(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114270349A(43)申请公布日2022.04.01(21)申请号202080058926.X(74)专利代理机构北京市金杜律师事务所(22)申请日2020.08.1811256代理人酆迅(30)优先权数据16/566,8622019.09.10US(51)Int.Cl.G06F21/55(2013.01)(85)PCT国际申请进入国家阶段日G06N3/08(2006.01)2022.02.21G06N20/00(2019.01)(86)PCT国际申请的申请数据PCT/EP2020/0731322020.08.18(87)PCT国际申请的公布数据WO2021/047866EN2021.03.18(71)申请人国际商业机器公司地址美国纽约阿芒克(72)发明人N·M·谭M·辛M-I·尼古拉M·威斯托巴A·雷瓦特B·比塞尔权利要求书2页说明书11页附图8页(54)发明名称用于加固机器学习模型的学习输入预处理(57)摘要提供了用于由一个或多个处理器在计算系统中保护机器学习模型的各种实施例。通过应用来自一个或多个机器学习模型的选定预处理操作的多个组合中的一个或更多个组合、用于加固所述一个或多个机器学习模型的数据集、一列预处理器以及选定数目的学习器，提供了针对对抗攻击而被保护的一个或多个加固的机器学习模型。CN114270349ACN114270349A权利要求书1/2页1.一种用于由一个或多个处理器在计算环境中保护机器学习模型的方法，包括：通过应用来自一个或多个机器学习模型的选定预处理操作的多个组合中的一个或更多个组合、用于加固所述一个或多个机器学习模型的数据集、一列预处理器以及选定数目的学习器，来提供针对对抗攻击而被保护的一个或多个加固的机器学习模型。2.根据权利要求1所述的方法，还包括接收所述一个或多个机器学习模型、用于加固所述一个或多个机器学习模型的所述数据集、所述一列预处理器和所述选定数目的学习器。3.根据权利要求1所述的方法，还包括学习选定预处理操作的所述多个组合中的每个组合的对抗鲁棒性的程度。4.根据权利要求1所述的方法，还包括：从所述数据集接收一个或多个数据实例；以及通过由选定预处理操作的所述多个组合中的一个或更多个组合应用一个或多个变换操作来变换所述一个或多个数据实例。5.根据权利要求1所述的方法，还包括在传入数据被所述一个或多个机器学习模型消耗之前，使用选定预处理操作的所述多个组合中的一个或更多个组合对所述传入数据进行预处理。6.根据权利要求1所述的方法，还包括确定针对所述一个或多个加固的机器学习模型的安全性得分，所述安全性得分指示针对所述对抗攻击的安全性级别。7.根据权利要求1所述的方法，还包括：学习针对所述选定数目的学习器中的每个学习器的一个或多个参数；以及学习加固所述一个或多个机器学习模型的选定预处理操作的所述多个组合中的每个组合。8.一种用于在计算环境中保护机器学习模型的系统，包括：具有可执行指令的一个或多个计算机，所述可执行指令在被执行时使所述系统：通过应用来自一个或多个机器学习模型的选定预处理操作的多个组合中的一个或更多个组合、用于加固所述一个或多个机器学习模型的数据集、一列预处理器以及选定数目的学习器，来提供针对对抗攻击而被保护的一个或多个加固的机器学习模型。9.根据权利要求8所述的系统，其中，所述可执行指令还接收所述一个或多个机器学习模型、用于加固所述一个或多个机器学习模型的所述数据集、所述一列预处理器和所述选定数目的学习器。10.根据权利要求8所述的系统，其中所述可执行指令还学习选定预处理操作的所述多个组合中的每个组合的对抗鲁棒性的程度。11.根据权利要求8所述的系统，其中所述可执行指令还：从所述数据集接收一个或多个数据实例；以及通过由选定预处理操作的所述多个组合中的一个或更多个组合应用一个或多个变换操作来变换所述一个或多个数据实例。12.根据权利要求8所述的系统，其中所述可执行指令还：在传入数据被所述一个或多个机器学习模型消耗之前，使用选定预处理操作的所述多个组合中的一个或更多个组合对所述传入数据进行预处理。13.根据权利要求8所述的系统，其中所述可执行指令还确定针对所述一个或多个加固2CN114270349A权利要求书2/2页的机器学习模型的安全性得分，所述安全性得分指示针对所述对抗攻击的安全性级别。14.根据权利要求8所述的系统，其中所述可执行指令还：学习针对所述选定数目的学习器中的每个学习器的一个或多个参数；以及学习加固所述一个或多个机器学习模型的选定预处理操作的所述多个组合中的每个组合。15.一种用于由处理器在计算环境中保护机器学习模型的计算机程序产品，所述计算机程序产品包括具有存储在其中的计算机可读程序代码