[发明专利]使用降低精度的深度神经网络的对抗性输入识别

权利要求书

1.一种用于对抗性输入识别的方法，包括：

由处理器接收输入数据，其中所述输入数据包括图像数据；

将所述输入数据提供给包括第一神经网络模型的第一神经网络，所述第一神经网络模型具有第一数值精度水平，其中第一数值精度水平是用户已知的；

使用第一神经网络从所述输入数据生成与所述图像数据对应的第一特征向量；

将所述输入数据提供给包括第二神经网络模型的第二神经网络，第二神经网络模型具有与第一数值精度水平不同的第二数值精度水平，其中第二数值精度水平是加密的并且对于用户是隐藏的；

与生成第一特征向量并行地使用第二神经网络从所述输入数据生成与所述图像数据对应的第二特征向量；以及

计算第一特征向量和第二特征向量之间的差异度量，所述差异度量指示所述图像数据是否包括对抗性数据。

2.如权利要求1所述的方法，还包括：

将所述差异度量与预定阈值进行比较。

3.如权利要求2所述的方法，还包括：

确定所述差异度量超过所述预定阈值；以及

响应于确定所述差异度量超过所述预定阈值，确定所述图像数据包括对抗性数据。

4.如权利要求3所述的方法，还包括：

丢弃所述输入数据。

5.如权利要求2所述的方法，还包括：

确定所述差异度量未超过所述预定阈值；以及

响应于确定所述差异度量未超过所述预定阈值，确定所述图像数据的分类。

6.如权利要求1所述的方法，其中第一数值精度水平大于第二数值精度水平。

7.如权利要求1所述的方法，其中第一数值精度水平是全数值精度水平。

8.如权利要求1所述的方法，其中第一神经网络模型是已发布的神经网络模型。

9.如权利要求1所述的方法，其中第二神经网络模型是降低精度的神经网络模型。

10.如权利要求1所述的方法，其中第二神经网络模型是加密的神经网络模型。

11.如权利要求1所述的方法，其中第二神经网络模型的一个或多个层包括不同的数值精度水平。

12.如权利要求1所述的方法，其中第一神经网络或第二神经网络中的一个或多个包括深度神经网络DNN。

13.一个或多个计算机可读存储介质，所述一个或多个计算机可读存储介质上存储有程序指令，所存储的程序指令包括用于由一个或多个处理器执行根据权利要求1至12中任一项所述的方法的步骤的计算机程序代码。

14.如权利要求13所述的计算机可读存储介质，其中所述计算机程序代码被存储在数据处理系统中的计算机可读存储介质中，并且其中所述计算机程序代码是通过网络从远程数据处理系统传送的。

15.如权利要求13所述的计算机可读存储介质，其中所述计算机程序代码被存储在服务器数据处理系统中的计算机可读存储介质中，并且其中所述计算机程序代码通过网络下载到远程数据处理系统以供在与远程数据处理系统相关联的计算机可读存储介质中使用。

16.一种计算机系统，包括一个或多个处理器、一个或多个计算机可读存储器和一个或多个计算机可读存储设备，以及存储在所述一个或多个存储设备中的至少一个存储设备上以供所述一个或多个处理器中的至少一个处理器经由所述一个或多个存储器中的至少一个存储器执行的程序指令，所存储的程序指令包括：

用于由处理器接收输入数据的程序指令，其中所述输入数据包括图像数据；

用于将所述输入数据提供给包括第一神经网络模型的第一神经网络的程序指令，第一神经网络模型具有第一数值精度水平，其中第一数值精度水平是用户已知的；

用于使用第一神经网络从所述输入数据生成与所述图像数据对应的第一特征向量的程序指令；

用于将所述输入数据提供给包括第二神经网络模型的第二神经网络的程序指令，第二神经网络模型具有与第一数值精度水平不同的第二数值精度水平，其中第二数值精度水平是加密的并且对于用户是隐藏的；

用于与生成第一特征向量并行地使用第二神经网络从所述输入数据生成与所述图像数据对应的第二特征向量的程序指令；以及

用于计算第一特征向量和第二特征向量之间的差异度量的程序指令，所述差异度量指示所述图像数据是否包括对抗性数据。