用于识别神经网络的输入数据中的对抗性干扰的方法

技术领域

本发明涉及一种用于识别神经网络的输入数据中的对抗性干扰的方法。此外，本发明还涉及后端服务器、探测设备、系统和运输工具。

背景技术

例如基于神经网络的机器学习具有针对在现代驾驶员辅助系统和自动化行驶的机动车辆中的应用的巨大潜力。基于深度神经网络的功能在此处理传感器数据（例如来自照相机、雷达传感器或激光雷达传感器的传感器数据），以便从中推导出相关信息。这些信息例如包括在所述机动车辆的环境中的对象的类型和位置、所述对象的行为或车行道几何形状或车行道拓扑。

在这些神经网络中，已证明特别是卷积网络（英语：Convolutional NeuralNetworks（卷积神经网络），CNN）特别适合于应用在图像处理中。卷积网络以不受监视的形式逐级地从输入数据（例如图像数据）中提取各种高质量特征。在此，所述卷积网络在训练阶段期间基于过滤器通道独立开发特征图，所述过滤器通道本地处理所述输入数据以由此推导出本地属性。然后，这些特征图将由其他过滤器通道重新进行处理，所述其他过滤器通道从中推导出更高质量的特征图。基于以这种方式由所述输入数据所压缩的信息，所述深度神经网络最终推导出其决策并提供该决策作为输出数据。

尽管卷积网络在功能准确性方面优于传统方案，但这些卷积网络也有缺点。因此，例如基于所述传感器数据/输入数据中的对抗性干扰的攻击可能导致：尽管所检测的传感器数据中的内容并未在语义上被更改，还是进行错误分类或错误的语义分割。

由I. Goodfellow等人的“Generative Adversarial Nets”, Advances inNeural Information Processing Systems 27 (NIPS 2014), 2672-2680页, CurranAssociates Inc., 2014已知Generative Adversarial Networks（生成式对抗网络）。由M.Mirza和S. Osindero的“Conditional Generative Adversarial Nets”（arXiv：1411.1784v1[cs.LG]，2014年11月6日）已知Conditional Generative AdversarialNetworks（条件生成式对抗网络）。

发明内容

本发明基于以下任务：创建一种用于识别特别是深度的神经网络的输入数据中的对抗性干扰的方法。此外，本发明还基于以下任务：创建一种用于执行该方法的所属的设备。

根据本发明，该任务是通过具有专利权利要求1的特征的方法、具有专利权利要求10的特征的方法、具有专利权利要求11的特征的后端服务器、具有专利权利要求12的特征的探测设备以及具有专利权利要求13的特征的系统来解决的。本发明的有利构型由从属权利要求得出。

特别地，提供了一种用于识别神经网络的输入数据中的对抗性干扰的方法，其中在训练阶段期间对条件生成式对抗网络进行训练或已进行了训练，其中在此情况下鉴于生成基于神经网络的输入数据来条件化（konditionieren）的对抗性干扰方面来训练或者已训练了条件生成式对抗网络的生成器网络，并且其中至少鉴于识别由生成器网络生成的输入数据中的对抗性干扰方面来训练或者已训练了条件生成式对抗网络的鉴别器网络，并且其中在应用阶段期间将经训练的鉴别器网络使用用于识别神经网络的输入数据中的对抗性干扰并提供识别结果。

此外，特别是创建了一种后端服务器，其包括计算设备和存储设备，其中所述计算设备被构造为：在训练阶段期间提供和训练条件生成式对抗网络，其中在此情况下鉴于生成基于神经网络的输入数据来条件化的对抗性干扰方面来训练条件生成式对抗网络的生成器网络；并且此外至少鉴于识别由生成器网络生成的输入数据中的对抗性干扰方面来训练条件生成式对抗网络的鉴别器网络；并且提供经训练的鉴别器网络。

此外，特别是创建了一种用于探测神经网络的输入数据中的对抗性干扰的探测设备，该探测设备包括计算设备和存储设备，其中所述计算设备被构造为：提供根据本发明的方法所训练的鉴别器网络并以此来识别所述神经网络的输入数据中的对抗性干扰并提供识别结果。

所述方法实现：识别出超出对抗性干扰的变型的大连续体（Kontinuum）的、在所述神经网络的输入数据中的对抗性干扰。所述识别借助于条件生成式对抗网络的经训练的鉴别器网络来进行。为了提供所述鉴别器网络，对所述条件生成式对抗网络进行训练。所述条件生成式对抗网络包括两个组成部分：生成器网络和鉴别器网络。（条件）生成式对抗网络背后的基本思想是，使得所述生成器网络和所述鉴别器网络在训练阶段期间相互对抗（gegeneinander antreten）。在所述训练阶段期间鉴于如下方面来对所述生成器网络进行训练：基于已知的对抗性干扰来生成用于所述神经网络的经对抗性干扰的输入数据。所述生成器网络基于特定的输入数据来被条件化，从而提供条件生成式对抗网络。在此情况下，所述条件化特别是映射了（abbilden）针对所述输入数据的类型而言已知的对抗性干扰，使得所述生成器网络可以在所述训练阶段之后在所生成的输入数据中再现这些对抗性干扰的模式（Muster）。特别地，由所述生成器网络生成的、经对抗性干扰的输入数据和未受干扰的输入数据均被输送给所述鉴别器网络。在所述训练阶段期间鉴于如下方面来对所述鉴别器网络进行训练：识别输送给所述鉴别器网络的输入数据是否受到对抗性干扰。还可以规定，附加地还应当识别所述输入数据是否具有由所述生成器网络所生成的对抗性干扰或者是否具有原始的对抗性干扰，也就是说特别是与在所述生成器网络的训练数据组中原始存在的对抗性干扰相对应。随着越来越多的训练和在所述生成器网络和所述鉴别器网络之间的“竞争（Wettstreit）”，既改善了所述生成器网络，也就是说所述生成器网络生成在所生成的输入数据中的越来越难以探测的对抗性干扰，也改善了所述鉴别器网络，也就是说所述鉴别器网络就如下方面变得越来越好：识别出由生成器网络所生成的输入数据中的对抗性干扰。理想情况下，在所述训练阶段之后达到平衡状态（Gleichgewichtszustand），在该平衡状态下所述鉴别器网络以50％的概率正确地对由所述生成器网络提供的经对抗性干扰的输入数据进行分类。然后在所述训练阶段之后的应用阶段中，仅还使用经训练的鉴别器网络。经训练的鉴别器网络在所述应用阶段中被用于识别特别是深度的神经网络的输入数据中的对抗性干扰并提供识别结果。为此，向经训练的鉴别器网络输送当前的输入数据，例如当前所检测的传感器数据。所述识别结果特别是包括关于所述输入数据是否受到对抗性干扰的论述或估计。

本发明具有如下优点：增大了可以在所述神经网络的输入数据中被识别的对抗性干扰的带宽。所生成的输入数据具有更大的变型丰富性（Variantenreichtum），因为不仅可以生成或映射（abbilden）已知的对抗性干扰的各个代表（Repräsentant），而且可以生成或映射由已知的对抗性干扰组成的宽泛连续体。结果，也根据该连续体来训练所述鉴别器网络，从而改善了对所述神经网络的输入数据中的对抗性干扰的识别。

所述方法的另一个优点是，由于可以在后端服务器上训练所述鉴别器网络并且随后可以在经训练的状态下借助于例如构造为嵌入式系统的探测设备来以较低的计算功率提供所述鉴别器网络，因此可以降低计算功率。

神经网络特别是深度神经网络，特别是卷积网络（英语：Convolutional NeuralNetworks（卷积神经网络），CNN）。神经网络特别是鉴于特定功能、例如鉴于对所检测的照相机图像中的行人或其他对象的觉察方面被训练或者是被训练的。特别地，本发明不取决于神经网络的具体构型。根据本发明，应当监视输入数据、特别是作为输入数据被输送给所述神经网络的至少一个传感器的传感器数据，并识别所述输入数据中包含的对抗性干扰。随后，由所述神经网络所生成或推断的输出数据被进一步处理，并且为此被输送给其他设备，例如控制设备或控制装置，特别是运输工具的控制设备或控制装置。所述其他设备也可以是探测设备的一部分，例如以包括所述探测设备和所述神经网络的处理设备的形式。在那里，可以将所述输出数据例如使用用于在运输工具以自动化或部分自动化的方式行驶时进行决策，特别是用于轨迹规划或机动动作规划和/或用于操控所述运输工具的执行机构。特别是规定，在所述进一步处理时也考虑例如以识别结果信号形式的所述识别结果。特别地，将例如以识别结果信号形式的所述识别结果输送给所述控制设备或控制装置，使得其可以在所述进一步处理时考虑所述识别结果。原则上，所述神经网络和所述方法还可以用在其他应用场景中，例如在工业生产中的过程监察和/或过程控制等中。

所述神经网络的输入数据可以是一维或多维的。所述输入数据特别是至少一个传感器的传感器数据。特别地，所述输入数据是至少一个传感器的当前所检测的在所述应用阶段期间所检测的传感器数据。例如，所述输入数据是二维数据，特别是借助于照相机检测的图像数据。

传感器特别是照相机、激光雷达传感器、超声波传感器、雷达传感器或其他的例如检测环境、特别是运输工具的环境的传感器。

运输工具特别是机动车辆、电动车辆或混合动力车辆。然而，原则上运输工具也可以是其他陆上运输工具、轨道车辆、航空器、航天器或水上运输工具。

对抗性干扰（英语：adversarial perturbation）特别是对神经网络的输入数据有针对性地进行的干扰，其中所述输入数据中的语义内容虽然没有被更改，但是这种干扰导致所述神经网络推断出错误的结果，也就是说，例如进行输入数据的错误分类或错误分割。

生成式对抗网络特别是一种用于生成或训练神经网络的方法，其中称为生成器网络和鉴别器网络的两个神经网络在训练阶段期间相互对抗并由此受到训练。

条件生成式对抗网络特别是生成式对抗网络，该生成式对抗网络鉴于如下方面被训练或者是被训练的：在所生成的数据中、也就是说根据本发明在所述神经网络的输入数据中再现在训练数据中可找到的模式。如果所述输入数据是图像数据，则所述条件生成式对抗网络可以给未受干扰的图像数据配备（在所述训练阶段期间被教会的）对抗性干扰。

可以规定，至少所述应用阶段分别针对当前提供并输送给所述鉴别器网络的输入数据来周期性地重复。由此使得能够不断地检查所述神经网络的输入数据。

所述后端服务器和/或所述探测设备的计算设备可以被构造为硬件和软件的组合，例如被构造为在微控制器或微处理器上执行的程序代码。

在一种实施方式中规定，所述神经网络提供用于运输工具的自动化行驶和/或用于所述运输工具的驾驶员辅助和/或用于环境检测和/或环境觉察的功能。例如，所述神经网络可以提供对象识别和/或对象分类和/或对象位置识别（例如，以“边界框”的形式）和/或语义分割。但是也可以规定，由所述神经网络生成的输出数据是用于所述运输工具的执行机构的控制数据。

在一种实施方式中规定，将至少一个传感器的在所述应用阶段期间所检测的传感器数据作为输入数据输送给所述神经网络，并且借助于所述神经网络从所述输入数据出发来生成并提供输出数据，其中在所述应用阶段期间检测所述至少一个传感器的传感器数据。这意味着，所述输入数据特别是至少一个传感器的所检测的传感器数据或包括这样的传感器数据。由此，所述方法可以用于当前所检测的传感器数据，以用于确保传感器数据以及因此确保处理链和决策链，例如在运输工具、特别是机动车辆的自动化行驶时进行传感器数据评估的情况下。然后，可以与通过所述神经网络进行的处理并行地鉴于对抗性干扰来检查所检测的传感器数据。由此可以提高处理过程中的可靠性和安全性。随后，由所述神经网络推断出的输出数据例如被使用用于决策，特别是在运输工具的自动化行驶的范畴内，并因此特别是形成用于决策、例如用于运输工具的执行机构的操控的基础或基础之一。

在一种实施方式中规定，根据所述识别结果更改输入数据的置信度值和/或更改提供所述输入数据的传感器的置信度值。所述输入数据的置信度值和/或所述传感器的置信度值特别是对所述输入数据或所述传感器的可信度的度量。例如，如果借助于所述神经网络评估由照相机所检测的照相机图像，以例如识别所检测的照相机图像中的对象、估计所述对象的位置（估计边界框）或进行语义分割，则在将所述照相机图像被输送给所述神经网络之前借助于所述鉴别器网络检查所述照相机图像。如果所述鉴别器网络识别出所述输入数据（照相机图像）受到对抗性干扰，则相应的识别结果被生成，并且所检测的照相机图像被标记为受到对抗性干扰。然后给所述输入数据（照相机图像）分配与未受干扰的输入数据（照相机图像）相比而言更低的置信度值。在随后进一步处理所述输入数据（照相机图像）时，由所述神经网络所推断出的结果、例如所识别出的对象同样可以与较低的置信度值相关联。这使得能够估计所述输入数据的可信度和由所述神经网络推断出的结果的可信度，并且使得能够在所述进一步处理中，例如在提供环境检测和/或自动行驶功能时考虑所述可信度。

在一种实施方式中规定，根据所提供的识别结果来评价由所述神经网络生成的输出数据，和/或根据所述识别结果和/或所述输入数据的经更改的置信度值和/或提供所述输入数据的传感器的经更改的置信度值来更改或适配所述神经网络的输出数据的置信度值，其中除了所述输出数据外还附加地提供所述置信度值。由此可以在随后的进一步处理时，例如在轨迹规划和/或在操控运输工具的执行机构时，考虑由所述神经网络推断出的输出数据的可信度或置信度。由此，例如与可信度更高的输出数据相比，可以较小强度地（weniger stark）考虑较不可信的输出数据。根据所述输出数据的评价和/或所述置信度值，可以在此情况下例如决定以何种强度来考虑所述输出数据或者是否完全丢弃所述输出数据。

在一种实施方式中规定，根据所述识别结果，更改借助于所述神经网络基于所述输入数据推断出的输出数据的在经平均的输出数据中和/或利用所述输出数据来工作的估计方法中的权重。由此可以更可靠地提供经平均的输出数据或估计方法。例如，如果提供对象跟踪功能作为估计功能并且例如证实了输送给所述神经网络的输入数据受到对抗性干扰，其中在所述对象跟踪功能情况下基于当前输入数据和对于对象位置和/或对象定向的先前估计值来估计当前对象位置和/或对象定向，则在以有利于先前的估计值的方式来估计所述对象位置和/或对象定向时，当前输入数据可获得较小的权重。在随后进一步处理所述输出数据时也可以考虑权重，例如在轨迹规划和/或机动动作规划时和/或在控制执行机构时考虑权重。

在一个实施方式中规定，在至少一个其他训练阶段期间基于至少一个其他对抗性干扰来训练所述条件生成式对抗网络。由此，可以一并考虑新的对抗性干扰或新的对抗性干扰类型或类别。然后重新训练所述条件生成式对抗网络。

在一种实施方式中规定，所述训练阶段在后端服务器上执行，其中所述应用阶段在与所述后端服务器分离的至少一个探测设备上执行。由此可以与所述训练阶段无关地应用所述鉴别器网络。相反，所述训练阶段可以在功率强大的后端服务器上中央地执行。

但是原则上也可以完全在（具有所属的存储设备的）唯一的计算设备上执行该方法。例如，这可以为了模拟和/或测试而进行。

在一种实施方式中规定，使用由经训练的生成器网络所生成的、经对抗性干扰的输入数据以用于测试至少一种针对对抗性干扰的防御策略和/或用于测试经适配的神经网络。由此可以提供一种标尺（英语：benchmark（基准）），能够基于所述标尺来测试和改善针对对抗性干扰的防御策略。在此情况下，防御策略可以例如包括用于训练所述神经网络或用于更改所述神经网络的结构的方法，从而使得所述神经网络变得相对于经对抗性干扰的输入数据更加鲁棒。特别是可以规定：提供经训练的生成器网络，使得所述经训练的生成器网络可以用于在不同位置处和/或不同应用场景中进行测试。该提供例如以数字的数据包的形式进行，所述数字的数据包明确地（eindeutig）描述经训练的生成器网络的结构、权重和参数。

此外，还提供了一种用于识别神经网络的输入数据中的对抗性干扰的方法，其中将经训练的鉴别器网络使用用于识别所述神经网络的输入数据中的对抗性干扰并提供识别结果，其中在训练阶段中借助于根据所描述的实施方式之一所述的方法已经训练了所述鉴别器网络。

特别地，还创建了一种系统，该系统包括：根据所描述的其中任一种实施方式所述的后端服务器和至少一个根据所描述的其中任一种实施方式所述的探测设备。所述后端服务器和所述至少一个探测设备特别是包括通信接口，经由所述通信接口可以将经训练的鉴别器网络从所述后端服务器传送到所述至少一个探测设备。

关于所述后端服务器和/或所述探测设备的构型的特征从所述方法的构型的描述中得出。所述后端服务器和/或所述探测设备的优点在此情况下分别与所述方法的构型中的优点相同。

此外，特别是还创建了一种运输工具，所述运输工具包括至少一个根据所描述的实施方式之一所述的探测设备。

特别地，还创建一种计算机程序，其包括指令，所述指令在由计算机执行所述计算机程序时促使所述计算机执行所公开方法的训练阶段和/或应用阶段的方法步骤。

此外，特别是还创建了传输这种计算机程序的数据载体信号。

附图说明

下面基于优选的实施例参照附图对本发明进一步阐述。在此：

图1示出了后端服务器和探测设备的实施方式的示意图；

图2示出了用于识别神经网络的输入数据中的对抗性干扰的方法的实施方式的示意性流程图。

具体实施方式

在图1中示出了后端服务器2和探测设备3的实施方式的示意图。例如，探测设备3被构造在运输工具50中，并且被用于在那里检查神经网络30（仅示意性地示出）的输入数据10，该神经网络30执行用于环境检测的觉察功能（例如，对象识别、估计对象的边界框和/或进行语义分割）。后端服务器2和探测设备3形成系统1。

后端服务器2包括计算设备4、存储设备5和通信接口6。计算设备4可以在存储设备5中执行计算操作。计算设备4被构造为在训练阶段期间提供和训练条件生成式对抗网络20，其中在此情况下，鉴于生成基于神经网络30的输入数据10来条件化的对抗性干扰方面来训练条件生成式对抗网络20的生成器网络21，并且此外至少鉴于识别由生成器网络21生成的输入数据中的对抗性干扰方面来训练条件生成式对抗网络20的鉴别器网络22。特别地，计算设备4执行对于执行所述训练阶段和提供生成式对抗网络20所需的计算操作。

为了训练生成器网络21，使用特别是借助于已知的对抗性干扰而经对抗性干扰的输入数据40，所述输入数据存储在存储设备5中。如果输入数据10是照相机图像，则可以使用已知软件工具箱、诸如IBM Adversarial Robustness Toolbox（IBM对抗性鲁棒工具箱）、CleverHans或FoolBox来用于生成在训练时使用的经对抗性干扰的输入数据40。利用这些工具箱，可以给未经干扰的照相机图像有针对性地配备对抗性干扰。

在所述训练阶段结束之后，由后端服务器2提供经训练的鉴别器网络22。这是经由后端服务器2的通信接口6进行的，该通信接口6将鉴别器网络22作为数字的数据包传送到探测设备3，该数字的数据包明确地描述了鉴别器网络22的结构、权重和其他参数。

探测设备3包括计算设备11、存储设备12和通信接口13。计算设备3被构造为经由通信接口13接收由后端服务器2传送的作为数字的数据包的经训练的鉴别器网络22，并且在应用阶段期间将经训练的鉴别器网络22使用用于识别神经网络30的输入数据10中的对抗性干扰并提供识别结果14。对此，输入数据10被输送给计算设备11。输入数据10是至少一个传感器的所检测的传感器数据，例如由运输工具50的照相机51检测的运输工具50的环境的照相机图像。为了进行探测，计算设备11执行用于提供和实施鉴别器网络22的所需要的计算操作。特别地，将输入数据10输送给鉴别器网络22的输入端。鉴别器网络22然后推断出识别结果14（例如，输入数据10受到对抗性干扰：“是”或“否”）。

例如将识别结果14作为识别结果信号15来提供并且特别是输出，例如以数字的数据包的形式。识别结果14特别是包括关于输入数据10、即所检测的传感器数据是否被干扰的信息。特别是规定，在应用阶段200期间将至少一个传感器、例如照相机51的所检测的传感器数据作为输入数据10输送给神经网络30，并且借助于神经网络30从输入数据10出发来生成并提供输出数据16。随后，所生成或推断出（inferieren）的输出数据16特别是在轨迹规划或机动动作规划的情况下被进一步使用和/或被进一步使用用于操控运输工具50的执行机构（Aktorik）。

因此，特别是规定，神经网络30提供用于运输工具的自动化行驶和/或用于运输工具的驾驶员辅助和/或用于环境检测和/或环境觉察的功能。对此的示例是在传感器数据中、特别是在所检测的照相机图像中的语义分割和/或对象识别。

探测设备3使得能够对神经网络30的输入数据10中的对抗性干扰进行经改进的探测。由此，可以鉴于可信度方面评价由神经网络30基于输入数据10推断出的输出数据16。

可以规定，根据识别结果14来更改输入数据10的置信度值和/或更改提供所述输入数据10的传感器、例如照相机51的置信度值。

还可以规定，根据所提供的识别结果14评价由神经网络30生成的输出数据16，和/或根据识别结果14和/或根据输入数据10的经更改的置信度值和/或根据提供所述输入数据10的传感器51的经更改的置信度值来更改或适配神经网络30的输出数据16的置信度值，其中除了输出数据16之外还附加地提供所述置信度值。在随后的进一步处理时，例如在轨迹规划或机动动作规划时和/或在操控执行机构时，可以考虑输出数据16的评价结果和/或置信度值。在此，根据输出数据16的评价和/或置信度值，可以决定：所述输出数据16以何种强度来被考虑或者是否完全被丢弃，也就是说，在随后的进一步处理时不予以考虑。

可以规定，根据识别结果14，更改借助于神经网络30基于输入数据20推断出的输出数据16的在经平均的输出数据中和/或利用输出数据16来工作的估计方法中的权重。

可以规定，在至少一个其他训练阶段期间基于至少一个其他对抗性干扰来对条件生成式对抗网络20进行训练。

可以规定，使用由经训练的生成器网络21所生成的、经对抗性干扰的输入数据10以用于测试至少一种针对对抗性干扰的防御策略和/或用于测试经适配的神经网络。

在图2中示出了用于识别神经网络的输入数据中的对抗性干扰的方法的实施方式的示意性流程图。

该方法包括训练阶段100和应用阶段200。

在训练阶段100期间，在方法步骤101中生成经对抗性干扰的输入数据作为训练数据。这可以借助于根据本发明的后端服务器的计算设备来进行，或者也可以借助于另外的计算设备来进行。如果所述输入数据是照相机图像，则可以使用例如已知的软件工具箱、诸如IBM Adversarial Robustness Toolbox、CleverHans或FoolBox来用于生成所述经对抗性干扰的输入数据。利用这些工具箱，可以给未经干扰的照相机图像有针对性地配备对抗性干扰。随后将以此方式生成的输入数据作为训练数据来使用用于训练条件生成式对抗网络的生成器网络。

在方法步骤102中训练条件生成式对抗网络。在此情况下，鉴于生成基于神经网络的输入数据来条件化的对抗性干扰方面来训练条件生成式对抗网络的生成器网络。鉴于识别由生成器网络生成的输入数据中的对抗性干扰方面来训练条件生成式对抗网络的鉴别器网络。

在方法步骤103中，检查是否已经达到了所述生成器网络和所述鉴别器网络的功能性能（funktionale Güte）。特别地，检查是否达到平衡状态，在该平衡状态下所述鉴别器网络以50％的概率正确地对由所述生成器网络提供的经对抗性干扰的输入数据进行分类。如果不是这种情况，则继续训练所述条件生成式对抗网络。

如果达到了足够的功能性能，则在方法步骤104中提供所述条件生成式对抗网络的经训练的鉴别器网络。为此，将经训练的鉴别器网络特别是以数字的数据包的形式传送到探测设备，其中所述数字的数据包包括经训练的鉴别器网络的结构、权重和参数，其中使用该探测设备例如用于识别运输工具、特别是机动车辆中的对抗性干扰。

在应用阶段200中，在方法步骤201中由探测设备接收并提供所提供的经训练的鉴别器网络。

在方法步骤202中，将经训练的鉴别器网络应用于如下神经网络的输入数据，其中该神经网络例如执行对象识别。所述输入数据例如是至少一个传感器的当前检测的传感器数据，特别是检测环境的照相机的照相机数据。经训练的鉴别器网络识别出所述输入数据是否受到对抗性干扰。对此，经训练的鉴别器网络基于所输送的输入数据推断出识别结果。

在方法步骤203中提供、特别是输出识别结果，例如以识别结果信号的形式，特别是以数字的数据包的形式。

在方法步骤204中可以规定，根据所述识别结果更改所述输入数据的置信度值和/或更改提供所述输入数据的传感器的置信度值。

在方法步骤204中替代地或附加地可以规定，根据所提供的识别结果14评价由神经网络30生成的输出数据16，和/或根据识别结果14和/或输入数据10经更改的置信度值和/或根据提供所述输入数据10的传感器51的经更改的置信度值来更改或适配神经网络30的输出数据16的置信度值，其中除了输出数据16之外还附加地提供所述置信度值。

在方法步骤205中可以规定，根据所述识别结果，更改借助于所述神经网络基于所述输入数据推断出的输出数据的在经平均的输出数据中和/或利用所述输出数据来工作的估计方法中的权重。

在方法步骤105中可以规定，在至少一个其他训练阶段期间基于至少一个其他对抗性干扰来训练所述条件生成式对抗网络。

在方法步骤106中可以规定，使用由经训练的生成器网络所生成的、经对抗性干扰的输入数据以用于测试至少一种针对对抗性干扰的防御策略和/或用于测试经适配的神经网络。

如果已经存在经训练的鉴别器网络，也就是说提供了根据训练阶段100经训练的鉴别器网络，则该方法也可以仅包括应用阶段200的方法步骤201-205。

该方法具有如下优点：可以经改善地识别对抗性干扰。由此可以经改善地识别和防止对抗性攻击。

附图标记列表

1 系统

2 后端服务器

3 探测设备

4 计算设备（后端服务器）

5 存储设备（后端服务器）

6 通信接口（后端服务器）

10 输入数据

11 计算设备（探测设备）

12 存储设备（探测设备）

13 通信接口（探测设备）

14 识别结果

15 识别结果信号

16 输出数据

20 条件生成式对抗网络

21 生成器网络

22 鉴别器网络

30 神经网络

40 经对抗性干扰的输入数据（训练数据）

50 运输工具

51 照相机

100 训练阶段

100-106 方法步骤

200 应用阶段

201-205 方法步骤。