DE102018200724A1 - Verfahren und Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples" - Google Patents

Verfahren und Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples" Download PDF

Info

Publication number
DE102018200724A1
DE102018200724A1 DE102018200724.1A DE102018200724A DE102018200724A1 DE 102018200724 A1 DE102018200724 A1 DE 102018200724A1 DE 102018200724 A DE102018200724 A DE 102018200724A DE 102018200724 A1 DE102018200724 A1 DE 102018200724A1
Authority
DE
Germany
Prior art keywords
data signal
value
machine learning
semantic
data signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018200724.1A
Other languages
English (en)
Inventor
Volker Fischer
Jan Hendrik Metzen
Chaithanya Kumar Mummadi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to US15/948,722 priority Critical patent/US11055632B2/en
Priority to CN201810348276.7A priority patent/CN108734289A/zh
Publication of DE102018200724A1 publication Critical patent/DE102018200724A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B15/00Systems controlled by a computer
    • G05B15/02Systems controlled by a computer electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/008Artificial life, i.e. computing arrangements simulating life based on physical entities controlled by simulated intelligence so as to replicate intelligent life forms, e.g. based on robots replicating pets or humans in their appearance or behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Robotics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Automation & Control Theory (AREA)
  • Feedback Control In General (AREA)

Abstract

Verfahren zum Erzeugen einer universellen Datensignalstörung (Ξ) zum Generieren eines manipulierten Datensignals (xadv) zum Täuschen eines ersten maschinellen Lernsystems (60), welches eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln, mit den Schritten:
a) Ermitteln eines Trainings-Datensatzes (Dtrain) umfassend Paare von Datensignalen (x(k)) und zugehörigen gewünschten semantischen Segmentierungen (ytar-get,k),
b) Generieren der Datensignalstörung (Ξ), abhängig von den Datensignalen (x(k)) des Trainings-Datensatzes (Dtrain), der zugehörigen gewünschten semantischen Segmentierung (ytarget,k) sowie geschätzten semantischen Segmentierungen (fe) der mit der Datensignalstörung (Ξ) beaufschlagten Datensignale (x(k)).

Description

  • Die Erfindung betrifft ein Verfahren zum Erzeugen einer Datensignalstörung und darauf aufbauend ein Verfahren zum Erzeugen eines manipulierten Datensignals, ein Verfahren zum Beurteilen einer Robustheit eines Aktorsteuerungssystems, ein Verfahren zum Betreiben eines Aktorsteuerungssystem, ein Verfahren zum Trainieren eines Aktorsteuerungssystems, ein Aktorsteuerungssystem, das mit diesem Verfahren trainiert wurde, ein Computerprogramm das Anweisungen umfasst, welche eingerichtet sind, eines dieser Verfahren auszuführen, wenn es auf einem Computer ausgeführt wird, ein maschinenlesbares Speichermedium, auf dem das Computerprogramm gespeichert ist und einen Computer, der eingerichtet ist, eines dieser Verfahren auszuführen.
  • Stand der Technik
  • Aus der DE 10 2005 050 577 A1 ist ein neuronales Netz für eine Steuerungsvorrichtung bekannt. Die Erfindung prüft ein neuronales Netz 1 für eine Steuerungsvorrichtung. Das neuronale Netz weist eine Mehrzahl erster Neuronen N1, N2, ..., Nn in einer ersten Schicht und einem zweiten Neuron M in einer auf die erste Schicht folgenden zweiten Schicht auf. Aus einer vorgegebenen Mehrzahl von Testsignal-Kombinationen wird jede Testsignal-Kombination ausgewählt. Jede Testsignal-Kombination ordnet jedem ersten Neuron N1, N2, ..., Nn einen Test-Eingangssignalvektor ut1, ut2, ..., utk zu, welcher entweder ein Nullsignal ist oder das zugehörige erste Neuron N1, N2, ..., Nn derart sättigt, dass das erste Neuron N1, N2, ..., Nn einen unteren Sättigungswert φmin ausgibt, oder das zugehörige erste Neuron N1, N2, ..., Nn derart sättigt, dass das erste Neuron N1, N2, ..., Nn einen oberen Sättigungswert ausgibt. Die Testsignal-Kombination wird an die ersten Neuronen N1, N2, ..., Nn angelegt und das Ausgangssignal p des zweiten Neurons M wird erfasst. Ein Teil-Prüfungssignal wird gespeichert, wenn das Ausgangs-signal p größer als ein vorgegebener Schwellwert ist. Ein positives Gesamt-Prüfsignal wird ausgegeben, nachdem jede der Testsignal-Kombinationen angelegt wird und wenn kein Teil-Prüfsignal gespeichert ist für die vorgegebene Mehrzahl der Testsignal-Kombinationen gespeichert wird
  • Vorteil der Erfindung
  • Das Verfahren mit den Merkmalen des unabhängigen Anspruch 1 hat demgegenüber dem Vorteil, dass es ermöglicht, semantische Segmentierungen, die mittels maschineller Lernverfahren ermittelt werden, besonders robust gegenüber Irreführungsbeispielen (engl. „Adversarial Examples“) zu machen. Adversarial Examples sind geringfügig manipulierte Eingangsdaten (die bei Bilddaten den unmanipulierten Eingangsdaten so ähnlich sind, dass sie für menschliche Experten praktisch nicht zu unterscheiden sind), die zu einer erheblichen Änderung der ermittelten semantischen Segmentierung führen können. Beispielsweise wäre es denkbar, dass ein bösartiger Angreifer ein solches Irreführungsbeispiel einsetzt, um einen autonomen Roboter in die Irre zu leiten, indem er beispielsweise eine semantische Segmentierung, die einen tatsächlich vorhanden Fluss als „Fluss“ markiert, unterdrückt, was zu einer Gefährdung des autonomen Roboters, der seine Routenplanung basierend auf dieser semantischen Segmentierung durchführt, führen könnte. Mit dem erfindungsgemäßen Verfahren kann die Wirksamkeit solcher Angriffe reduziert werden.
  • Vorteilhafte Weiterbildungen sind Gegenstand der unabhängigen Ansprüche.
  • Offenbarung der Erfindung
  • In einem ersten Aspekt betrifft die Erfindung ein Verfahren zum Erzeugen einer universellen Datensignalstörung zum Generieren eines manipulierten Datensignals zum Täuschen eines ersten maschinellen Lernsystems, welches eingerichtet ist, eine semantische Segmentierung eines empfangenen ein- oder mehrdimensionalen Datensignals zu ermitteln, das einen Zustands eines Agentensystems, insbesondere ein Aktorsystem umfassend einen Aktor (10) und eine Umgebung (20) des Aktors (10) charakterisiert.
  • Eine semantische Segmentierung des Datensignals bedeutet hierbei wie üblich, dass Bereichen des Datensignals ein semantischer Wert aus einer vorgegebenen Auswahl möglicher semantischer Werte zugeordnet wird.
  • Das Verfahren umfasst die Schritte:
    1. a) Ermitteln eines Trainings-Datensatzes, welcher Paare von Datensignalen und zugehörigen gewünschten semantischen Segmentierungen umfasst,
    2. b) Generieren der Datensignalstörung abhängig von den Datensignalen des Trainings-Datensatzes, den zugehörigen gewünschten semantischen Segmentierungen sowie geschätzten semantischen Segmentierungen der mit der Datensignalstörung beaufschlagten Datensignale.
  • Die so ermittelte Datensignalstörung ist universell in dem Sinne, dass sich durch sie (d.h. durch Beaufschlagung mit der Datensignalstörung) eine Vielzahl von Datensignalen, welche nicht im Trainings-Datensatz enthalten sind, in Irreführungsbeispiele transformieren lassen. Wird die semantische Segmentierung dieser Irreführungsbeispiele mit dem ersten maschinellen Lernsystem ermittelt, so ergibt sich abhängig von der gewünschten semantischen Segmentierung ein deutlicher Unterschied gegenüber der entsprechenden semantischen Segmentierung des jeweiligen entsprechenden unbeaufschlagten Datensignale.
  • Die geschätzte semantische Segmentierung kann hierbei durch das erste maschinelle Lernsystem ermittelt werden, oder durch eine Nachbildung des ersten maschinellen Lernsystems.
  • Die semantische Segmentierung erfolgt hierbei vorzugsweise „pixelweise“, d.h. die semantische Segmentierung hat die gleiche Dimensionalität wie das ein- oder mehrdimensionale Datensignal und weist vorzugsweise jedem Datenpunkt in dem ein- oder mehrdimensionalen Datensignal einen semantischen Wert zu.
  • Mit einer solchen Datensignalstörung können insbesondere manipulierte Datensignale generiert werden, indem ein Datensignal mit der Datensignalstörung (z. B. durch Addition) beaufschlagt wird. Durch das Generieren derartig manipulierter Datensignale ist es insbesondere möglich, die Robustheit des ersten maschinellen Lernsystems zum semantischen Segmentieren gegen etwaige Angreifer zu verbessern und zuverlässig zu beurteilen. Insbesondere ist es durch die Unabhängigkeit von empfangenem Datensignal und den Datensignalen des Trainings-Datensatzes möglich, mit Hilfe der generierten Datensignalstörung eine breite Klasse von Irreführungsbeispielen zu detektieren.
  • In einer Weiterbildung kann vorgesehen sein, dass das Generieren der Datensignalstörung derart erfolgt, dass die Datensignalstörung periodisch ist. Auf diese Weise lässt sich eine Überanpassung des manipulierten Datensignals an den Trainings-Datensatz wirksam unterdrücken. Eine solche Überanpassung wäre andernfalls aufgrund der Dimensionalität der Datensignalstörung, die die gleiche Dimensionalität wie das Datensignal hat, zu erwarten.
  • Alternativ oder zusätzlich kann vorgesehen sein, dass die gewünschten semantischen Segmentierungen abhängig von einer geschätzten semantischen Segmentierung des zugehörigen Datensignals gewählt werden.
  • Auf diese Weise können die gewünschten semantischen Segmentierungen mit besonders wenig Aufwand generiert werden, da eine tatsächliche „wahre“ semantische Segmentierung der Datensignale des Trainings-Datensatzes nicht benötigt wird.
  • In einer Weiterbildung dieses Aspekts kann vorgesehen sein, dass die gewünschten semantischen Werte abhängig davon gewählt werden, ob die geschätzten semantischen Werte einen vorgebbaren Wert annehmen.
  • Auf diese Weise lassen sich besonders gut Angriffe nachbilden, die darauf abzielen, Information von Datenpunkten, deren semantischer Wert einen vorgebbaren Wert hat, zu unterdrücken.
  • Hierbei kann vorgesehen sein, dass die gewünschten semantischen Werte an einer Stelle, an der die geschätzten semantischen Werte den vorgebbaren Wert annehmen, durch einen Ersatzwert ersetzt werden. Der Ersatzwert ist hierbei ein anderer Wert als der geschätzte semantische Wert.
  • Vorteilhafterweise ist der Ersatzwert derjenige geschätzte semantische Wert an einer Ersatzstelle, die in der Nähe der Stelle ist. Die Ersatzstelle kann hierbei beispielsweise die am nächsten liegende Stelle sein, deren geschätzter semantischer Wert sich von dem vorgebbaren Wert unterscheidet.
  • Ferner kann vorgesehen sein, dass die gewünschten semantischen Werte gleich den geschätzten semantischen Werten gewählt werden, wenn die geschätzten semantischen Werte den vorgebbaren Wert nicht annehmen.
  • Mit jeder der beiden vorgenannten Maßnahmen ist es möglich, einen Angreifer nachzubilden, der die unterdrückten Datenpunkte besonders harmonisch in die semantische Segmentierung des Hintergrunds übergehen lässt, und damit einen besonders gezielten Angriff durchführt.
  • Dies kann dadurch geschehen, dass das Generieren der Datensignalstörung abhängig von einem Funktionswert einer Kostenfunktion des ersten maschinellen Lernsystems geschieht, den diese Kostenfunktion unter mit dieser Datensignalstörung beaufschlagten Datensignalen und für die gewünschten semantischen Segmentierungen annimmt. D.h. die Kostenfunktion hat in üblicher Weise als Argumente den Ausgangswert (die ermittelte semantische Segmentierung) des ersten maschinellen Lernsystems, den dieses in Abhängigkeit seines Eingangssignals (dem Datensignal) ermittelt hat. Die Kostenfunktion hat ferner wie üblich eine gewünschte semantische Segmentierung (also gewünschte semantische Werte) als weiteres Argument. Es ist hier nun vorgesehen, dass als Eingangssignal das Datensignal durch das mit der Datensignalstörung beaufschlagte Datensignal ersetzt wird.
  • Konkret kann die Datensignalstörung aus einer Menge erlaubter Datensignalstörungen derart ausgewählt wird, dass sie die Kostenfunktion unter mit dieser Datensignalstörung beaufschlagten Datensignalen für die gewünschten semantischen Werte numerisch minimiert. Eine solche numerische Minimierung kann beispielsweise durch ein iteratives Verfahren erfolgen, wobei das iterative Verfahren beendet wird, wenn ein vorgebbares Abbruchkriterium (beispielsweise nach einer vorgebbaren Anzahl Iterationsschritte) erreicht ist. Es versteht sich für den Fachmann, dass hierbei das theoretisch erreichbare Minimum üblicherweise nicht genau sondern lediglich näherungsweise erreicht sein wird.
  • In einer flexiblen Weiterbildung kann vorgesehen sein, dass die Kostenfunktion zwei Anteile umfasst, von denen einer den Anteil derjenigen Stellen an der Kostenfunktion charakterisiert, deren geschätzte semantische Werte den vorgebbaren Wert annehmen und der andere den Anteil derjenigen Stellen an der Kostenfunktion charakterisiert, deren geschätzte semantische Werte den vorgebbaren Wert nicht annehmen, wobei diese beiden Anteile vorgebbar gegeneinander gewichtet werden.
  • Auf diese Weise ist es auf besonders einfache Weise möglich, flexibel sowohl solche Angriffe nachzubilden, deren Ziel es ist, möglichst effizient Informationen von Datenpunkten, deren semantische Segmentierung einen vorgebbaren Wert hat, zu unterdrücken (dies kann geschehen, indem der erste Anteil hoch gewichtet wird), als auch solche Angriffe nachzubilden, deren Ziel es ist, den semantischen Hintergrund möglichst intakt zu lassen, um damit besonders schwer identifizierbar zu sein (dies kann geschehen, indem der zweite Anteil hoch gewichtet wird).
  • In einem weiteren weiterbildenden Aspekt ist vorgesehen, die Erfindung in einem Verfahren zum Beurteilen einer Robustheit eines Aktorsteuerungssystems zum Ansteuern eines Aktors anzuwenden, welches ein erstes maschinelles Lernsystem umfasst, das eingerichtet ist, eine semantische Segmentierung eines empfangenen ein- oder mehrdimensionalen Datensignals zu ermitteln, das einen Zustands eines Aktorsystem umfassend den Aktor und eine Umgebung des Aktors charakterisiert,
    wobei das Aktorsteuerungssystem eingerichtet ist, abhängig von der ermittelten semantischen Segmentierung ein Ansteuersignal zu ermitteln und den Aktor abhängig von dem ermittelten Ansteuersignal anzusteuern,
    wobei ein manipuliertes Datensignal abhängig vom Datensignalen und der Datensignalstörung erzeugt wird, (wobei die Datensignalstörung mit einem der vorgenannten Verfahren ermittelt wurde), und ein zweites Ansteuersignal abhängig von einer ermittelten zweiten semantischen Segmentierung ermittelt wird, welche mittels des ersten maschinellen Lernsystems durch Austausch des Datensignals durch das manipulierte Datensignal ermittelt wird (d.h. dem ersten maschinellen Lernsystem wird das manipulierte Datensignal anstelle des Datensignals zugeführt). Hierbei wird dann abhängig von Ansteuersignal und auch abhängig vom zweiten Ansteuersignal entschieden, ob das Aktorsteuerungssystem robust ist, oder nicht.
  • Ein solches Verfahren kann insbesondere auch während des Betriebs des Aktorsteuerungssystems ablaufen, um fortlaufend oder in regelmäßigen Zeitintervallen zu beurteilen, ob sich das Aktorsteuerungssystem gegen einen etwaigen Angriff robust verhalten würde.
  • Hierauf aufbauend kann ein Verfahren zum Betreiben eines Aktorsteuerungssystems zum Ansteuern eines Aktors vorgesehen werden, wobei mittels des vorgenannten Verfahrens beurteilt wird, ob das Aktorsteuerungssystem robust ist, oder nicht, und das Aktorsteuerungssystem abhängig von der Beurteilung den Aktor ansteuert, wobei das Aktorsteuerungssystem insbesondere in einen abgesicherten Modus überführt werden kann, wenn die Beurteilung ergibt, dass das Aktorsteuerungssystem nicht robust ist.
  • In einem noch weiteren Aspekt betrifft die Erfindung ein Verfahren zum Trainieren eines Aktorsteuerungssystem welches insbesondere ein erstes maschinelle Lernsystems umfasst, das eingerichtet ist, eine semantische Segmentierung eines empfangenen ein- oder mehrdimensionalen Datensignals zu ermitteln das einen Zustands eines Agentensystems, insbesondere ein Aktorsystem umfassend einen Aktor und eine Umgebung des Aktors charakterisiert, wobei das Aktorsteuerungssystem ferner eingerichtet ist, einen Ausgabewerts eines zweiten maschinellen Lernsystems zu ermitteln, wobei der Ausgabewert eine Wahrscheinlichkeit charakterisiert, dass die semantische Segmentierung falsch ist, insbesondere, ob das Datensignal ein Irreführungsbeispiel ist, wobei ein Ansteuern des Aktors abhängig von der ermittelten semantischen Segmentierung erfolgen kann, und das Ansteuern des Aktors gemäß einer Fehlerabwehrreaktion erfolgen kann, wenn entschieden wurde, dass ein Fehler vorliegt.
  • Dieses Trainingsverfahren umfasst die folgenden Schritte:
    1. a) Auswahl einer Untermenge von Datensignalen aus einer Trainings-Menge für das zweite maschinelle Lernsystem, die Datensignale umfasst,
    2. b) Entscheiden, ob die Datensignale dieser Untermenge manipuliert werden sollen oder nicht,
    3. c) Sofern entschieden wurde, dass die Datensignale manipuliert werden sollen, Ermitteln manipulierter Datensignale abhängig von den jeweiligen Datensignalen und der mit einem der vorgenannten Verfahren ermittelten Datensignalstörung und Ersetzen der Datensignale durch die jeweiligen ermittelten manipulierten Datensignale,
    4. d) Setzen eines gewünschten Ausgabewerts auf den Wert eines vorgebbaren ersten Zahlenwerts, wenn die Datensignale nicht manipuliert werden bzw. auf einen zweiten, vom ersten Zahlenwert verschiedenen vorgebbaren zweiten Zahlenwert, wenn die Datensignale manipuliert werden, und
    5. e) Trainieren der Parameter des zweiten maschinellen Lernsystems mit der (ggf. manipulierten) Untermenge von Beobachtungswerten und zugehörigen gewünschten Ausgabewerten.
  • In einem noch weiteren Aspekt betrifft die Erfindung ein Aktorsteuerungssystem welches ein erstes maschinelles Lernsystem umfasst, das eingerichtet ist, eine semantische Segmentierung eines empfangenen ein- oder mehrdimensionalen Datensignals zu ermitteln und ein zweites maschinelles Lernsystem umfasst, das mit diesem Trainingsverfahren trainiert wurde.
  • Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen näher erläutert. In den Zeichnungen zeigen:
    • 1 schematisch eine Interaktion zwischen Aktor und Aktorsteuerungssystem;
    • 2 schematisch eine Interaktion zwischen Trainingssystem und Aktorsteuerungssystem;
    • 3 eine Ausführungsform eines Trainingsverfahrens;
    • 4 eine Ausführungsform des Verfahrens zum Ermitteln der Datensignalstörung;
    • 5 eine Ausführungsform des Verfahrens zum Ermitteln des manipulierten Datensignals;
    • 6 eine Ausführungsform des Verfahrens zum Beurteilen der Robustheit des Aktorsteuerungssystems;
    • 7 eine Ausführungsform des Verfahrens zum Betreiben des Aktorsteuerungssystems.
  • Beschreibung der Ausführungsbeispiele
  • 1 zeigt einen Aktor 10 in seiner Umgebung 20 in Interaktion mit einem Aktorsteuerungssystem 40. Aktor 10 und Umgebung 20 werden gemeinschaftlich nachfolgend auch als Aktorsystem bezeichnet. Ein Zustand des Aktorsystems wird mit einem Sensor 30 erfasst, der auch durch eine Mehrzahl von Sensoren gegeben sein kann. Ein Ausgangssignal S des Sensors 30 wird an das Aktorsteuerungssystem 40 übermittelt. Das Aktorsteuerungssystem 40 ermittelt hieraus ein Ansteuersignal A, welches der Aktor 10 empfängt.
  • Bei dem Aktor 10 kann es sich beispielsweise um einen (teil-)autonomen Roboter, beispielsweise ein (teil-)autonomes Kraftfahrzeug handeln. Bei dem Sensor 30 kann es sich beispielsweise um einen oder mehrere Videosensoren und/oder einen oder mehrere Radarsensoren und/oder einen oder mehrere Ultraschallsensoren und/oder einen oder mehrere Positionssensoren (beispielsweise GPS) handeln. Alternativ oder zusätzlich kann der Sensor 30 auch ein Informationssystem umfassen, das eine Information über einen Zustand des Aktorsystems ermittelt, wie beispielsweise ein Wetterinformationssystem, das einen aktuellen oder zukünftigen Zustand des Wetters in der Umgebung 20 ermittelt.
  • In einem anderen Ausführungsbeispiel kann es sich bei dem Aktor 10 um einen Fertigungsroboter handeln, und bei dem Sensor 30 dann beispielsweise um einen optischen Sensor handeln, der Eigenschaften von Fertigungserzeugnissen des Fertigungsroboters erfasst.
  • In einem weiteren Ausführungsbeispiel kann es sich bei dem Aktor 10 um ein Freigabesystem handeln, welches eingerichtet ist, die Aktivität eines Geräts freizugeben oder nicht. Bei dem Sensor 30 kann es sich beispielsweise um einen optischen Sensor (beispielsweise zur Erfassung von Bild- oder Videodaten) handeln, der eingerichtet ist, ein Gesicht zu erfassen. Der Aktor 10 ermittelt abhängig vom Ansteuersignal A ein Freigabesignal, das benutzt werden kann, um abhängig vom Wert des Freigabesignals das Gerät freizugeben. Bei dem Gerät kann es sich beispielsweise um eine physische oder logische Zugangskontrolle handeln. Abhängig vom Wert des Ansteuersignals A kann die Zugangskontrolle dann vorsehen, dass Zugang gewährt wird, oder nicht.
  • Das Aktorsteuerungssystem 40 empfängt das Ausgangssignal S des Sensors in einer optionalen Empfangseinheit 50, die das Ausgangssignal S in ein Datensignal x umwandelt (alternativ kann auch unmittelbar das Ausgangssignal S als Datensignal x übernommen werden). Das Datensignal x kann beispielsweise ein Ausschnitt oder eine Weiterverarbeitung des Ausgangssignals S sein. Das Ausgangssignal x wird einem ersten maschinellen Lernsystem 60, beispielsweise einem neuronalen Netzwerk, zugeführt.
  • In einem im Folgenden beschriebenen bevorzugten Ausführungsbeispiel ist das Datensignal x ein zweidimensionales Bildsignal, dessen Pixel durch einen oder drei Zahlenwerte charakterisiert sind. Das Datensignal x kann aber auch ein anderes ein- oder mehrdimensionales Datensignal sein.
  • Das erste maschinelle Lernsystem 60 ermittelt aus dem Bildsignal x eine zugehörige semantische Segmentierung y_cls. Hierbei wird jedem Bereich des Bildsignals x ein semantischer Wert zugeordnet. Im Ausführungsbeispiel wird eine pixelweise Segmentierung durchgeführt, d.h. die semantische Segmentierung y_cls hat die gleiche Dimension wie das Datensignal x.
  • Hierbei kann die semantische Segmentierung y_cls Wahrscheinlichkeiten charakterisieren, dass dieser Pixel als einer semantischen Klasse (aus einer Mehrzahl semantischer Klassen) zugehörig klassifiziert wird. Die semantische Segmentierung y_cls kann für jeden Pixel beispielsweise eine vektorwertige Größe sein, die für jede der semantischen Klassen mittels einer zugeordneten Zahl im Werteintervall [0; 1] angibt, wie hoch die Wahrscheinlichkeit ist, dass dieser Pixel der jeweiligen semantischen Klasse zuzuordnen ist. Die semantische Segmentierung y_cls kann für jeden Pixel auch eine skalare Größe sein, beispielsweise ein Bezeichner derjenigen semantischen Klasse, deren oben beschriebene Wahrscheinlichkeit den größten Wert annimmt.
  • Das Aktorsteuerungssystem 40 umfasst ferner ein zweites maschinelles Lernsystem 70, beispielsweise ein neuronales Netzwerk. Das zweite maschinelle Lernsystem 70 empfängt ebenfalls das Bildsignal x und ermittelt hieraus einen Ausgabewert y_det, der beispielsweise eine Zahl im Wertebereich [0;1] sein kann und eine Wahrscheinlichkeit charakterisieren kann, dass der Beobachtungswert B derart manipuliert wurde, dass die semantische Segmentierung y_cls die Bilddaten x nicht korrekt charakterisiert.
  • Im Ausführungsbeispiel wird dies dadurch erreicht, dass das zweite maschinelle Lernsystem 70 derart eingerichtet ist, dass der Ausgabewert y_det eine Wahrscheinlichkeit charakterisiert, dass es sich bei dem Bildsignal x um ein Irreführungsbeispiel handelt.
  • Semantische Segmentierung y_cls und Ausgabewert y_det werden einer Ausgabeeinheit 80 übermittelt, die hieraus das Ansteuersignal A ermittelt. Beispielsweise ist es möglich, dass die Ausgabeeinheit zunächst überprüft, ob der Ausgabewert y_det kleiner ist als ein vorgebbarer Schwellenwert. Ist dies der Fall, wird abhängig von der semantischen Segmentierung y_cls das Ansteuersignal A ermittelt. Dies ist der Normalfall. Wird hingegen ermittelt, dass der Ausgabewert y_det nicht kleiner ist als der vorgebbare Schwellenwert, so kann vorgesehen sein, dass das Ansteuersignal A derart ausgebildet ist, das es den Aktor A in einen abgesicherten Modus überführt.
  • Das Aktorsteuerungssystem 40 umfasst in einer Ausführungsform einen Computer und ein maschinenlesbares Speichermedium (nicht dargestellt), auf dem ein Computerprogramm gespeichert ist, dass, wenn es vom Computer ausgeführt wird, diesen veranlasst, die beschriebenen Funktionalitäten des Aktorsteuerungssystems 40 auszuführen. Erstes maschinelles Lernsystem 60 und zweites maschinelles Lernsystem 70 können hier insbesondere als separate oder gemeinsame Computerprogramme implementiert sein.
  • 2 illustriert die Interaktion zwischen einem Trainingssystem 90, dem ersten maschinellen Lernsystem 60 und dem zweiten maschinellen Lernsystem 70. Das Trainingssystem 90 hält einen Trainings-Datensatz vor, der Bildsignale x umfasst. Aus dem Trainings-Datensatz werden ein oder mehrere Bildsignale x ausgewählt und dem ersten maschinellen Lernsystem 60 zur Verfügung gestellt. Es kann sich hierbei um einzelne Bildsignale x handeln, also solche, die dem ersten maschinellen Lernsystem 60 auch bei Interaktion des Aktorsteuerungssystems 40 mit Aktor 10 und Sensor 30 zugeführt werden. Es kann sich aber auch um einen Stapel (engl. „batch“), also eine Mehrzahl von solchen Bilddaten x handeln.
  • Das erste maschinelle Lernsystem 60 ermittelt aus den ihm zugeführten Bilddaten x jeweils eine semantische Segmentierung y_cls. Ebenso ermittelt das zweite maschinelle Lernsystem 60 analog zu 1 einen Ausgabewert y_det. Semantische Segmentierung y_cls und Ausgabewert y_det werden wieder dem Trainingssystem 90 zugeführt. Das Trainingssystem 90 ermittelt hieraus ein Parameteranpassungssignal P, das kodiert, welche Parameter des zweiten maschinellen Lernsystems 70 wie ihren Wert ändern sollen. Diese gewünschte Anpassung erfolgt beispielsweise durch die Vorgabe gewünschter Werte für den Ausgabewert y_det und Backpropagation. Das Trainingssystem 90 führt zu diesem Zweck das Parameteranpassungssignal P einem Anpassungsblock 95 zu, der die Parameter im ersten maschinellen Lernsystem 60 und im zweiten maschinellen Lernsystem 70 entsprechend anpasst. Es ist hierbei möglich, dass nur die Parameter des ersten maschinellen Lernsystems 60 oder nur die Parameter des zweiten maschinellen Lernsystems 70 angepasst werden.
  • Trainingssystem 90 umfasst in einer Ausführungsform einen Computer und ein maschinenlesbares Speichermedium (nicht dargestellt), auf dem ein Computerprogramm gespeichert ist, das, wenn es vom Computer ausgeführt wird, diesen veranlasst, die beschriebenen Funktionalitäten des Lernsystems 90 auszuführen.
  • 3 zeigt in einem Flussdiagramm eine Ausführungsform eines Verfahrens zum Trainieren der Parameter des zweiten maschinellen Lernsystems 70 durch das Trainingssystem 90.
  • Hierbei werden die Parameter des ersten maschinellen Lernsystems 60 eingefroren und die Parameter des zweiten maschinellen Lernsystems 60 trainiert.
  • Zunächst (1110) wird für jedes Bildsignal x, das in der ersten Trainingsphase dem ersten maschinellen Lernsystem 60 zugeführt wurde, entschieden, ob es manipuliert wird oder nicht. Dies kann beispielsweise zufällig mit einer vorgebbaren Wahrscheinlichkeit, beispielsweise 50%, erfolgen.
  • Anschließend (1120) werden die gewünschten zweiten Ausgabewerte y_det von Bildwerten x, die manipuliert werden sollen, auf den Wert „1“ gesetzt, ansonsten auf den Wert „0“.
  • Im folgenden Schritt 1130 wird ein universelles Datenstörungssignal Ξ zur Verfügung gestellt, Das universelle Datenstörungssignal Ξ kann entweder eingelesen werden, oder es kann generiert werden. Das Verfahren zum Generieren des universellen Datenstörungssignals Ξ ist in 4 illustriert.
  • Dann (1140) werden Bildwerte x, die manipuliert werden sollen, durch ihre manipulierte Form xadv ersetzt, indem das universelle Datenstörungssignal Ξ zu x hinzuaddiert wird.
  • Im nun folgenden Schritt 1150 werden die trainierten Parameter des ersten maschinellen Lernsystems 60 eingefroren und die Parameter des zweiten maschinellen Lernsystems 70 trainiert.
  • Das Trainieren der Parameter erfolgt mittels der beschriebenen Kostenfunktion Jdet des zweiten maschinellen Lernsystems 70 und Backpropagation.
  • Damit endet die zweite Phase 1100.
  • 4 zeigt in einem Flussdiagramm das Verfahren zum Generieren der universellen Datensignalstörung Ξ.
  • In einem ersten Schritt 2000 wird ein Trainings-Datensatz Dtrain aus Bildsignalen x(k), k=1...m mit einer festen Zahl m zur Verfügung gestellt.
  • Es folgt Schritt 2010, in dem für jedes der Bildsignale x(k) mittels des ersten maschinellen Lernsystems 60 die zugehörige semantische Segmentierung y_cls ermittelt wird (anstelle des ersten maschinellen Lernsystems 60 kann ein gleichwertiges System angewendet werden). Diese semantische Segmentierung y_cls wird im Folgenden auch mit dem Symbol fθ(x(k)) bezeichnet, wobei θ die Parameter des ersten maschinellen Lernsystems 60 bezeichnet und f die Abbildungsvorschrift bezeichnet, die das maschinelle Lernsystem 60 ausführt. Für jeden Punkt (i,j) wird also ein semantischer Wert ypred ij = fθ(x(k))ij geschätzt. Die zugehörige geschätzte semantische Segmentierung wird auch mit dem Symbol ypred bezeichnet.
  • In Schritt 2020 wird eine vorgebbare Klasse o definiert, d.h. o ist ein vorgebbarer Wert, der einem der zulässigen semantischen Werte entspricht. Nun wir eine Vordergrund-Menge lo (k) als die Menge all derjenigen Punkte (i,j) des jeweiligen Bildsignals x(k) definiert, deren zugehörige geschätzte semantische Werte ypred ij diesen vorgebbaren Wert o annehmen. Es wird ferner eine Hintergrund-Menge Ibg (k) ermittelt, die all diejenigen Punkte umfasst, deren zugehörige geschätzte semantische Werte ypred ij diesen vorgebbaren Wert o nicht annehmen. Die Vereinigung aus Vordergrund-Menge l(k) o und Hintergrund-Menge lbg (k) ist für jeden Wert von k gleich und wird auch als Gesamt-Menge I bezeichnet.
  • In Schritt 2030 wird für jedes der Bildsignale x(k) eine gewünschte semantische Segmentierung ytarset,k ermittelt, deren zugehörige semantische Werte ytarget,k ij für jeden Punkt (i,j), der in der Hintergrund-Menge Ibg (k) enthalten ist, gleich dem entsprechenden geschätzten semantischen Wert ypred ij gewählt wird. Ferner wird für jeden Punkt (i,j), der in der Vordergrund-Menge Io (k) enthalten ist, ein Ersatzwert ermittelt. Hierzu wird zunächst eine Ersatzstelle (i',j') im Bildsignal x(k) ermittelt, und zwar mittels i ' , j ' = arg i ' , j ' I b g min ( i ' i ) 2 + ( j ' j ) 2 .
    Figure DE102018200724A1_0001
  • Als Ersatzwert wird dann der semantische Wert an dieser Ersatzstelle (i',j') gewählt. Dieser wird in der gewünschten semantischen Segmentierung ytarget,k für den Punkt (i,j) gewählt, also ytarget,k ij = ypred i'j'.
  • Nun (2040) werden Zahlenwerte h, w vorgegeben. h, w sind so gewählt, dass die Höhe eines jeden der Bildsignale x(k) ein ganzzahliges Vielfaches von h ist, und dass die Breite eines jeden der Bildsignale x(k) ein ganzzahliges Vielfaches von w ist, sodass die Dimension der Bildsignale x(k) jeweils Rh x Sw ist, mit ganzzahligen R, S. Es wird eine Proto-Datensignalstörung ξ(0) mit der Dimension von h x w Punkten mit ξ(0) = 0 initialisiert. Ein Zähler n wird auf den Wert n = 0 gesetzt
  • Dann (2050) wird, und die Größe D = 1 m R S r = 1 R s = 1 S k = 1 m x J s s ω ( f θ ( x [ r , s ] ( k ) + ξ ( n ) ) , y [ r , s ] t a r g e t , k )
    Figure DE102018200724A1_0002
    berechnet. Hierbei bezeichnet [r,s] eine Menge an Punkten gemäß [ r , s ] = { i , j : [ r h i < [ r + 1 ] h ] [ [ s w j < ( s + 1 ) w ] ] } .
    Figure DE102018200724A1_0003
    x(k) [r,s] bezeichnet einen entsprechenden Ausschnitt des Bildsignals x(k), ytarget,k [r,s] einen entsprechenden Ausschnitt der zugehörigen gewünschten semantischen Segmentierung ytarget,k.
  • Die Größe Jω ss bezeichnet eine gewichtete Kostenfunktion des ersten maschinellen Lernsystems (60) gemäß J s s ω ( f θ ( x ) , y t a r g e t ) = 1 | I | { ω ( i , j ) I 0 J c l s ( f θ ( x ) i j , y i j t a r g e t ) + ( 1 ω ) ( i , j ) I b g J c l s ( f θ ( x ) i j , y i j t a r g e t ) }
    Figure DE102018200724A1_0004
  • Hierbei ist Jcls eine Kostenfunktion des ersten maschinellen Lernsystems 60, beispielsweise eine Kreuzentropie.
  • Die Größe ω ist eine vorgebbare Größe, die im Wertebereich [0;1] vorgegeben werden kann, beispielsweise auf den Wert 0,5.
  • In Schritt 2050 wird also ein über den Trainings-Datensatz gemittelter Gradient der (gewichteten) Kostenfunktion Jω ss ermittelt.
  • Anschließend (2060) wird eine nächste Iteration der Proto-Datensignalstörung ξ(n+1) gemäß der Formel ξ ( n + 1 ) = C l i p ε { ξ ( n ) α  sgn ( D ( ξ ( n ) ) ) }
    Figure DE102018200724A1_0005
    berechnet. Hierbei normiert die Funktion Clipε(x) Werte einer Variablen x auf eine ε-Kugel um den Ursprung. Die Norm kann hierbei eine L2-Norm sein, oder auch eine L-Norm. α wird auf einen vorgebbaren Wert festgelegt, beispielsweise α = 0,25. Der Wert der Variable n wird um 1 inkrementiert.
  • Nun (2070) wird überprüft, ob ein Konvergenzkriterium erfüllt ist. Beispielsweise kann geprüft werden, ob n einen vorgebbaren Grenzwert nmax überschritten hat, beispiels nmax = 10. Ist dies nicht der Fall, wird zurückverzweigt zu Schritt 2050. Andernfalls wird in Schritt 2080 die Datensignalstörung Ξ aus der Proto-Datensignalstörung ξ(n) mit Ξi,j = ξ(n) i,j für i<h, j<w und der periodischen Randbedienung Ξi+h,j = Ξi,j+w = Ξi,j iterativ ermittelt. Damit endet dieses Verfahren.
  • 5 zeigt in einem Flussdiagramm ein Ausführungsbeispiel des Verfahrens zum Ermitteln des manipulierten Datensignals xadv. In einem ersten Schritt 3000 wird ein Datensignal x empfangen. Im nächsten Schritt 3010 wird die Datensignalstörung Ξ optional mittels des in 4 illustrierten Verfahrens ermittelt. Alternativ wurde sie bereits zu einem früheren Zeitpunkt mittels des in 4 illustrierten Verfahrens ermittelt, in einem Speichermedium gespeichert und wird in Schritt 3010 nun abgerufen. Anschließend (3020) wird das manipulierte Datensignal xadv als Addition von Datensignal x und Datensignalstörung Ξ ermittelt. Damit endet dieses Verfahren. Das Verfahren kann als Computerprogramm implementiert sein, auf dem Speichermedium des Aktorsteuerungssystems 40 und/oder des Trainingssystems 90 gespeichert sein oder von diesem ausgeführt werden. Das Computerprogramm kann auch auf einem generischen Computer gespeichert und von diesem ausführbar sein.
  • 6 zeigt in einem Flussdiagramm ein Ausführungsbeispiel des Verfahrens zum Beurteilen der Robustheit des Aktorsteuerungssystems 40. In einem ersten Schritt 4000 wird ein Datensignal x empfangen. Anschließend (4010) ermittelt das Aktorsteuerungssystem 40 hieraus ein zugehöriges Ansteuersignal A, um den Aktor 10 anzusteuern. Dann (4020) wird mit dem in 5 illustrierten Verfahren aus dem Datensignal x ein manipuliertes Datensignal xadv ermittelt. Dieses manipulierte Datensignal xadv wird ebenfalls dem ersten maschinellen Lernsystem 60 zugeführt und eine zweite semantische Segmentierung y_clsadv ermittelt. Analog zur Ermittlung des Ansteuersignals A wird aus der ermittelten zweiten semantischen Segmentierung y_clsadv ein zweites Ansteuersignal Aadv ermittelt. Nun (4030) wird die Differenz zwischen Ansteuersignal A und zweitem Ansteuersignal Aadv ermittelt und überprüft (4040), ob ein Betrag dieser Differenz einen vorgebbaren Grenzwert überschreitet. Ist dies der Fall (4050), wird entschieden, dass das Aktorsteuerungssystem 40 nicht robust ist, andernfalls (4060) wird entschieden, dass das Aktorsteuerungssystem 40 robust ist. Damit endet dieses Verfahren. Das Verfahren kann als Computerprogramm implementiert sein, auf dem Speichermedium des Aktorsteuerungssystems 40 gespeichert sein oder von diesem ausgeführt werden. Das Computerprogramm kann auch auf einem generischen Computer, der an das Aktorsteuerungssystem 40 ankoppelbar ist, gespeichert und von diesem ausführbar sein.
  • 7 zeigt in einem Flussdiagramm ein Ausführungsbeispiel des Verfahrens zum Betreiben des Aktorsteuerungssystems. In einem ersten Schritt 5000 wird mit dem in 6 illustrierten Verfahren ermittelt, ob das Aktorsteuerungssystem 40 robust ist, oder nicht. In Schritt 5010 wird dann überprüft, ob entschieden wurde, dass das Aktorsteuerungssystem 40 robust ist. Ist dies der Fall (5020), wird das Aktorsteuerungssystem 40 normal betrieben und der Aktor 10 normal angesteuert. Ist dies nicht der Fall (5030) wird überprüft, das Aktorsteuerungssystem 40 in einen abgesicherten Modus überführt, indem beispielsweise vorgesehen sein kann, dass ein Absolutbetrag des Ansteuersignals A auf Werte kleiner als eine Kritikalitätsgrenze begrenzt wird. Damit endet das Verfahren. Das Verfahren kann als Computerprogramm implementiert sein, auf dem Speichermedium des Aktorsteuerungssystems 40 gespeichert sein oder von diesem ausgeführt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102005050577 A1 [0002]

Claims (18)

  1. Verfahren zum Erzeugen einer universellen Datensignalstörung (Ξ) zum Generieren eines manipulierten Datensignals (xadv) zum Täuschen eines ersten maschinellen Lernsystems (60), welches eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln, mit den Schritten: a) Ermitteln eines Trainings-Datensatzes (Dtrain) umfassend Paare von Datensignalen (x(k)) und zugehörigen gewünschten semantischen Segmentierungen (ytarget,k), b) Generieren der Datensignalstörung (Ξ), abhängig von den Datensignalen (x(k)) des Trainings-Datensatzes (Dtrain), der zugehörigen gewünschten semantischen Segmentierung (ytarget,k) sowie geschätzten semantischen Segmentierungen (fe) der mit der Datensignalstörung (Ξ) beaufschlagten Datensignale (x(k)).
  2. Verfahren nach Anspruch 1, wobei das Generieren der Datensignalstörung (Ξ) derart erfolgt, dass die Datensignalstörung (Ξ) periodisch ist.
  3. Verfahren nach einem der vorherigen Ansprüche, wobei die gewünschten semantischen Segmentierungen (ytarget,k) abhängig von einer geschätzten semantischen Segmentierung (ypred,k) des zugehörigen Datensignals (x(k)) gewählt werden.
  4. Verfahren nach Anspruch 3, wobei die gewünschten semantischen Werte (ytarget,k ij) abhängig davon gewählt werden, ob die geschätzten semantischen Werte (ypred ij) einen vorgebbaren Wert (o) annehmen.
  5. Verfahren nach Anspruch 4, wobei die gewünschten semantischen Werte (ytarget,k ij) an einer Stelle (i,j), an der die geschätzten semantischen Werte (yP-red ij) den vorgebbaren Wert (o) annehmen, durch einen Ersatzwert ersetzt werden.
  6. Verfahren nach Anspruch 5, wobei der Ersatzwert der geschätzte semantische Wert (ypred i'j') einer Ersatzstelle (i',j') ist, die in der Nähe der Stelle (i,j).
  7. Verfahren nach einem der Ansprüche 3 bis 6, wobei die gewünschten semantischen Werte (ytarget,k ij) gleich den geschätzten semantischen Werten (ypred ij) gewählt werden, wenn die geschätzten semantischen Werte (ypred ij) den vorgebbaren Wert (o) nicht annehmen.
  8. Verfahren nach einem der vorherigen Ansprüche, wobei das Generieren der Datensignalstörung (Ξ) abhängig von einem Funktionswert einer gewichteten Kostenfunktion (Jss ω) des ersten maschinellen Lernsystems (60) geschieht, den diese Kostenfunktion (Jss ω) unter mit dieser Datensignalstörung (Ξ) beaufschlagten Datensignalen (x(k)) und für die gewünschten semantischen Werte (ytarget,k) annimmt.
  9. Verfahren nach Anspruch 8, wobei die Datensignalstörung (Ξ) aus einer Menge erlaubter Datensignalstörungen (Ξ) derart ausgewählt wird, dass sie die Kostenfunktion (Jss ω) unter mit dieser Datensignalstörung (Ξ) beaufschlagten Datensignalen (x(k)) für die gewünschten semantischen Werte (ytar-get,k,) numerisch minimiert.
  10. Verfahren nach Anspruch 8 oder 9 und Anspruch 4, wobei die Kostenfunktion (Jss ω) zwei Anteile umfasst, von denen einer den Anteil der Stellen (i,j) an der Kostenfunktion (Jss ω) charakterisiert, deren geschätzte semantische Werte (ypred ij) den vorgebbaren Wert (o) annehmen und der andere den Anteil der Stellen (i,j) an der Kostenfunktion (Jss ω) charakterisiert, deren geschätzte semantische Werte (ypred ij) den vorgebbaren Wert (o) nicht annehmen, wobei diese beiden Anteile vorgebbar gegeneinander gewichtet werden.
  11. Verfahren zum Generieren eines manipulierten Datensignals (xadv) zum Täuschen eines ersten maschinellen Lernsystems (60), welches eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln, wobei eine universelle Datensignalstörung (Ξ) mit dem Verfahren nach einem der Ansprüche 1 bis 10 erzeugt wird und das manipulierte Datensignal (xadv) abhängig vom Datensignal (x) und der genierten Datensignalstörung (Ξ) generiert wird.
  12. Verfahren zum Beurteilen einer Robustheit eines Aktorsteuerungssystems (40) zum Ansteuern eines Aktors (10), welches ein erstes maschinelles Lernsystem (60) umfasst, das eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln das einen Zustands eines Aktorsystem umfassend den Aktor (10) und eine Umgebung (20) des Aktors (10) charakterisiert, wobei das Aktorsteuerungssystem (40) eingerichtet ist, abhängig von der ermittelten semantischen Segmentierung (y_cls) ein Ansteuersignal (A) zu ermitteln und den Aktor (10) abhängig von dem ermittelten Ansteuersignal (A) anzusteuern, wobei ein manipuliertes Datensignal (xadv) abhängig vom Datensignalen (x) und der mit dem Verfahren nach einem der Ansprüche 1 bis 10 ermittelten Datensignalstörung (Ξ) erzeugt wird, und ein zweites Ansteuersignal (Aadv) abhängig von einer ermittelten zweiten semantischen Segmentierung (y_clsadv) ermittelt wird, welche mittels des ersten maschinellen Lernsystems (60) wenn das Datensignals (x) durch das manipulierte Datensignal (xadv) ausgetauscht wird, wobei abhängig von Ansteuersignal (A) und zweiten Ansteuersignal (Aadv) entschieden wird, ob das Aktorsteuerungssystem (40) robust ist, oder nicht.
  13. Verfahren zum Betreiben eines Aktorsteuerungssystems (40) zum Ansteuern eines Aktors (10), wobei mittels des Verfahrens nach Anspruch 12 beurteilt wird, ob das Aktorsteuerungssystem (40) robust ist, oder nicht, und das Aktorsteuerungssystem (40) abhängig von der Beurteilung den Aktor (10) ansteuert, wobei das Aktorsteuerungssystem (40) insbesondere in einen abgesicherten Modus überführt werden kann, wenn die Beurteilung ergibt, dass das Aktorsteuerungssystem (40) nicht robust ist.
  14. Verfahren zum Trainieren eines Aktorsteuerungssystems (40) welches insbesondere ein erstes maschinelle Lernsystems (60) umfasst, das eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln, wobei das Aktorsteuerungssystem (40) ferner eingerichtet ist, einen Ausgabewerts (y_det) eines zweiten maschinellen Lernsystems (70) zu ermitteln, mit den Schritten: a) Auswahl einer Untermenge von Datensignalen (x) aus einer Trainings-Menge für das zweite maschinelle Lernsystem (70), die Datensignale (x) umfasst, b) Entscheiden, ob die Datensignale (x) dieser Untermenge manipuliert werden sollen oder nicht, c) Sofern entschieden wurde, dass die Datensignale (x) manipuliert werden sollen, Ermitteln manipulierter Datensignale (xadv) abhängig von den jeweiligen Datensignalen (x) und abhängig von der mit dem Verfahren nach einem der Ansprüche 1 bis 10 ermittelten Datensignalstörung (Ξ) und Ersetzen der Datensignale (x) durch die jeweiligen ermittelten manipulierten Datensignale (xadv), d) Setzen eines gewünschten Ausgabewerts auf den Wert eines vorgebbaren ersten Zahlenwerts, wenn die Datensignale (x) nicht manipuliert werden bzw. auf einen zweiten, vom ersten Zahlenwert verschiedenen, vorgebbaren zweiten Zahlenwert, wenn die Datensignale (x) manipuliert werden, und e) Trainieren der Parameter des zweiten maschinellen Lernsystems (70) mit der (ggf. manipulierten) Untermenge von Datensignalen (x, xadv) und zugehörigen gewünschten Ausgabewerten.
  15. Computerprogramm, das eingerichtet ist, das Verfahren nach einem der Ansprüche 1 bis 14 auszuführen.
  16. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 15 gespeichert ist.
  17. Computer, der eingerichtet ist, das Verfahren nach einem der Ansprüche 1 bis 14 auszuführen.
  18. Aktorsteuerungssystem (40) welches ein erstes maschinelles Lernsystem (60) umfasst, das eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln und ein zweites maschinelles Lernsystem (70) umfasst, das mit einem Trainingsverfahren nach Anspruch 14 trainiert wurde.
DE102018200724.1A 2017-04-19 2018-01-17 Verfahren und Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples" Pending DE102018200724A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/948,722 US11055632B2 (en) 2017-04-19 2018-04-09 Method and device for improving the robustness against “adversarial examples”
CN201810348276.7A CN108734289A (zh) 2017-04-19 2018-04-18 用于改善相对于“对抗样本”的稳健性的方法和设备

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017206555.9 2017-04-19
DE102017206555 2017-04-19

Publications (1)

Publication Number Publication Date
DE102018200724A1 true DE102018200724A1 (de) 2018-10-25

Family

ID=63715028

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018200724.1A Pending DE102018200724A1 (de) 2017-04-19 2018-01-17 Verfahren und Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples"

Country Status (3)

Country Link
US (1) US11055632B2 (de)
CN (1) CN108734289A (de)
DE (1) DE102018200724A1 (de)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202018104373U1 (de) 2018-07-30 2018-08-30 Robert Bosch Gmbh Vorrichtung, die zum Betreiben eines maschinellen Lernsystems eingerichtet ist
EP3576021A1 (de) 2018-05-30 2019-12-04 Robert Bosch GmbH Verfahren, vorrichtung und computerprogramm zur erzeugung robuster automatisierter lernsysteme und zum testen von trainierten automatisierten lernsystemen
DE102018208763A1 (de) 2018-06-04 2019-12-05 Robert Bosch Gmbh Verfahren, Vorrichtung und Computerprogramm zum Betreiben eines maschinellen Lernsystems
DE102018220703A1 (de) 2018-11-30 2020-06-04 Robert Bosch Gmbh Sicherung neuronaler Klassifikationsnetzwerke gegen Manipulationsversuche
DE102018220711A1 (de) 2018-11-30 2020-06-04 Robert Bosch Gmbh Messung der Anfälligkeit von KI-Modulen gegen Täuschungsversuche
WO2020233992A1 (de) 2019-05-23 2020-11-26 Volkswagen Aktiengesellschaft Verfahren zum funktionsspezifischen robustifizieren eines neuronalen netzes
WO2020233961A1 (de) 2019-05-23 2020-11-26 Volkswagen Aktiengesellschaft Verfahren zum beurteilen einer funktionsspezifischen robustheit eines neuronalen netzes
EP3896612A1 (de) 2020-04-14 2021-10-20 Robert Bosch GmbH Vorrichtung und verfahren zum trainieren eines klassifikators
EP3896613A1 (de) 2020-04-14 2021-10-20 Robert Bosch GmbH Vorrichtung und verfahren zum trainieren eines klassifikators und beurteilen der robustheit eines klassifikators
DE102021200215A1 (de) 2021-01-12 2022-07-14 Zf Friedrichshafen Ag Ermitteln einer Konfidenz eines künstlichen neuronalen Netzwerks

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10678244B2 (en) 2017-03-23 2020-06-09 Tesla, Inc. Data synthesis for autonomous control systems
US11893393B2 (en) 2017-07-24 2024-02-06 Tesla, Inc. Computational array microprocessor system with hardware arbiter managing memory requests
US11157441B2 (en) 2017-07-24 2021-10-26 Tesla, Inc. Computational array microprocessor system using non-consecutive data formatting
US10671349B2 (en) 2017-07-24 2020-06-02 Tesla, Inc. Accelerated mathematical engine
US11409692B2 (en) 2017-07-24 2022-08-09 Tesla, Inc. Vector computational unit
US11561791B2 (en) 2018-02-01 2023-01-24 Tesla, Inc. Vector computational unit receiving data elements in parallel from a last row of a computational array
US11215999B2 (en) 2018-06-20 2022-01-04 Tesla, Inc. Data pipeline and deep learning system for autonomous driving
US11361457B2 (en) 2018-07-20 2022-06-14 Tesla, Inc. Annotation cross-labeling for autonomous control systems
US11636333B2 (en) 2018-07-26 2023-04-25 Tesla, Inc. Optimizing neural network structures for embedded systems
US11562231B2 (en) 2018-09-03 2023-01-24 Tesla, Inc. Neural networks for embedded devices
SG11202103493QA (en) 2018-10-11 2021-05-28 Tesla Inc Systems and methods for training machine models with augmented data
US11196678B2 (en) 2018-10-25 2021-12-07 Tesla, Inc. QOS manager for system on a chip communications
US11816585B2 (en) 2018-12-03 2023-11-14 Tesla, Inc. Machine learning models operating at different frequencies for autonomous vehicles
US11537811B2 (en) 2018-12-04 2022-12-27 Tesla, Inc. Enhanced object detection for autonomous vehicles based on field view
US11610117B2 (en) 2018-12-27 2023-03-21 Tesla, Inc. System and method for adapting a neural network model on a hardware platform
US11836256B2 (en) * 2019-01-24 2023-12-05 International Business Machines Corporation Testing adversarial robustness of systems with limited access
US10997461B2 (en) 2019-02-01 2021-05-04 Tesla, Inc. Generating ground truth for machine learning from time series elements
US11150664B2 (en) 2019-02-01 2021-10-19 Tesla, Inc. Predicting three-dimensional features for autonomous driving
US11567514B2 (en) 2019-02-11 2023-01-31 Tesla, Inc. Autonomous and user controlled vehicle summon to a target
US10956755B2 (en) 2019-02-19 2021-03-23 Tesla, Inc. Estimating object properties using visual image data
US11657162B2 (en) * 2019-03-22 2023-05-23 Intel Corporation Adversarial training of neural networks using information about activation path differentials
CN110046622B (zh) * 2019-04-04 2021-09-03 广州大学 一种有目标的攻击样本生成方法、装置、设备及存储介质
CN110070115B (zh) * 2019-04-04 2021-09-03 广州大学 一种单像素攻击样本生成方法、装置、设备及存储介质
US11636380B2 (en) * 2019-04-09 2023-04-25 Nxp B.V. Method for protecting a machine learning model against extraction using an ensemble of a plurality of machine learning models
JP7231018B2 (ja) * 2019-05-10 2023-03-01 日本電気株式会社 耐性設定装置、耐性設定方法、耐性設定プログラム、耐性評価装置、耐性評価方法、耐性評価プログラム、演算装置、およびプログラム
US11727265B2 (en) * 2019-06-27 2023-08-15 Intel Corporation Methods and apparatus to provide machine programmed creative support to a user
US11611588B2 (en) * 2020-07-10 2023-03-21 Kyndryl, Inc. Deep learning network intrusion detection
US20220191003A1 (en) * 2021-12-10 2022-06-16 Tamas Mihaly Varhegyi Complete Tree Structure Encryption Software

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005050577A1 (de) 2005-10-21 2007-05-03 Robert Bosch Gmbh Verfahren zum automatischen Überprüfen eines neuronalen Netzes für eine Steuerungsvorrichtung

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7472096B2 (en) * 2005-07-18 2008-12-30 Microsoft Corporation Training a learning system with arbitrary cost functions
US20170011307A1 (en) * 2015-07-07 2017-01-12 California Institute Of Technology Alternative training distribution based on density modification
US9536191B1 (en) * 2015-11-25 2017-01-03 Osaro, Inc. Reinforcement learning using confidence scores

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005050577A1 (de) 2005-10-21 2007-05-03 Robert Bosch Gmbh Verfahren zum automatischen Überprüfen eines neuronalen Netzes für eine Steuerungsvorrichtung

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
Baluja, Shumeet; Fischer, Ian: Adversarial Transformation Networks: Learning to Generate Adversarial. In: Computing Research Repository (CoRR), 28.03.2017, S. 1-13. https://arxiv.org/abs/1703.09387v1 [abgerufen am 12.03.2018] *
Fischer, Volker [u.a.]: Adversarial Examples for Semantic Image Segmentation. In: Computing Research Repository (CoRR), 03.03.2017, S. 1-4. https://arxiv.org/abs/1703.01101v1 [abgerufen am 12.03.2018] *
Gavves, Efstratios [u.a.]: Lecture 9: Unsipervised, Generative & Adversarial Networks, UVA Deep Learning Course, University of Amsterdam, 14.12.2016. URL: https://github.com/uvadlc/uvadlc.github.io/blob/master/lectures/lecture9.pdf [abgerufen am 12.03.2018] *
Kurakin, Alexey; Goodfellow, Ian; Bengio, Samy: Adversarial examples in the physical world. In: Computing Research Repository (CoRR), 11.02.2017, S. 1-14. https://arxiv.org/abs/1607.02533v4 [abgerufen am 12.03.2018] *
Li, Fei-Fei; Karpathy, Andrej; Johnson, Justin: Lecture 9: Understanding and Visualizing Convolutional Neural Networks, CS231n: Convolutional Neural Networks for Visual Recognition, Stanford University, 03.02.2016. URL: http://cs231n.stanford.edu/slides/2016/winter1516_lecture9.pdf [abgerufen am 12.03.2018] *
Lu, J. [u.a.]: NO Need to Worry about Adversarial Examples in Object Detection in Autonomous Vehicles. In: Computing Research Repository (CoRR), 12.07.2017, S. 1-9. https://arxiv.org/abs/1707.03501v1 [abgerufen am 12.03.2018] *
Moosavi-Dezfooli, Seyed-Mohsen [u.a.]: Universal adversarial perturbations. In: Computing Research Repository (CoRR), 09.03.2017, S. 1-11. https://arxiv.org/abs/1610.08401v3 [abgerufen am 12.03.2018] *
Xie, Cihang [u.a.]: Adversarial Examples for Semantic Segmentation and Object Detection. In: Computing Research Repository (CoRR), 01.04.2017, S. 1-12. https://arxiv.org/abs/1703.08603v2 [abgerufen am 12.03.2018] *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3576021A1 (de) 2018-05-30 2019-12-04 Robert Bosch GmbH Verfahren, vorrichtung und computerprogramm zur erzeugung robuster automatisierter lernsysteme und zum testen von trainierten automatisierten lernsystemen
DE102018218586A1 (de) 2018-05-30 2020-01-09 Carnegie Mellon University Verfahren, Vorrichtung und Computerprogramm zum Erzeugen robuster automatisch lernender Systeme und Testen trainierter automatisch lernender Systeme
DE102018208763A1 (de) 2018-06-04 2019-12-05 Robert Bosch Gmbh Verfahren, Vorrichtung und Computerprogramm zum Betreiben eines maschinellen Lernsystems
DE202018104373U1 (de) 2018-07-30 2018-08-30 Robert Bosch Gmbh Vorrichtung, die zum Betreiben eines maschinellen Lernsystems eingerichtet ist
US11715020B2 (en) 2018-07-30 2023-08-01 Robert Bosch Gmbh Device, configured to operate a machine learning system based on predefinable rollout
US11500998B2 (en) 2018-11-30 2022-11-15 Robert Bosch Gmbh Measuring the vulnerability of AI modules to spoofing attempts
DE102018220703A1 (de) 2018-11-30 2020-06-04 Robert Bosch Gmbh Sicherung neuronaler Klassifikationsnetzwerke gegen Manipulationsversuche
DE102018220711A1 (de) 2018-11-30 2020-06-04 Robert Bosch Gmbh Messung der Anfälligkeit von KI-Modulen gegen Täuschungsversuche
WO2020233992A1 (de) 2019-05-23 2020-11-26 Volkswagen Aktiengesellschaft Verfahren zum funktionsspezifischen robustifizieren eines neuronalen netzes
WO2020233961A1 (de) 2019-05-23 2020-11-26 Volkswagen Aktiengesellschaft Verfahren zum beurteilen einer funktionsspezifischen robustheit eines neuronalen netzes
EP3896613A1 (de) 2020-04-14 2021-10-20 Robert Bosch GmbH Vorrichtung und verfahren zum trainieren eines klassifikators und beurteilen der robustheit eines klassifikators
EP3896612A1 (de) 2020-04-14 2021-10-20 Robert Bosch GmbH Vorrichtung und verfahren zum trainieren eines klassifikators
DE102021200215A1 (de) 2021-01-12 2022-07-14 Zf Friedrichshafen Ag Ermitteln einer Konfidenz eines künstlichen neuronalen Netzwerks

Also Published As

Publication number Publication date
US11055632B2 (en) 2021-07-06
US20180308012A1 (en) 2018-10-25
CN108734289A (zh) 2018-11-02

Similar Documents

Publication Publication Date Title
DE102018200724A1 (de) Verfahren und Vorrichtung zum Verbessern der Robustheit gegen &#34;Adversarial Examples&#34;
DE202017102381U1 (de) Vorrichtung zum Verbessern der Robustheit gegen &#34;Adversarial Examples&#34;
DE202017102235U1 (de) Trainingssystem
DE202017102238U1 (de) Aktorsteuerungssystem
DE112016007498T5 (de) Untersuchungseinrichtung und untersuchungsverfahren
DE102017219282A1 (de) Verfahren und Vorrichtung zum automatischen Erzeugen eines künstlichen neuronalen Netzes
DE112020003343T5 (de) System und verfahren mit einem robusten tiefen generativen modell
DE102021207613A1 (de) Verfahren zur Qualitätssicherung eines Systems
DE102018129871A1 (de) Trainieren eins tiefen konvolutionellen neuronalen Netzwerks zum Verarbeiten von Sensordaten zur Anwendung in einem Fahrunterstützungssystem
DE102022201679A1 (de) Verfahren und Vorrichtung zum Trainieren eines neuronalen Netzes
DE102021204040A1 (de) Verfahren, Vorrichtung und Computerprogramm zur Erstellung von Trainingsdaten im Fahrzeug
EP3701428B1 (de) Verfahren und vorrichtung zum verbessern der robustheit eines maschinellen lernsystems
EP3973455A1 (de) Verfahren zum beurteilen einer funktionsspezifischen robustheit eines neuronalen netzes
DE102019207911A1 (de) Verfahren, Vorrichtung und Computerprogramm zur Vorhersage einer Lernkurve
DE202019103046U1 (de) Vorrichtung zur Vorhersage einer Lernkurve
DE102019207573A1 (de) Verfahren zum funktionsspezifischen Robustifizieren eines Neuronalen Netzes
DE102020205964B3 (de) Vorrichtung und Verfahren zum Betreiben eines Prüfstands
DE102018203137A1 (de) Verfahren, Vorrichtung und Computerprogramm zum Betreiben eines zumindest teilautonomen Fahrzeugs
DE102022213064A1 (de) Erkennung unbekannter Objekte durch neuronale Netze für Fahrzeuge
WO2022069182A1 (de) Verfahren zur qualitätssicherung eines beispielbasierten systems
DE102022204263A1 (de) Verfahren und Vorrichtung zum Trainieren eines neuronalen Netzes
DE102021214552A1 (de) Verfahren zum Evaluieren eines trainierten tiefen neuronalen Netz
DE102016200854A1 (de) Verfahren und Recheneinheit zur Dimensionierung eines Klassifikators
DE202023102037U1 (de) Vorrichtung zum Optimieren eines Hyperparameterraumes mit mindestens zwei Hyperparametern eines Algorithmus des maschinellen Lernens
DE102022208480A1 (de) Verfahren zum Evaluieren eines trainierten tiefen neuronalen Netzes

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication