[发明专利]保护神经网络模型的方法

说明书

公开了一种用于保护神经网络的模型的计算机实现方法、数据处理系统以及用于验证神经网络的模型的计算机实现方法，其用于通过将模型的分区分割为预配置存储器大小的分段，散列分割的模型，以及级联散列段来保护神经网络模型。在神经网络使用模型之前，级联散列段还可以被散列、加密以及与神经网络模型一起作为可执行可加载文件(ELF)存储在神经网络的外部的存储器中。模型可以包括推理层的模型权重和元数据。模型权重和元数据可以散列为单独的散列段并级联。在神经网络运行前，将模型分割成预配置存储器大小的分段，并离线散列分段的模型，能够在神经网络在线运行期间，当模型用于推理层的时候，快速验证模型。以上方法和系统可适用于自动驾驶领域。

技术领域

本公开的实施方式总体上涉及机器学习。更具体地，本公开的实施方式涉及保护人工智能应用中机器学习引擎或神经网络使用的软件模型。

背景技术

神经网络应用于诸如计算机视觉、自然语言处理、机器人和自动驾驶车辆(ADV)的领域。例如，神经网络能够以自动驾驶模式运行车辆(例如，无人驾驶车辆)，以将乘员，尤其是驾驶员，从一些驾驶相关的职责中解放出来。当以自动驾驶模式运行时，车辆可以使用车载传感器导航到各种位置，从而允许车辆在最少人机交互的情况下或在没有任何乘客的一些情况下行驶。神经网络能够通过处理车载传感器捕捉到的车辆周围环境的视频和电磁图像，生成规划和控制车辆运动的命令。例如，神经网络能够生成或训练规则集、算法和/或预测模型，以用于在自动驾驶模式下的感知、预测、决策、规划和/或控制过程。

运动规划和控制运行的准确性和效率在很大程度上取决于神经网络使用的模型。模型的完整性对于神经网络的正常运行以及车辆内部和外部的人员的安全都是非常重要的。在通过诸如公钥基础设施(PKI)的加密技术使用模型之前，神经网络可对模型执行验证和完整性检查，以防止黑客攻击、篡改或攻击。由于神经网络模型的尺寸较大，通常将其存储在神经网络外部的存储器中，并在运行过程中复制到神经网络内部较小的存储器中。

然而，当神经网络运行时，由于模型的尺寸较大，因此很难执行全图像验证。在运行开始之前执行预加载验证也是不可行的。尽管神经网络中的存储器可通过限制仅从密码模块进行访问来硬件保护其免受未经授权的访问，然而外部存储器却没有相同的硬件保护并且可能不安全。

发明内容

本申请的一方面提供了一种用于保护神经网络的模型的计算机实现的方法，所述方法包括：连续读取所述神经网络的模型的多个存储器分区；确定所述模型的多个存储器分区中的存储器分区的大小是否大于预配置存储器大小；响应于确定所述存储器分区的大小大于所述预配置存储器大小，将所述模型的存储器分区分割为多个分段，每个分段的大小为所述预配置存储器大小；响应于确定所述存储器分区的大小小于所述预配置存储器大小，将所述存储器分区与所述模型的多个存储器分区中的一个或多个其他的存储器分区进行组合，以使组合的分区适合于所述预配置存储器大小；散列所述多个分段中的每个分段以及所述组合的分区以生成多个散列段；以及将所述多个散列段级联为所述神经网络的模型的级联散列段。

本申请的另一方面提供了一种数据处理系统，包括：处理器；与所述处理器联接以存储指令的存储器，当所述处理器执行所述指令时，使得所述处理器执行操作，所述操作包括：连续读取所述神经网络的模型的多个存储器分区；确定所述模型的多个存储器分区中的存储器分区的大小是否大于预配置存储器大小；响应于确定所述存储器分区的大小大于所述预配置存储器大小，将所述模型的存储器分区分割为多个分段，每个分段的大小为所述预配置存储器大小；响应于确定所述存储器分区的大小小于所述预配置存储器大小，将所述存储器分区与所述模型的多个存储器分区中的一个或多个其他的存储器分区进行组合，以使组合的分区适合于所述预配置存储器大小；散列所述多个分段中的每个分段以及所述组合的分区以生成多个散列段；以及将所述多个散列段级联为所述神经网络的模型的级联散列段。