[发明专利]训练分类器的装置和方法

说明书

用于训练分类器的计算机实现的方法，该分类器用于对提供给分类器的输入信号进行分类，其中，分类器被配置成获得表征输入信号的分类的输出信号。

技术领域

本发明涉及用于训练分类器的方法、用于分类的方法、用于操作致动器的方法、计算机程序、机器可读存储介质、控制系统和训练系统。

背景技术

DE 10 2018 200 724 A1公开了一种用于生成通用对抗性扰动的方法。

分类器可以在各种技术装置中采用。然而，它们可能倾向于将被称为对抗性示例的经恶意更改的输入进行错误分类。

DE 10 2018 200 724 A1公开了一种用于生成通用对抗性扰动的方法。在这里，获得扰动，该扰动可以应用于针对分类器的几乎任意输入信号，并且愚弄分类器，使其将以其他方式正确分类的输入信号进行错误分类。

因此，在采用分类器时，尤其是在安全关键产品中使用分类器时，扰动会带来特殊的风险。例如，可以在自主车辆中使用分类器来检测行人，以避免与行人发生碰撞。在这里，通用对抗性示例可能会潜在地被用来将行人从分类器中恶意地隐藏起来，使行人面临被自主车辆撞伤的危险。

因此，保护分类器以抵抗这些干扰具有重要意义。

具有根据权利要求1的特征的方法能够训练分类器，以使其变得更鲁棒地抵抗扰动，其也被称为通用对抗性示例。

发明内容

在第一方面，本发明涉及一种用于训练分类器的计算机实现的方法，该分类器用于对提供给该分类器的输入信号进行分类，其中，该分类器被配置成获得表征该输入信号的分类的输出信号，其中，该训练方法包括以下步骤：

a. 提供扰动集合；

b. 提供第一训练样本的子集，每个样本包括来自训练样本的第一数据集的输入信号和对应的期望输出信号；

c. 从扰动集合中选择第一扰动，以用于来自子集的输入信号和对应的期望输出信号；

d. 通过基于输入信号、对应的期望输出信号和分类器适配第一扰动，获得比第一扰动强的第二扰动；

e. 通过向输入信号应用第二扰动，获得第一对抗性示例；

f. 通过基于第一对抗性示例训练分类器来适配分类器，以加强分类器以抵抗第二扰动；

g. 由第一扰动和第二扰动的线性组合替换扰动集合中的第一扰动；

h. 重复步骤b到g。

术语“分类器”可以理解为意味着接受输入信号、并且提供表征输入信号的分类的输出信号的装置。为此，分类器可以通过将输入信号馈送到机器学习模型、尤其是神经网络来获得输出信号。此外，分类器可以在将输入信号馈送到分类器中之前对输入信号进行适配，例如，从输入信号中提取特征。附加地，分类器还可以对机器学习模型的输出信号进行后处理。

分类器可以接受各种模态的输入信号，尤其是诸如例如视频图像、RADAR图像、LIDAR图像和/或超声图像以及热像仪图像之类的图像。对于图像，分类器可以优选地包括卷积神经网络。

替代地，分类器可以接受音频数据作为输入，例如，以量化信号或诸如MFCC之类的音频信号的特征表示的形式。对于音频数据，分类器可以优选地包括：变换器网络或递归神经网络，例如LSTM。

替代地，输入信号也可以包括数据，该数据是多个传感器信号和/或不同模态的传感器信号的组合。当在输入信号中同时提供图像和音频数据时，分类器可以优选地包括用于处理输入信号的相应部分的不同种类的神经网络，例如，一个或多个卷积神经网络和一个或多个变换器网络的组合。

以输出信号为特征的分类可以将一个或多个类别标签分配给输入信号。替代地或附加地，可以设想，输出信号以物体检测的形式来表征分类，尤其是当使用图像数据作为输入信号时。替代地或附加地，可以设想到输出信号表征了输入信号的语义分段。