度神经网络确定归属权的第四模块。可选地，上述第二模块，第三模块和第四模块在物理上可以有共同的可复用的子模块，但在功能上则是相互独立的实现。可选地，所述第一模块还设置为执行以下步骤：根据带标注或者不带标注信息的所述学习训练数据样本，训练并更新所述深度神经网络的第一部分网络参数，其中，所述第一部分网络参数参与实现所述深度神经网络的预定功能，并与所述预定的数字密匙共同确定第二部分网络参数的数值；根据所述预定的数字密匙和所述第一部分网络参数的数值，在训练过程中计算并更新所述第二部分网络参数的数值，以得到所述深度神经网络的预定功能，其中，所述深度神经网络的预定功能包括以下至少之一：图像分类，自然语言处理。可选地，所述第二模块还设置为执行以下步骤：根据所述第一部分网络参数和所述预定的数字密匙，计算并设定所述第二部分网络参数的数值；采用所述第一部分网络参数和所述第二部分网络参数，控制所述自锁的深度神经网络执行数据处理操作。可选地，所述第三模块还设置为执行以下步骤：获取非预定的数字密匙和非法拷贝的第一部分网络参数，计算得到异常的第二部分网络参数；使用所述非法拷贝的第一部分网络参数和所述异常的第二部分网络参数，得到功能缺失或者性能下降的所述第二特征信息。可选地，所述第四模块还设置为执行以下步骤：在所述自锁的深度神经网络被非法解锁的情况下，去除非法解锁得到的深度神经网络中的所述第二部分网络参数，利用所述预定的数字密匙使用并展示所述深度神经网络的预定功能，得到第一结果，以及利用非预定的数字密匙使用并展示所述深度神经网络不能执行预定功能，或者，所述预定功能的性能下降并且下降幅度与预计幅度一致，得到第二结果；结合所述第一结果和所述第二结果确定所述预定的数字密匙与所述第一部分网络参数具有关联性，其中，所述关联性在生成所述深度神经网络时被赋予。由于这种所述的关联性，只能在生成所述深度神经网络时赋予，也即证明了所述网络的归属权。根据本公开其中一实施例，提供一种运用自锁机制保护深度神经网络的终端，包括：处理器，存储器，通信接口和通信总线。所述处理器，所述存储器和所述通信接口通过所述通信总线完成相互间的通信；所述存储器设置为存放至少一可执行指令，所述可执行指令使所述处理器执行前述的深度神经网络自锁保护所对应的操作；或者，所述存储器设置为存放至少一可执行指令和所述深度神经网络，所述可执行指令使所述处理器执行前述的深度神经网络自锁保护所对应的操作；或者，所述存储器设置为存放至少一可执行指令和数字密匙，所述可执行指令和所述数字密匙，使所述处理器执行前述的深度神经网络自锁保护所对应的操作。根据本公开其中一实施例，提供一种计算机可读存储介质，所述计算机可读存储介质存储有：用于运用上述自锁机制保护深度神经网络的数字信息，包括：用于运用所述自锁机制的预定数字密匙；用于运用所述自锁机制的学习训练数据样本；配合所述的预定数字密匙和所述的学习训练数据样本，对所述任意深度神经网络进行自锁的可执行指令；配合所述的预定数字密匙，对所述的自锁深度神经网络合法使用的可执行指令；当没有给出所述的预定数字密匙时，对自锁的深度神经网络进行保护的可执行指令；配合所述的预定数字密匙，对被非法解锁的所述深度神经网络证明其归属权的可执行指令。附图说明

图 1为根据本公开其中一可选实施例的运用自锁机制保护深度神经网络的方法步骤流程图。图 2为根据本公开其中一可选实施例的制备并得到带自锁机制的深度神经网络方法的步骤流程图。图 3为根据本公开其中一可选实施例的使用带自锁机制的深度神经网络方法的步骤流程图。图 4为根据本公开其中一可选实施例的保护带自锁机制的深度神经网络方法的步骤流程图。图 5为根据本公开其中一可选实施例的确定涉嫌侵权的深度神经网络之归属权方法的步骤流程图。图 6为根据本公开其中一可选实施例的网络的卷积层和自锁层组合实现深度残差网络的基本功能层的示意图。图 7为根据本公开其中一可选实施例的制备数字密匙方法的步骤流程图。图 8为根据本公开其中一可选实施例的利用单一图片制备特定数字密匙的步骤流程图。图 9为根据本公开其中一可选实施例的利用若干图片制备特定数字密匙的步骤流程图。图 10 为根据本公开其中一可选实施例的利用若干数字信息制备特定数字密匙的步骤流程图。图 11 为根据本公开其中一可选实施例的正常使用及保护网络时统计结果的直方图。图 12为根据本公开其中一可选实施例的非法解锁网络的性能下降幅度图示。图 13 为根据本公开其中一可选实施例的任意深度神经网络进行知识产权保护的系统结构框图。图 14为根据本公开其中一可选实施例的第一终端的结构示意图。图 15为根据本公开其中一可选实施例的第二终端的结构示意图。图 16为根据本公开其中一可选实施例的第三终端的结构示意图。图 17为根据本公开其中一可选实施例的第四终端的结构示意图。具体实齡式

下面结合附图（若干附图中相同的标号表示相同的元素）和实施例，对本公开的具体实施方式做进一步详细说明。以下实施例用于说明本公开，但不用来限制本公开。凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。本领域技术人员可以理解，本公开实施例中的“第一”， “第二”等术语仅用于区别不同步骤，设备，模块或数据等，既不代表任何特定技术含义，也不表示它们之间的必然逻辑顺序。

实施例一参照图 1，示出了根据本公开实施例一运用自锁机制保护深度神经网络的方法步骤流程图。本实施例提供了一种运用自锁机制保护深度神经网络的方法，包括以下步骤。步骤 S100, 根据待加锁的目标网络结构信息，自锁性能要求，制备并得到符合要求的特定数字密匙。步骤 S102, 根据特定的数字密匙，自锁性能要求，训练数据样本，目标网络基本功能，制备并得到符合基本功能要求的，带自锁功能的深度神经网络。步骤 S104, 根据提供的正确数字密匙，开放网络的基本功能，对输入数据进行处理，并得到正常的数据处理结果。步骤 S106, 根据提供的不正确数字密匙，封锁网络的基本功能，对输入的数据进行处理，并得到性能严重下降的，或不能实现网络基本功能的结果。步骤 S108, 根据提供的正确数字密匙，对涉嫌侵权的深度神经网络，展示并证明其归属权。可选地，步骤 S104, S106, S108, 之间无需遵循必然的先后顺序或者逻辑顺序，也无需全部执行。

实施例二参照图 2, 示出了根据本公开实施例二，根据特定的数字密匙，制备并得到带自锁机制的深度神经网络方法的步骤流程图。本实施例根据特定的数字密匙，制备并得到带自锁机制的深度神经网络的方法，包括以下步骤。步骤 S1020, 根据带标注或者不带标注信息的数据样本，训练并得到深度神经网络的第一部分网络参数。步骤 S1022, 根据不公开的数字密匙和第一部分网络参数的数值，在训练过程中计算并得到第二部分网络参数的数值. 步骤 S1024, 根据网络性能，反复训练并更新得到深度神经网络的第一部分和第二部分网络参数，直到网络性能到达设计要求。

实施例三参照图 3 , 示出了根据本公开实施例三，根据正确的数字密匙，使用带自锁机制的深度神经网络方法的步骤流程图。本实施例根据特定的数字密匙，使用带自锁机制的深度神经网络的方法，包括以下步骤。步骤 S1040, 根据提供的正确数字密匙和第一部分网络参数的数值，计算并得到正确的第二部分网络参数数值. 步骤 S1042, 根据深度神经网络的第一部分网络参数和正确的第二部分网络参数数值，开放网络的基本功能对输入数据进行处理，并得到正常的数据处理结果。

实施例四参照图 4, 示出了根据本公开实施例四，根据不正确的数字密匙，保护带自锁机制的深度神经网络方法的步骤流程图。本实施例根据特定的数字密匙，使用带自锁机制的深度神经网络的方法，包括以下步骤。步骤 S1060, 根据提供的不正确数字密匙和第一部分网络参数的数值，计算并得到不正确的第二部分网络参数数值。步骤 S1062, 根据深度神经网络的第一部分网络参数和不正确的第二部分网络参数数值，锁定网络的基本功能对输入数据进行处理，并得到性能严重下降的，或不能实现网络基本功能的结果。

实施例五参照图 5, 示出了根据本公开实施例五，根据特定的数字密匙，确定涉嫌侵权的深度神经网络之归属权方法的步骤流程图。本实施例根据特定的数字密匙，确定涉嫌侵权的深度神经网络之归属权的方法，包括以下步骤。步骤 S1080, 去除非法解锁网络的第二部分网络参数，代之以正确的数字密匙，使用并展示网络能够执行其正常功能，并得到正常的数据处理结果。步骤 S1082,去除非法解锁网络的第二部分网络参数，代之以不正确的数字密匙，使用并展示网络不能执行其正常功能，只能得到性能严重下降的，或不能实现网络基本功能的结果。而且性能下降幅度与预期一致。参照图 12, 示出了根据本公开实施，当使用特定的不正确数码密匙时，非法解锁网络的性能下降幅度。图 12中，右侧深色直方图代表使用正确数字密匙时的图片识别准确率分布，其它三个直方图代表，使用不同错误程度的数字密匙时的图片识别准确率分布。对比非法解锁网络测试得到的直方图分布，和权利要求方提供的直方图分布，查看是否一致。步骤 S 1084, 综合上述 S 1080, S 1082结果，展示解锁网络的第一部分网络参数只能与所提供的正确数字密匙配合作用，也即证明了网络之归属权，属于提供正确密匙的权利要求方。

可选地，结合上述本公开实施例提供的方法，所述第一部分网络参数的全体或者部分，作为应用于所述预定数字密匙的卷积核，通过数字卷积运算，共同决定了所述第二部分网络参数。可选地，结合本公开实施例提供的方法，上述神经网络的第二部分网络参数，可以按如下公式计算：

Y =F _Y ( W, p ); (3 =F (3 ( W， p ); 其中， F Y ()， F (3 ()代表选定的密匙函数， W代表第一部分网络参数， p代表数字密匙。可选地，结合本公开实施例提供的方法，所述第一部分网络参数的全体或者部分，作为应用于所述预定数字密匙的卷积核，通过对所述数字卷积运算结果的进一步数学变换，共同决定了所述第二部分的网络参数。可选地，结合本公开实施例提供的方法，上述的数学变换包括数值平均，极大，极小，中值等，任何可以得到确定结果的数学计算。可选地，结合本公开实施例提供的方法，上述的数字卷积运算可以用神经网络的卷积层实现。可选地，结合本公开实施例提供的方法，上述神经网络的第二部分网络参数，可以用于实现神经网络的自锁层。其输入输出信号处理方式按如下公式计算：

P(x)= Y x +P 其中， x代表输入信号， P(x) 代表输出信号， Y ， P 为相应的第二部分网络参数。可选地，结合本公开实施例提供的方法，网络的卷积层和自锁层可以组合实现，更复杂的深度神经网络功能。可选地，参照图 6, 示出了结合本公开实施例提供的方法，网络的卷积层和自锁层可以组合实现深度残差网络的基本功能层。可选地，结合本公开实施例提供的一种网络结构，所述第一部分网络层级可以是卷积层或者全连接层。可选地，结合本公开实施例提供的一种网络结构，所述第二部分网络层级可以是批归一化层 ( batch normalization ) _o 可选地，结合本公开实施例提供的一种网络结构，所述第二部分网络层的参数可以是所述批归一化层的偏置参数 ( bias term )。可选地，结合本公开实施例提供的一种网络结构，所述第二部分网络层的参数可以是所述批归一化层的尺度因子 (scaling factor)。可选地，结合本公开实施例提供的一种网络结构，所述第二部分网络层的参数可以是所述批归一化层的所述偏置参数 (bias term) 和所述尺度因子 (scaling factor)。可选地，结合本公开实施例提供的一种网络结构，所述第二部分网络层级可以是一个额外的密匙变换层，或者任何实现尺度变换和偏置功能的网络层。可选地，结合本公开实施例提供的一种网络结构，所述第二部分网络层的参数可以是所述密匙变换层的偏置参数 (bias term) 和尺度因子 (scaling factor)。可选地，结合本公开实施例提供的一种网络结构，所述密匙变换层的所述偏置参数 (bias term) 和所述尺度因子 (scaling factor)可以是按元素操作的 (elementwise)。可选地，结合本公开实施例提供的一种网络结构，所述密匙变换层的所述偏置参数 (bias term) 和所述尺度因子 (scaling factor)可以是按通道操作的 (channel- wise)。可选地，结合本公开实施例提供的一种网络结构，所述密匙变换层的所述偏置参数 (bias term)和所述尺度因子 (scaling factor)可以是混合所述按元素操作和所述按通道操作的 ( hybrid elementwise and channel- wise )。

实施例六参照图 7, 示出了本公开实施例六根据网络结构信息，制备数字密匙方法的步骤流程图。本实施例根据网络结构信息，制备数字密匙的方法，包括以下步骤。步骤 S 1000, 根据网络的结构信息，决定各层级数字密匙的结构尺寸。步骤 S 1002, 根据数字密匙的结构尺寸，制备特定的数字密匙。按不同的密匙使用要求，有不同的制备细节步骤。参照图 8, 步骤 S 10020, 示出了本公开实施例根据数字密匙的结构尺寸，利用单一图片制备特定数字密匙的步骤流程图。步骤 S 100200, 选定某一特定的图片（包括如个人身份照片，公司商标图片 logo 等）。步骤 S 100202, 利用未加锁保护的深度神经网络，正常处理选定的单一图片。步骤 S 100204, 收集处理图片时的中间层输出结果。步骤 S 100206, 将选定的图片和收集的中间层输出结果，作为最终得到的数字密匙。参照图 9, 步骤 S 10022, 示出了本公开实施例根据数字密匙的结构尺寸，利用若干图片制备特定数字密匙的步骤流程图。相比按步骤 S 10020制备的数字密匙，按步骤 S 10022制备的数字密匙，能够提供更强的保护性能。步骤 S 100220, 选定若干特定的图片（包括如若干个人身份照片，若干公司商标图片 logo等）。步骤 S 100222, 利用未加锁保护的深度神经网络，正常处理选定的若干图片。步骤 S 100224,收集处理若干图片时的中间层输出结果，每一图片对应一组结果。步骤 S 100226, 按特定的次序混合若干图片和中间层结果，再选择其中一种混合结果，作为最终得到的数字密匙。参照图 10, 步骤 S 10024, 示出了本公开实施例根据数字密匙的结构尺寸，利用若干数字信息，制备特定数字密匙的步骤流程图。步骤 S 100240, 选定若干特定的数字信息（包括如若干个人语音信号，数字密码等）。步骤 S 100242,利用未加锁保护的深度神经网络，正常处理选定的若干数字信息。步骤 S 100244，收集处理若干数字信息时的中间层输出结果，每一种输入对应一组结果。步骤 S 100246, 按特定的次序混合若干数字信息和中间层结果，再选择其中一种混合结果，作为最终得到的数字密匙。相比按步骤 S 10022制备的数字密匙，按步骤 S 10024制备的数字密匙，能够提供更全面的证明归属权的数字信息（不仅仅是局限于图片）。

实施例七参照图 11，示出了本公开实施例应用于加锁图片识别深度神经网络，正常使用及保护网络时统计结果的直方图。图中横轴为图片识别准确率，纵轴为多次实验结果的直方图分布。图中右侧高度达 1.0的垂直线代表，未加锁网络的应用于 CIFAR10测试集的图片识别准确率（约 92%）。图中右侧直方图代表，若干次加锁实验中，提供正确数字密匙时，正常使用加锁网络时的图片识别准确率的分布情况，其均值仍然为 92%，即原未加锁网络的图片识别功能，没有受到自锁机制影响。图中左侧直方图代表若干次实验中，提供不正确密匙时，保护网络的图片识别准确率的分布情况，其均值约为 10%，与随机猜测的结果相当，即原未加锁网络的图片识别功能，完全被自锁功能抑制。

实施例八参照图 13 , 示出了根据本公开实施例运用自锁机制保护深度神经网络的系统结构框图。本实施例中运用自锁机制保护深度神经网络的系统，包括以下模块。模块 M100, 设置为根据待加锁的目标网络结构信息，自锁性能要求，制备并得到符合要求的特定数字密匙。模块 M102, 设置为根据特定的数字密匙，自锁性能要求，训练数据样本，目标网络基本功能，制备并得到符合基本功能要求的，带自锁功能的深度神经网络。模块 M104, 设置为根据提供的正确数字密匙，开放网络的基本功能，对输入数据进行处理，并得到正常的数据处理结果。模块 M106, 设置为根据提供的不正确数字密匙，封锁网络的基本功能，对输入的数据进行处理，并得到性能严重下降的，或不能实现网络基本功能的结果。模块 M108, 设置为根据提供的正确数字密匙，对涉嫌侵权的深度神经网络，展示并证明其归属权。可选地，模块 M104, M106, M108,之间无需遵循必然的先后顺序或者逻辑顺序，所以模块也无需全部包括在同一个物理系统中。

实施例九参照图 14, 示出了根据本公开实施例九的第一终端的结构示意图，本公开具体实施例并不对第一终端的具体实现做限定。如图 14 所示，该第一终端 T110 包括处理器 (processor)TmO、通信接口 (Communications Interface)! 1120、存储器 (memory array)T1130和总线 T1140。其中，处理器 T1110、通信接口 T1120、以及存储器 T1130通过总线 T1140完成相互间的通信。通信接口 T1120设置为与与其它设备通信，其中包括其它客户端、服务器及共享存储等。处理器 T1110设置为执行程序 T1100,具体可执行上述方法实施例中的相关步骤。处理器 T1110可以是一个中央处理器 CPU,或者是专用集成电路 ASIC(Application Specific Integrated Circuit),或者是被配置成实施本公开实施例的一个或多个集成电路。处理器 T1110可以是应用于云计算中心，移动设备，可穿戴设备，智能视频终端，车载设备及其他交通工具，物联网设备 (IoT devices) 等中的中央处理单元，也可以是应用于图形加速器 (GPU)，张量处理器 (TPU)，专用人工智能芯片等，特定硬件架构中的逻辑与数值运算单元。存储器 T1130设置为存放文件。存储器 T1130可以包含高速 RAM存储器，也可以还包括非易失性存储器 (non-volatile memory) , 例如至少一个磁盘存储器。存储器 T1130也可以是存储器阵列。存储器 T1130还可以被分块，并且所述块可按一定的规则组合成虚拟卷。在一种可选的实施方式中，上述程序可为包括计算机操作指令的程序代码。该程序具体可用于：据网络结构信息，提供制备数字密匙的方法，包括：根据网络的结构信息，决定各层级数字密匙的结构尺寸。根据数字密匙的结构尺寸，按不同的密匙使用要求，提供制备不同密匙的方法，包括以下：在一个可选实施例中，根据数字密匙的结构尺寸，提供利用单一图片制备特定数字密匙的方法，包括：选定某一特定的图片 (包括如个人身份照片，公司商标图片 logo 等)；利用未加锁保护的深度神经网络，正常处理选定的单一图片；收集处理图片时的中间层输出结果;将选定的图片和收集的中间层输出结果，作为最终得到的数字密匙；在一个可选实施例中，根据数字密匙的结构尺寸，提供利用若干图片制备特定数字密匙的方法，包括：选定若干特定的图片 (包括如若干个人身份照片，若干公司商标图片 logo等)；利用未加锁保护的深度神经网络，正常处理选定的若干图片；收集处理若干图片时的中间层输出结果，每一图片对应一组结果；按特定的次序混合若干图片和中间层结果，再选择其中一种混合结果，作为最终得到的数字密匙；在一个可选实施例中，根据数字密匙的结构尺寸，提供利用若干数字信息，制备特定数字密匙的方法，包括：选定若干特定的数字信息 (包括如若干个人语音信号，数字密码等)；利用未加锁保护的深度神经网络，正常处理选定的若干数字信息；收集处理若干数字信息时的中间层输出结果，每一种输入对应一组结果；按特定的次序混合若干数字信息和中间层结果，再选择其中一种混合结果，作为最终得到的数字密匙；

实施例十参照图 15, 示出了根据本公开实施例十的第二终端的结构示意图，本公开具体实施例并不对第二终端的具体实现做限定。如图 15 所示，该第二终端 T120 包括处理器 (processor)T1210、通信接口 (Communications Interface)! 1220、存储器 (memory array)T1230和总线 T1240。其中，处理器 T1210、通信接口 T1220、以及存储器 T1230通过总线 T1240完成相互间的通信。通信接口 T1220设置为与与其它设备通信，其中包括其它客户端、服务器及共享存储等。处理器 T1210设置为执行程序 T1200,具体可执行上述方法实施例中的相关步骤。处理器 T1210可以是一个中央处理器 CPU,或者是专用集成电路 ASIC(Application Specific Integrated Circuit),或者是被配置成实施本公开实施例的一个或多个集成电路。处理器 T1210是应用于云计算中心，移动设备，可穿戴设备，智能视频终端，车载设备及其他交通工具，物联网设备 (IoT devices) 等中的中央处理单元，也可以是应用于图形加速器 ( GPU)，张量处理器 (TPU)，专用人工智能芯片等，特定硬件架构中的逻辑与数值运算单元。存储器 T1230设置为存放文件。存储器 T1230可以包含高速 RAM存储器，也可以还包括非易失性存储器 (non-volatile memory) , 例如至少一个磁盘存储器。存储器 T1230也可以是存储器阵列。存储器 T1230还可以被分块，并且所述块可按一定的规则组合成虚拟卷。在一种可选的实施方式中，上述程序可为包括计算机操作指令的程序代码。该程序具体可用于：根据特定的数字密匙，提供一种制备并得到带自锁机制的深度神经网络的方法，包括：根据带标注或者不带标注信息的数据样本，训练并得到深度神经网络的第一部分网络参数；根据不公开的数字密匙和第一部分网络参数的数值，在训练过程中计算并得到第二部分网络参数的数值；根据网络性能，反复训练并更新得到深度神经网络的第一部分和第二部分网络参数，直到网络性能到达设计要求。

实施例十一参照图 16, 示出了根据本公开实施例十一的第三终端的结构示意图，本公开具体实施例并不对第三终端的具体实现做限定。如图 16 所示，该第三终端 T130 包括处理器 (processor)T1310、通信接口 (Communications Interface)! 1320、存储器 (memory array)T1330和总线 T1340。其中，处理器 T1310、通信接口 T1320、以及存储器 T1330通过总线 T1340完成相互间的通信。通信接口 T1320设置为与与其它设备通信，其中包括其它客户端、服务器及共享存储等。处理器 T1310设置为执行程序 T1300，具体可执行上述方法实施例中的相关步骤。处理器 T1310可以是一个中央处理器 CPU,或者是专用集成电路 ASIC(Application Specific Integrated Circuit),或者是被配置成实施本公开实施例的一个或多个集成电路。处理器 T1310可以是应用于云计算中心，移动设备，可穿戴设备，智能视频终端，车载设备及其他交通工具，物联网设备 (IoT devices) 等中的中央处理单元，也可以是应用于图形加速器 (GPU)，张量处理器 (TPU)，专用人工智能芯片等，特定硬件架构中的逻辑与数值运算单元。存储器 T1330设置为存放文件。存储器 T1330可以包含高速 RAM存储器，也可以还包括非易失性存储器 (non-volatile memory) , 例如至少一个磁盘存储器。存储器 T1330也可以是存储器阵列。存储器 T1330还可以被分块，并且所述块可按一定的规则组合成虚拟卷。在一种可选的实施方式中，上述程序可为包括计算机操作指令的程序代码。该程序具体可用于：在一个可选实施例中，根据正确的数字密匙，提供一种使用带自锁机制的深度神经网络的方法，包括：根据提供的正确数字密匙和第一部分网络参数的数值，计算并得到正确的第二部分网络参数数值；根据深度神经网络的第一部分网络参数和正确的第二部分网络参数数值，开放网络的基本功能对输入数据进行处理，并得到正常的数据处理结果。在一个可选实施例中，根据不正确的数字密匙，提供一种保护带自锁机制的深度神经网络的方法，包括：根据提供的不正确数字密匙和第一部分网络参数的数值，计算并得到不正确的第二部分网络参数数值；根据深度神经网络的第一部分网络参数和不正确的第二部分网络参数数值，锁定网络的基本功能对输入数据进行处理，并得到性能严重下降的，或不能实现网络基本功能的结果。

实施例十二参照图 17, 示出了根据本公开实施例十二的第四终端的结构示意图，本公开具体实施例并不对第四终端的具体实现做限定。如图 17 所示，该第四终端 T140 包括处理器 (processor)T1410、通信接口 (Communications Interface)! 1420、存储器 (memory array)T1430和总线 T1440。其中，处理器 T1410、通信接口 T1420、以及存储器 T1430通过总线 T1440完成相互间的通信。通信接口 T1420设置为与与其它设备通信，其中包括其它客户端、服务器及共享存储等。处理器 T1410设置为执行程序 T1400，具体可执行上述方法实施例中的相关步骤。处理器 T1410可以是一个中央处理器 CPU,或者是专用集成电路 ASIC(Application Specific Integrated Circuit),或者是被配置成实施本公开实施例的一个或多个集成电路。处理器 T1410可以是应用于云计算中心，移动设备，可穿戴设备，智能视频终端，车载设备及其他交通工具，物联网设备 (IoT devices ) 等中的中央处理单元，也可以是应用于图形加速器 ( GPU)，张量处理器 ( TPU)，专用人工智能芯片等，特定硬件架构中的逻辑与数值运算单元。存储器 T1430设置为存放文件。存储器 T1430可以包含高速 RAM存储器，也可以还包括非易失性存储器 (non-volatile memory) , 例如至少一个磁盘存储器。存储器 T1430也可以是存储器阵列。存储器 T1430还可以被分块，并且所述块可按一定的规则组合成虚拟卷。在一种可选的实施方式中，上述程序可为包括计算机操作指令的程序代码。该程序具体可用于：根据本公开实施例，提供一种根据特定的数字密匙，确定涉嫌侵权的深度神经网络之归属权的方法，包括：在一个可选实施例中，去除非法解锁网络的第二部分网络参数，代之以正确的数字密匙，使用并展示网络能够执行其正常功能，并得到正常的数据处理结果；在一个可选实施例中，去除非法解锁网络的第二部分网络参数，代之以不正确的数字密匙，使用并展示网络不能执行其正常功能，只能得到性能严重下降的，或不能实现网络基本功能的结果。而且性能下降幅度与预期一致；综合上述结果，展示解锁网络的第一部分网络参数只能与所提供的正确数字密匙配合作用，也即证明了网络之归属权，属于提供正确密匙的权利要求方。

Claims

权利要求书

1. 一种运用自锁机制保护深度神经网络的方法，包括：配合预定的数字密匙和学习训练数据样本，对所述深度神经网络进行自锁，得到自锁的深度神经网络；如果配合预定的数字密匙使用所述自锁的深度神经网络，则得到正常发挥预定功能的第一特征信息；如果未配合所述预定的数字密匙使用所述自锁的深度神经网络，则得到功能缺失或者性能下降的第二特征信息；其中，在所述自锁的深度神经网络被非法解锁的情况下，配合所述预定的数字密匙使用所述自锁的深度神经网络得到第三特征信息，其中，所述第三特征信息为证明所述自锁的深度神经网络的归属权的统计特征。

2. 根据权利要求 1所述的方法，其中，配合所述预定的数字密匙和所述学习训练数据样本，对所述深度神经网络进行自锁包括：根据带标注或者不带标注信息的所述学习训练数据样本，训练并更新所述深度神经网络的第一部分网络参数，其中，所述第一部分网络参数参与实现所述深度神经网络的预定功能，并与所述预定的数字密匙共同确定第二部分网络参数的数值；根据所述预定的数字密匙和所述第一部分网络参数的数值，在训练过程中计算并更新所述第二部分网络参数的数值，以得到所述深度神经网络的预定功能，其中，所述深度神经网络的预定功能包括以下至少之一：图像分类，自然语言处理，并且所述的第一部分网络参数与所述预定的数字密匙具有关联性，所述第一部分网络参数和所述第二部分网络参数共同构成所述深度神经网络的全部参数，所述第一部分网络参数，第二部分网络参数以及所述预定的数字密匙共同构成使用所述深度神经网络所需的全部先决信息并且共同作用于所需处理的输入数字信号。

3. 根据权利要求 2所述的方法，其中，配合所述预定的数字密匙使用所述自锁的深度神经网络包括：根据所述第一部分网络参数和所述预定的数字密匙，计算并设定所述第二部分网络参数的数值；采用所述第一部分网络参数和所述第二部分网络参数，控制所述自锁的深度神经网络执行数据处理操作。

4. 根据权利要求 2所述的方法，其中，未配合所述预定的数字密匙使用所述自锁的深度神经网络包括：获取非预定的数字密匙和非法拷贝的第一部分网络参数，计算得到异常的第二部分网络参数；使用所述非法拷贝的第一部分网络参数和所述异常的第二部分网络参数，得到功能缺失或者性能下降的所述第二特征信息。

5. 根据权利要求 2所述的方法，其中，配合所述预定的数字密匙使用所述自锁的深度神经网络得到所述第三特征信息包括：在所述自锁的深度神经网络被非法解锁的情况下，去除非法解锁得到的深度神经网络中的所述第二部分网络参数，利用所述预定的数字密匙使用并展示所述深度神经网络的预定功能，得到第一结果，以及利用非预定的数字密匙使用并展示所述深度神经网络不能执行预定功能，或者，所述预定功能的性能下降并且下降幅度与预计幅度一致，得到第二结果；结合所述第一结果和所述第二结果确定所述预定的数字密匙与所述第一部分网络参数具有关联性，其中，所述关联性在生成所述深度神经网络时被赋予。

6. 根据权利要求 1所述的方法，其中，所述方法还包括：针对所述深度神经网络的多层神经网络的第一部分网络层级，利用所述第一部分网络层级的网络参数和不公开的数字密匙，按照预设方式计算得到一个或多个数值；针对所述多层神经网络的第二部分网络层级，利用所述一个或多个数值设定所述第二部分网络层级的网络参数；采用所述第一部分网络层级和所述第二部分网络层级，构建所述多层神经网络的网络结构，并执行所述深度神经网络的预定功能，其中，所述深度神经网络的预定功能包括以下至少之一：图像分类，自然语言处理；其中，所述第一部分网络层级是卷积层或者全连接层；所述第二部分网络层级是批归一化层，所述第二部分网络层级的网络参数是所述批归一化层的偏置参数和 /或所述批归一化层的尺度因子；或者，所述第二部分网络层级是一个额外的密匙变换层，所述第二部分网络层级的网络参数是所述密匙变换层的偏置参数和尺度因子，所述偏置参数和所述尺度因子按元素操作和 /或按通道操作；或者，所述第二部分网络层级是任何实现尺度变换和偏置功能的网络层。

7. 根据权利要求 1所述的方法，其中，所述方法还包括：将预先选定的不公开的一组或者多组数字信息设置为预定的数字密匙，其中，所述预定的数字密匙分发给合法授权的深度神经网络用户，所述预定的数字密匙由所述深度神经网络的所有者来选定或者由所述合法授权的深度神经网络用户采用预设工具来生成；所述预定的数字密匙包括预先选定的不公开的一组或者多组图片；所述一组或者多组图片用于确定所述所有者的身份信息，包括以下至少之一: 所述所有者的护照照片、身份证照片、签名、指纹图片、虹膜图片、法人团体徽标、公司标识；或者，所述一组或者多组图片用于确定合法授权的所述深度神经网络的用户法人的身份信息，包括以下至少之一：所述用户法人的护照照片、身份证照片、签名、指纹图片、虹膜图片、法人团体徽标、公司标识；或者，所述预定的数字密匙包括预先选定的不公开的一组或者多组语音信号; 所述一组或者多组语音信号用于确定所述所有者的身份信息，包括以下至少之一：所述所有者的声纹录音；或者，所述一组或者多组图片用于确定合法授权的所述深度神经网络的用户法人的身份信息，包括以下至少之一：所述用户法人的声纹录音；或者，所述预定的数字密匙包括预先选定的不公开的一组或者多组数字密码。

8. 一种运用自锁机制保护深度神经网络的系统，包括：配合预定的数字密匙和学习训练数据样本，对所述深度神经网络进行自锁，得到自锁的深度神经网络的第一模块；配合所述预定的数字密匙，对所述自锁的深度神经网络合法使用的第二模块; 当没有给出所述预定的数字密匙时，对所述自锁的深度神经网络进行保护的第三模块；配合所述预定的数字密匙，对被非法解锁的所述深度神经网络确定归属权的第四模块；其中，所述第二模块和所述第三模块在物理上具有共同的可复用的子模块，而在功能上则相互独立实现；所述第一模块还设置为执行以下步骤：根据带标注或者不带标注信息的所述学习训练数据样本，训练并更新所述深度神经网络的第一部分网络参数，其中，所述第一部分网络参数参与实现所述深度神经网络的预定功能，并与所述预定的数字密匙共同确定第二部分网络参数的数值；根据所述预定的数字密匙和所述第一部分网络参数的数值，在训练过程中计算并更新所述第二部分网络参数的数值，以得到所述深度神经网络的预定功能，其中，所述深度神经网络的预定功能包括以下至少之一：图像分类，自然语言处理；所述第二模块还设置为执行以下步骤：根据所述第一部分网络参数和所述预定的数字密匙，计算并设定所述第二部分网络参数的数值；采用所述第一部分网络参数和所述第二部分网络参数，控制所述自锁的深度神经网络执行数据处理操作；所述第三模块还设置为执行以下步骤：获取非预定的数字密匙和非法拷贝的第一部分网络参数，计算得到异常的第二部分网络参数；使用所述非法拷贝的第一部分网络参数和所述异常的第二部分网络参数，得到功能缺失或者性能下降的所述第二特征信息；所述第四模块还设置为执行以下步骤：在所述自锁的深度神经网络被非法解锁的情况下，去除非法解锁得到的深度神经网络中的所述第二部分网络参数，利用所述预定的数字密匙使用并展示所述深度神经网络的预定功能，得到第一结果，以及利用非预定的数字密匙使用并展示所述深度神经网络不能执行预定功能，或者，所述预定功能的性能下降并且下降幅度与预计幅度一致，得到第二结果；结合所述第一结果和所述第二结果确定所述预定的数字密匙与所述第一部分网络参数具有关联性，其中，所述关联性在生成所述深度神经网络时被赋予。

9. 一种运用自锁机制保护深度神经网络的终端，包括：处理器，存储器，通信接口和通信总线；其中，所述处理器，所述存储器和所述通信接口通过所述通信总线完成相互间的通信；所述存储器设置为存放至少一可执行指令，所述可执行指令使所述处理器执行深度神经网络自锁保护所对应的操作；或者，所述存储器设置为存放至少一可执行指令和所述深度神经网络，所述可执行指令使所述处理器执行深度神经网络自锁保护所对应的操作；或者，所述存储器设置为存放至少一可执行指令和数字密匙，所述可执行指令和所述数字密匙，所述可执行指令使所述处理器执行深度神经网络自锁保护所对应的操作。