JP7306460B2 - 敵対的事例検知システム、方法およびプログラム - Google Patents

敵対的事例検知システム、方法およびプログラム Download PDF

Info

Publication number
JP7306460B2
JP7306460B2 JP2021538522A JP2021538522A JP7306460B2 JP 7306460 B2 JP7306460 B2 JP 7306460B2 JP 2021538522 A JP2021538522 A JP 2021538522A JP 2021538522 A JP2021538522 A JP 2021538522A JP 7306460 B2 JP7306460 B2 JP 7306460B2
Authority
JP
Japan
Prior art keywords
observation data
hostile
matrix
input
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021538522A
Other languages
English (en)
Other versions
JPWO2021024297A1 (ja
Inventor
光佑 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2021024297A1 publication Critical patent/JPWO2021024297A1/ja
Application granted granted Critical
Publication of JP7306460B2 publication Critical patent/JP7306460B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Pure & Applied Mathematics (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Complex Calculations (AREA)

Description

本発明は、敵対的事例(adversarial examples)を検知する敵対的事例検知システム、敵対的事例検知方法および敵対的事例検知プログラムに関する。
深層学習器を用いて、与えられた観測データがどのクラスに該当するのかを判定する判定システムが知られている。
深層学習器は、深層学習によって学習されたモデル(すなわち、ニューラルネットワーク)である。
判定システムには、どのクラスに該当するのか判定される観測データが入力され、判定システムは、深層学習器を用いて、その観測データが該当するクラスを判定する。このような判定システムの一例として、顔認証システムが挙げられる。顔認証システムには、例えば、撮影によって得られた顔画像が観測データとして入力される。そして、顔認証システムは、例えば、一人一人の人をそれぞれクラスとし、入力された顔画像に写っている人が誰であるのかを判定する。
ここでは、顔認証システムを例示したが、判定システムの例として、話者認証システム、生体認証システム、自動運転車等も挙げられる。判定結果となる各クラスは、判定システムが実行するクラス判定に応じて定められている。
これらの種々の判定システムでは、セキュリティが重要であり、精度の高いクラス判定が求められる。
しかし、敵対的事例の存在が知られている。敵対的事例は、深層学習器を用いた判定処理で誤った判定結果を導出させることを目的として、微小な摂動が加えられたデータである。換言すれば、敵対的事例は、正常な深層学習によって得られた適切な深層学習器(モデル)を用いて判定を行う判定システムに対して、その適切な深層学習器を用いたとしても、誤った判定結果を導出させてしまうデータである。例えば、人物“A”が写っているが、微小な摂動が加えられていることによって、適切な深層学習器を用いる顔認証システムに、人物“B”という判定結果を導出させてしまう画像データが、敵対的事例の一例として挙げられる。
非特許文献1には、敵対的事例を検知する技術が記載されている。非特許文献1に記載の技術は、サンプリングによる近似を用いて入力点の不確かさを求め、その不確かさを基に敵対的事例を検知する。
また、非特許文献2および非特許文献3には、グラム行列を求める方法が記載されている。
Reuben Feinman、外3名、"Detecting Adversarial Samples from Artifacts"、[2019年7月5日検索]、インターネット<URL : https://arxiv.org/pdf/1703.00410.pdf> Jaehoon Lee、外5名、"DEEP NEURAL NETWORKS AS GAUSSIAN PROCESS"、a conference paper at ICLR 2018、[2019年7月5日検索]、インターネット、<URL :https://openreview.net/pdf?id=B1EA-M-0Z> Adria Garriga-Alonso、外2名、"DEEP CONVOLUTIONAL NETWORKS AS SHALLOW GAUSSIAN PROCESSES"、a conference paper at ICLR 2019、[2019年7月5日検索]、インターネット、<URL :https://openreview.net/forum?id=Bklfsi0cKm>
顔認証システムを始めとする生体認証システムや自動運転車等の判定システムには、ソーシャルセキュリティや人命等に関わる極めて重要な判定システムがある。そのような重要な判定システムは、深層学習器を用いて、与えられた観測データに対する判定を行う。しかし、深層学習器を用いた判定処理で誤った判定結果を導出させることを目的として、意図的に精巧な摂動が加えられている敵対的事例も存在する。
従って、判定システムを運用する際には、判定システムに入力される大量の観測データの中から敵対的事例を精度よく検知する必要がある。
しかし、非特許文献1に記載された技術では、サンプリングによる近似を行う。サンプリングによる近似は、計算コストが非常に高い。そのため、大量の観測データの中から敵対的事例を検知する処理として、非特許文献1に記載された技術を用いることは実用的ではない。
そこで、本発明は、低い計算コストで敵対的事例を検知することができる敵対的事例検知システム、敵対的事例検知方法および敵対的事例検知プログラムを提供することを目的とする。
本発明による敵対的事例検知システムは、深層学習器をガウス過程に近似する過程で用いるグラム行列の逆行列を計算する準備部と、深層学習器によってどのクラスに該当するのか判定される観測データの中から、グラム行列の逆行列を用いて敵対的事例を検知する検知部とを備え、準備部が、学習データを記憶する学習データ記憶部と、深層学習器と、少なくとも当該深層学習器における層の数および畳み込みの有無を示すアーキテクチャ情報とを記憶する深層学習器記憶部と、深層学習器、アーキテクチャ情報、および、学習データに基づいて、グラム行列を計算するグラム行列計算部と、グラム行列の逆行列を計算する逆行列計算部とを含み、検知部が、観測データの入力を受け付けるデータ入力部と、入力された観測データ毎に、グラム行列の逆行列を用いて、クラス判定に用いられる数値である出力値の平均および分散をクラス別に計算する出力分布計算部と、入力された観測データ毎に、出力値の平均および分散に基づいて、出力値のばらつきの指標である確率的マージンを計算する確率的マージン計算部と、入力された観測データ毎に計算された確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する敵対的事例検知部とを含むことを特徴とする。
本発明による敵対的事例検知方法は、深層学習器をガウス過程に近似する過程で用いるグラム行列の逆行列を計算する準備処理と、深層学習器によってどのクラスに該当するのか判定される観測データの中から、グラム行列の逆行列を用いて敵対的事例を検知する検知処理とを実行し、準備処理で、深層学習器、少なくとも当該深層学習器における層の数および畳み込みの有無を示すアーキテクチャ情報、および、学習データに基づいて、グラム行列を計算するグラム行列計算処理と、グラム行列の逆行列を計算する逆行列計算処理とを実行し、検知処理で、観測データの入力を受け付けるデータ入力受付処理と、入力された観測データ毎に、グラム行列の逆行列を用いて、クラス判定に用いられる数値である出力値の平均および分散をクラス別に計算する出力分布計算処理と、入力された観測データ毎に、出力値の平均および分散に基づいて、出力値のばらつきの指標である確率的マージンを計算する確率的マージン計算処理と、入力された観測データ毎に計算された確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する敵対的事例検知処理とを実行することを特徴とする。
本発明による敵対的事例検知プログラムは、コンピュータに、深層学習器をガウス過程に近似する過程で用いるグラム行列の逆行列を計算する準備処理、および、深層学習器によってどのクラスに該当するのか判定される観測データの中から、グラム行列の逆行列を用いて敵対的事例を検知する検知処理を実行させ、そのコンピュータに、準備処理で、深層学習器、少なくとも当該深層学習器における層の数および畳み込みの有無を示すアーキテクチャ情報、および、学習データに基づいて、グラム行列を計算するグラム行列計算処理、および、グラム行列の逆行列を計算する逆行列計算処理を実行させ、検知処理で、観測データの入力を受け付けるデータ入力受付処理、入力された観測データ毎に、グラム行列の逆行列を用いて、クラス判定に用いられる数値である出力値の平均および分散をクラス別に計算する出力分布計算処理、入力された観測データ毎に、出力値の平均および分散に基づいて、出力値のばらつきの指標である確率的マージンを計算する確率的マージン計算処理、および、入力された観測データ毎に計算された確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する敵対的事例検知処理を実行させることを特徴とする。
本発明によれば、低い計算コストで敵対的事例を検知することができる。
本発明の実施形態の敵対的事例検知システムの構成例を示すブロック図である。 準備部の処理経過の例を示すフローチャートである。 検知部の処理経過の例を示すフローチャートである。 本発明の敵対的事例検知システムに係るコンピュータの構成例を示す概略ブロック図である。 本発明の敵対的事例検知システムの概要を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。
図1は、本発明の実施形態の敵対的事例検知システムの構成例を示すブロック図である。
本実施形態の敵対的事例検知システム3は、準備部1と、検知部2とを備える。敵対的事例検知システム3は、例えば、準備部1と、検知部2とを備える1台のコンピュータによって実現されていてもよい。また、敵対的事例検知システム3は、準備部1と検知部2とがそれぞれ別々のコンピュータによって実現される構成であってもよい。
また、検知部2は、例えば、入力された観測データがどのクラスに該当するのかを判定する判定システムの一部として設けられてもよい。
なお、クラスは、入力される観測データが該当し得る項目として予め定められている複数種類の各項目である。
準備部1は、深層学習器をガウス過程に近似する過程で用いるグラム行列を計算し、さらに、そのグラム行列の逆行列を計算する。検知部2は、入力される観測データの中から、そのグラム行列の逆行列を用いて敵対的事例を検知する。入力される観測データは、その深層学習器を用いてどのクラスに該当するのか判定されるデータである。
なお、観測データは、観測によって得られたデータである。観測データは、判定システムの運用時に、どのクラスに該当するのかが判定されるデータとして、判定システムに入力されたり、深層学習器の学習のために用いられたりする。深層学習器の学習のために用いられる観測データを学習データと記す。
準備部1は、学習データ記憶部10と、深層学習器記憶部11と、グラム行列計算部12と、グラム行列逆行列計算部13と、逆行列記憶部14とを備える。
学習データ記憶部10は、深層学習器の学習のために用いられる観測データ(すなわち、学習データ)を記憶する記憶装置である。
学習データ記憶部10が記憶する観測データ(学習データ)の中には敵対的事例が含まれていないことが確認されているものとする。
また、学習データ記憶部10が記憶する学習データを用いて深層学習によって学習された深層学習器(モデル。ニューラルネットワークとも呼ばれる。)が、判定システムにおいて用いられる。
深層学習器記憶部11は、上記の学習データを用いて深層学習によって学習された深層学習器と、その深層学習器のアーキテクチャ情報とを記憶する記憶装置である。深層学習器のアーキテクチャ情報は、少なくとも、深層学習器における層の数および畳み込みの有無を示す。
グラム行列計算部12は、上記の深層学習器をガウス過程に近似する過程で用いるグラム行列を計算する。グラム行列計算部12は、深層学習器をガウス過程に近似することによって、深層学習器をガウス過程に近似する過程で用いるグラム行列を計算する。このとき、グラム行列計算部12は、学習データ記憶部10に記憶された学習データ、並びに、深層学習器記憶部11に記憶された深層学習器およびそのアーキテクチャ情報に基づいて、グラム行列を計算する。
なお、グラム行列計算部12は、学習データ記憶部10に記憶された学習データに前処理を行う。この前処理については後述する。
グラム行列計算部12は、例えば、グラム行列の第i行第j列の成分を、i番目の学習データおよびj番目の学習データを用いて求める。このように、グラム行列を計算する方法は、例えば、非特許文献2や非特許文献3に記載された方法であってもよい。
例えば、グラム行列計算部12は、深層学習器およびそのアーキテクチャ情報に基づいて、学習データを入力としてグラム行列を出力する関数を生成する。そして、グラム行列計算部12は、その関数に学習データを入力することでグラム行列を計算する。
ただし、グラム行列計算部12がグラム行列を計算する方法は、非特許文献2や非特許文献3に記載された方法に限定されず、グラム行列計算部12は他の方法でグラム行列を計算してもよい。
グラム行列計算部12は、計算したグラム行列の対角成分に、逆行列計算を安定化するための定数を加算した結果を、逆行列の計算対象となるグラム行列としてもよい。例えば、クラス判定の対象となる観測データ(外部から入力される観測データ)を用いることなく、学習データを用いて計算されたグラム行列をKとする。グラム行列計算部12は、グラム行列Kを計算した後、K+εIを計算し、K+εIを、逆行列の計算対象となるグラム行列としてもよい。ここで、εは、逆行列計算を安定化するための定数であり、Iは単位行列である。
グラム行列逆行列計算部13は、グラム行列計算部12によって計算されたグラム行列の逆行列を計算する。以下、ある行列を“A”と表した場合、その行列Aの逆行列をinv(A)と記す。例えば、グラム行列逆行列計算部13は、inv(K+εI)を計算する。
グラム行列逆行列計算部13は、そのグラム行列の逆行列を逆行列記憶部14に記憶させる。
逆行列記憶部14は、グラム行列逆行列計算部13によって計算されたグラム行列の逆行列を記憶する記憶装置である。本例では、逆行列記憶部14が、inv(K+εI)を記憶する場合を例にする。
検知部2は、逆行列記憶部20と、データ入力部21と、学習データ記憶部25と、出力分布計算部22と、確率的マージン計算部23と、敵対的事例検知部24とを備える。
逆行列記憶部20は、グラム行列逆行列計算部13によって計算されたグラム行列の逆行列を記憶する記憶装置である。すなわち、逆行列記憶部20は、準備部1に含まれる逆行列記憶部14と同様に、グラム行列の逆行列(本例では、inv(K+εI))を記憶する。
例えば、準備部1が、逆行列記憶部14に記憶されたグラム行列の逆行列を検知部2に送り、検知部2がそのグラム行列の逆行列を逆行列記憶部20に記憶させてもよい。あるいは、オペレータが、逆行列記憶部14に記憶されたグラム行列の逆行列を、逆行列記憶部20にコピーする操作を行ってもよい。逆行列記憶部20にグラム行列の逆行列を記憶させる方法は、上記以外の方法であってもよい。
また、敵対的事例検知システム3が、準備部1と検知部2とを備える1台のコンピュータによって実現される場合、検知部2は、逆行列記憶部20を備えずに、逆行列記憶部14にアクセスしてもよい。
データ入力部21には、深層学習器によってどのクラスに該当するのかが判定される観測データが入力される。すなわち、データ入力部21は、観測データの入力を受け付ける。データ入力部21に入力される観測データは、学習に用いられる観測データではなく、この点で、学習データ記憶部10が記憶する観測データ(学習データ)とは異なる。
また、前述のように、学習データ記憶部10が記憶する観測データ(学習データ)の中には敵対的事例が含まれていないことが確認されている。一方、データ入力部21に入力される観測データの中には、敵対的事例が存在することがあり得る。
また、データ入力部21は、入力された観測データに対して前処理を行う。この前処理については後述する。
学習データ記憶部25は、準備部1における学習データ記憶部10と同様に、学習データを記憶する記憶装置である。すなわち、学習データ記憶部25は、深層学習器の学習のために用いられる学習データを記憶する。なお、学習データ記憶部25が記憶する学習データの中に敵対的事例が含まれていないことが確認されているものとする。
前述のように、クラスは、入力される観測データが該当し得る項目として予め定められている複数種類の各項目である。また、クラスに応じたラベルが、クラス毎に予め定められている。本実施形態では、クラス毎のラベルが数であるものとする。学習データ記憶部25は、クラス毎に定められているラベルもそれぞれ、予め記憶している。以下、クラス毎に予め定められているラベルを符号yで表す。
出力分布計算部22は、データ入力部21に入力された1つ1つの観測データ毎に、逆行列記憶部20に記憶されているグラム行列の逆行列を用いて、出力値の平均および分散を計算する。出力値とは、観測データを判定システムに入力したことによって得られる数値であり、観測データがどのクラスに該当するかの判定に用いられる数値である。
出力分布計算部22は、入力された観測データ毎に、各クラス別に、出力値の平均および分散を計算する。以下、出力分布計算部22が、各クラス別に、出力値の平均および分散を計算する動作の例を示す。
学習データと、クラス判定の対象となる観測データ(データ入力部21を介して入力された観測データ)の両方を用いて計算されたグラム行列をkとする。また、学習データを用いることなく、クラス判定の対象となる観測データ(データ入力部21を介して入力された観測データ)を用いて計算されたグラム行列をk_とする。
出力分布計算部22は、データ入力部21を介して入力された1つ1つの観測データ毎に、グラム行列k、および、グラム行列k_を計算する。出力分布計算部22は、1つの観測データと、学習データ記憶部25に記憶されている学習データとを用いて、グラム行列kを計算する。また、出力分布計算部22は、1つの観測データを用いて、グラム行列k_を計算する。グラム行列を計算する方法は、例えば、非特許文献2や非特許文献3に記載された方法であってもよい。
そして、出力分布計算部22は、データ入力部21を介して入力された1つ1つの観測データ毎に、観測データを用いて計算したグラム行列kを用いて、各クラス別に、出力値の平均を計算する。出力分布計算部22は、例えば、出力値の平均を、以下に示す式(1)の計算によって求めればよい。
k*inv(K+εI)*y ・・・(1)
式(1)における*は、積を表わす。この点は、後述の式(2)においても同様である。
ラベルyは、クラス毎に定められている。従って、クラス毎に定められているラベルyを用いて式(1)の計算を行うことによって、出力分布計算部22は、各クラス別に出力値の平均を計算する。なお、出力分布計算部22は、式(1)の計算を行う際、ラベルyを学習データ記憶部25から読み込めばよい。
また、出力分布計算部22は、データ入力部21を介して入力された1つ1つの観測データ毎に、観測データを用いて計算したグラム行列k_およびグラム行列kを用いて、各クラス別に、出力値の分散を計算する。出力分布計算部22は、例えば、出力値の分散を、以下に示す式(2)の計算によって求めればよい。
k_*inv(K+εI)*k ・・・(2)
式(2)では、式(1)と異なり、クラス毎に定められているラベルyを用いていない。従って、クラス別に計算した出力値の分散は、クラスに依らず変わらない。すなわち、出力値の分散は、各クラスで共通である。
なお、式(1)や式(2)の計算を行う際、出力分布計算部22は、逆行列記憶部20からinv(K+εI)を読み込めばよい。
確率的マージン計算部23は、データ入力部21を介して入力された1つ1つの観測データ毎に、出力値の平均および分散に基づいて、出力値のばらつきの指標である確率的マージンを計算する。以下、確率的マージンの計算例を示す。
1つの観測データに着目した場合、その観測データが該当する尤もらしさが1番高いクラスに関して計算された出力値の平均をμaと記すこととし、そのクラスに関して計算された出力値の分散をσaと記すこととする。また、その観測データが該当する尤もらしさが2番目に高いクラスに関して計算された出力値の平均をμbと記すこととし、そのクラスに関して計算された出力値の分散をσbと記すこととする。
なお、着目している観測データが該当する尤もらしさが1番高いクラスや、その観測データが該当する尤もらしさが2番目に高いクラスを特定する方法は、特に限定されない。例えば、確率的マージン計算部23が、深層学習器を保持し、着目している観測データと、深層学習器とに基づいて、それらのクラスを特定してもよい。あるいは、他の方法でそれらのクラスを特定してもよい。
ここで、敵対的事例に関しては、観測データが該当すると判定されるクラスの不確実性が高く、正規の観測データに関しては、観測データが該当すると判定されるクラスの不確実性が低いと仮定することができる。この仮定の下で、確率的マージンを、例えば、以下に示す式(3)のように定めることができる。ここでは、確率的マージンを符号Mで表す。
M=(μa-μb)/(σa+σb) ・・・(3)
確率的マージン計算部23は、式(3)の計算によって、確率的マージンMを計算すればよい。ただし、確率的マージンは、式(3)以外の式で定められてもよい。
不確実性が高いときには、μaとμbとの差が小さくなり、また、分散も大きくなるので、確率的マージンMは小さな値をとる。すなわち、敵対的事例に関して計算された確率的マージンMは小さな値をとる
敵対的事例検知部24は、データ入力部21を介して入力された1つ1つの観測データ毎に計算された確率的マージンに基づいて、入力された各観測データの中から、敵対的事例を検知する。
例えば、敵対的事例検知部24は、観測データ毎に、敵対的事例検知部24によって計算された確率的マージンMが、予め定められた閾値以下であるか否かを判定し、確率的マージンMが閾値以下である観測データを敵対的事例として検知すればよい。一方、敵対的事例検知部24は、確率的マージンMが閾値より大きい観測データに関しては、正常な観測データであると判定すればよい。
前述のように、敵対的事例検知システム3は、例えば、準備部1と、検知部2とを備える1台のコンピュータによって実現されていてもよい。この場合、グラム行列計算部12、グラム行列逆行列計算部13、出力分布計算部22、確率的マージン計算部23および敵対的事例検知部24は、例えば、敵対的事例検知プログラムに従って動作するコンピュータのCPU(Central Processing Unit )によって実現される。この場合、CPUは、コンピュータのプログラム記憶装置等のプログラム記録媒体から敵対的事例検知プログラムを読み込み、そのプログラムに従って、グラム行列計算部12、グラム行列逆行列計算部13、出力分布計算部22、確率的マージン計算部23および敵対的事例検知部24として動作すればよい。また、データ入力部21は、例えば、コンピュータのデータ入力インタフェースと、敵対的事例検知プログラムに従って動作するコンピュータのCPUとによって実現される。また、学習データ記憶部10、深層学習器記憶部11、逆行列記憶部14、逆行列記憶20および学習データ記憶部25は、例えば、コンピュータが備える記憶装置によって実現される。
また、敵対的事例検知システム3は、準備部1と検知部2とがそれぞれ別々のコンピュータによって実現される構成であってもよい。この場合、グラム行列計算部12およびグラム行列逆行列計算部13は、例えば、準備部用プログラムに従って動作する準備部用コンピュータのCPUによって実現される。この場合、CPUは、準備部用コンピュータのプログラム記憶装置等のプログラム記録媒体から準備部用プログラムを読み込み、そのプログラムに従って、グラム行列計算部12およびグラム行列逆行列計算部13として動作すればよい。また、学習データ記憶部10、深層学習器記憶部11、逆行列記憶部14は、例えば、準備部用コンピュータが備える記憶装置によって実現される。また、出力分布計算部22、確率的マージン計算部23および敵対的事例検知部24は、例えば、検知部用プログラムに従って動作する検知部用コンピュータのCPUによって実現される。この場合、CPUは、検知部用コンピュータのプログラム記憶装置等のプログラム記録媒体から検知部用プログラムを読み込み、そのプログラムに従って、出力分布計算部22、確率的マージン計算部23および敵対的事例検知部24として動作すればよい。データ入力部21は、例えば、検知部用コンピュータのデータ入力インタフェースと、検知部用プログラムに従って動作する検知部用コンピュータのCPUとによって実現される。逆行列記憶部20および学習データ記憶部25は、検知部用コンピュータが備える記憶装置によって実現される。
次に、本実施形態の処理経過について説明する。なお、既に説明した事項については、詳細な説明を省略する。
図2は、本実施形態の準備部1の処理経過の例を示すフローチャートである。本例では、観測データが顔認証システムで顔認証のために用いられるデータであり、従って、学習データが、人の顔を写した画像である場合を例に説明する。
まず、グラム行列計算部12は、学習データの前処理を行う(ステップS1)。前述のように、学習データが、人の顔を写した画像である場合、前処理の例として、学習データとして記憶されている画像から背景部分を削除し、顔に該当する部分の画像のみを切り取る処理が挙げられる。
また、ステップS1における前処理は、上記の例に限定されない。例えば、グラム行列計算部12は、学習データの前処理として、学習データの平滑化処理や、学習データの欠損値補間処理を行ってもよい。
ステップS1の後、前処理後の学習データが用いられる。
ステップS1の次に、グラム行列計算部12は、深層学習器をガウス過程に近似することによって、深層学習器をガウス過程に近似する過程で用いるグラム行列を計算する(ステップS2)。
次に、グラム行列逆行列計算部13は、グラム行列の逆行列を計算する(ステップS3)。
そして、グラム行列逆行列計算部13は、ステップS3で計算されたグラム行列の逆行列を逆行列記憶部14に記憶させる(ステップS4)。
図3は、本実施形態の検知部2の処理経過の例を示すフローチャートである。なお、逆量列記憶部20は、準備部1の逆行列記憶部14に記憶されたグラム行列の逆行列を記憶済みであるものとする。
データ入力部21は、入力された観測データの前処理を行う(ステップS11)。入力された観測データの前処理として、例えば、観測データの平滑化処理、観測データの欠損値補間処理、観測データのノイズ低減処理等が挙げられる。
ステップS11の後、前処理後の観測データが用いられる。
ステップS11の次に、出力分布計算部22は、入力された観測データ毎に、グラム行列の逆行列を用いて、出力値の平均および分散をクラス別に計算する(ステップS12)。
次に、確率的マージン計算部23は、入力された観測データ毎に、出力値の平均および分散に基づいて確率的マージンを計算する(ステップS13)。前述のように、確率的マージンは、出力値のばらつきの指標である。
次に、敵対的事例検知部24は、観測データ毎に計算された確率的マージンに基づいて、入力された観測データ毎に、観測データが敵対的事例であるか否かを判定し、敵対的事例を検知する(ステップS14)。
本実施形態によれば、敵対的事例検知システム3は、サンプリングを行わない。すなわち、本実施形態の敵対的事例検知システム3は、計算コストが高いサンプリングを行うことなく、敵対的事例を検知する。従って、本実施形態によれば、低い計算コストで敵対的事例を検知することができる。
次に、本発明の実施形態の変形例を説明する。上記の実施形態では、確率的マージン計算部23が、観測データ毎に1つの確率的マージンを計算する場合を説明した。具体的には、確率的マージン計算部23が、観測データ毎に、式(3)によって1つの確率的マージンを計算する場合を説明した。
確率的マージン計算部23は、データ入力部21を介して入力された1つ1つの観測データ毎に、複数種類の確率的マージンを計算してもよい。
前述の式(3)は、確率的マージンの定め方の一例であり、確率的マージンは、前述の式(3)の他に、以下に示す式(4)や式(5)のように定められてもよい。なお、式(4)で定められる確率的マージンを符号M’で表す。また、式(5)で定められる確率的マージンを符号M’’で表す。
M’=μa-μb ・・・(4)
M’’=σa+σb ・・・(5)
ここでは、確率的マージン計算部23は、データ入力部21を介して入力された1つ1つの観測データ毎に、式(3)、式(4)および式(5)それぞれの計算によって、3種類の確率的マージンM,M’,M’’を計算する場合を例にして説明する。
ただし、本変形例において、確率的マージン計算部23は、観測データ毎に複数種類の確率的マージンを計算すればよく、式(3)、式(4)および式(5)のうちのいずれか2種類の計算によって、観測データ毎に2種類の確率的マージンを計算してもよい。あるいは、確率的マージン計算部23は、4種類以上の確率的マージンを計算してもよい。また、確率的マージン計算部23は、式(3)、式(4)および式(5)とは異なる計算式によって確率的マージンを計算してもよい。
そして、敵対的事例検知部24は、入力された観測データ毎に計算された複数種類(本例では、3種類)の確率的マージンに基づいて、入力された各観測データの中から、敵対的事例を検知する。
例えば、式(3)によって計算された確率的マージンMとの比較対象となる第1の閾値、式(4)によって計算された確率的マージンM’との比較対象となる第2の閾値、および、式(5)によって計算された確率的マージンM’’との比較対象となる第3の閾値が予め定められているものとする。
敵対的事例検知部24は、観測データ毎に、予め定められた所定の条件を満たしているか否かを判定し、その所定の条件を満たしている観測データを敵対的事例として検知すればよい。一方、敵対的事例検知部24は、その所定の条件を満たしていない観測データに関しては、正常な観測データであると判定すればよい。
所定の条件として、例えば、式(3)によって計算された確率的マージンMが第1の閾値以下であること、かつ、式(4)によって計算された確率的マージンM’が第2の閾値以下であること、かつ、式(5)によって計算された確率的マージンM’’が第3の閾値以下であることという条件を用いてもよい。
あるいは、所定の条件として、例えば、式(3)によって計算された確率的マージンMが第1の閾値以下であることと、式(4)によって計算された確率的マージンM’が第2の閾値以下であることと、式(5)によって計算された確率的マージンM’’が第3の閾値以下であることのうち2つ以上(1つ以上としてもよい。)が満たされていることという条件を用いてもよい。
本変形例においても、サンプリングを行うことなく敵対的事例を検知するので、低い計算コストで敵対的事例を検知することができる。
図4は、本発明の敵対的事例検知システムに係るコンピュータの構成例を示す概略ブロック図である。ここでは、まず、敵対的事例検知システム3が、準備部1と検知部2とを備える1台のコンピュータによって実現される場合を例にして説明する。コンピュータ1000は、CPU1001と、主記憶装置1002と、補助記憶装置1003と、インタフェース1004と、データ入力インタフェース1005とを備える。
敵対的事例検知システム3は、コンピュータ1000によって実現される。敵対的事例検知システム3の動作は、プログラムの形式で、補助記憶装置1003に記憶されている。CPU1001は、プログラムを補助記憶装置1003から読み出して主記憶装置1002に展開し、そのプログラムに従って、上記の実施形態やその変形例で説明した処理を実行する。この場合、グラム行列計算部12、グラム行列逆行列計算部13、出力分布計算部22、確率的マージン計算部23および敵対的事例検知部24は、CPU1001によって実現される。データ入力部21は、データ入力インタフェース1005およびCPU1001によって実現される。学習データ記憶部10、深層学習器記憶部11、逆行列記憶部14、逆行列記憶部20および学習データ記憶部25は、例えば、補助記憶装置1003によって実現されてもよく、あるいは、他の記憶装置によって実現されてもよい。
補助記憶装置1003は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース1004を介して接続される磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory )、DVD-ROM(Digital Versatile Disk Read Only Memory )、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ1000に配信される場合、配信を受けたコンピュータ1000がそのプログラムを主記憶装置1002に展開し、そのプログラムに従って上記の実施形態やその変形例で説明した処理(動作)を実行してもよい。
また、準備部1と検知部2とがそれぞれ別々のコンピュータによって実現される構成である場合、準備部用コンピュータおよび検知部用コンピュータはそれぞれ、図4に示すコンピュータと同様のコンピュータによって実現される。ただし、準備部用コンピュータには、データ入力インタフェース1005が設けられていなくてもよい。準備部用コンピュータおよび検知部用コンピュータに関しても、図4を参照して説明する。
準備部用コンピュータにおいて、準備部1の動作は、プログラムの形式で、補助記憶装置1003に記憶されている。CPU1001は、プログラムを補助記憶装置1003から読み出して主記憶装置1002に展開し、そのプログラムに従って、上記の実施形態で説明した準備部1の処理を実行する。この場合、グラム行列計算部12およびグラム行列逆行列計算部13は、CPU1001によって実現される。学習データ記憶部10、深層学習器記憶部11および逆行列記憶部14は、例えば、補助記憶装置1003によって実現されてもよく、あるいは、他の記憶装置によって実現されてもよい。
また、検知部用コンピュータにおいて、検知部2の動作は、プログラムの形式で、補助記憶装置1003に記憶されている。CPU1001は、プログラムを補助記憶装置1003から読み出して主記憶装置1002に展開し、そのプログラムに従って、上記の実施形態やその変形例で説明した検知部2の処理を実行する。この場合、出力分布計算部22、確率的マージン計算部23および敵対的事例検知部24は、CPU1001によって実現される。データ入力部21は、データ入力インタフェース1005およびCPU1001によって実現される。逆行列記憶部20および学習データ記憶部25は、例えば、補助記憶装置1003によって実現されてもよく、あるいは、他の記憶装置によって実現されてもよい。
また、各構成要素の一部または全部は、汎用または専用の回路(circuitry )、プロセッサ等やこれらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
各構成要素の一部または全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。
次に、本発明の概要について説明する。図5は、本発明の敵対的事例検知システムの概要を示すブロック図である。本発明の敵対的事例検知システム300は、準備部100と、検知部200とを備える。
準備部100(例えば、準備部1)は、深層学習器をガウス過程に近似する過程で用いるグラム行列の逆行列を計算する。
検知部200(例えば、検知部2)は、深層学習器によってどのクラスに該当するのか判定される観測データの中から、グラム行列の逆行列を用いて敵対的事例を検知する。
準備部100は、学習データ記憶部110と、深層学習器記憶部111と、グラム行列計算部112と、逆行列計算部113とを含む。
学習データ記憶部110(例えば、学習データ記憶部10)は、学習データを記憶する。
深層学習器記憶部111(例えば、深層学習器記憶部11)は、深層学習器と、少なくとも当該深層学習器における層の数および畳み込みの有無を示すアーキテクチャ情報とを記憶する。
グラム行列計算部112(例えば、グラム行列計算部12)は、深層学習器、アーキテクチャ情報、および、学習データに基づいて、グラム行列を計算する。
逆行列計算部113(例えば、グラム行列逆行列計算部13)は、グラム行列の逆行列を計算する。
検知部200は、データ入力部221と、出力分布計算部222と、確率的マージン計算部223と、敵対的事例検知部224とを備える。
データ入力部221(例えば、データ入力部21)は、観測データの入力を受け付ける。
出力分布計算部222(例えば、出力分布計算部22)は、入力された観測データ毎に、グラム行列の逆行列を用いて、クラス判定に用いられる数値である出力値の平均および分散をクラス別に計算する。
確率的マージン計算部223(例えば、確率的マージン計算部23)は、入力された観測データ毎に、出力値の平均および分散に基づいて、出力値のばらつきの指標である確率的マージンを計算する。
敵対的事例検知部224(例えば、敵対的事例検知部24)は、入力された観測データ毎に計算された確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する。
そのような構成により、低い計算コストで敵対的事例を検知することができる。
また、確率的マージン計算部223が、入力された観測データ毎に、複数種類の確率的マージンを計算し、敵対的事例検知部224が、入力された観測データ毎に計算された複数種類の確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する構成であってもよい。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記の実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
産業上の利用の可能性
本発明は、敵対的事例を検知する敵対的事例検知システムに好適に適用される。
1 準備部
2 検知部
3 敵対的事例検知システム
10 学習データ記憶部
11 深層学習器記憶部
12 グラム行列計算部
13 グラム行列逆行列計算部
14 逆行列記憶部
20 逆行列記憶部
21 データ入力部
22 出力分布計算部
23 確率的マージン計算部
24 敵対的事例検知部
25 学習データ記憶部

Claims (6)

  1. 深層学習器をガウス過程に近似する過程で用いるグラム行列の逆行列を計算する準備部と、
    前記深層学習器によってどのクラスに該当するのか判定される観測データの中から、前記グラム行列の逆行列を用いて敵対的事例を検知する検知部とを備え、
    前記準備部は、
    学習データを記憶する学習データ記憶部と、
    前記深層学習器と、少なくとも当該深層学習器における層の数および畳み込みの有無を示すアーキテクチャ情報とを記憶する深層学習器記憶部と、
    前記深層学習器、前記アーキテクチャ情報、および、前記学習データに基づいて、前記グラム行列を計算するグラム行列計算部と、
    前記グラム行列の逆行列を計算する逆行列計算部とを含み、
    前記検知部は、
    前記観測データの入力を受け付けるデータ入力部と、
    入力された観測データ毎に、前記グラム行列の逆行列を用いて、クラス判定に用いられる数値である出力値の平均および分散をクラス別に計算する出力分布計算部と、
    入力された観測データ毎に、前記出力値の平均および分散に基づいて、前記出力値のばらつきの指標である確率的マージンを計算する確率的マージン計算部と、
    入力された観測データ毎に計算された前記確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する敵対的事例検知部とを含む
    ことを特徴とする敵対的事例検知システム。
  2. 前記確率的マージン計算部は、
    入力された観測データ毎に、複数種類の確率的マージンを計算し、
    前記敵対的事例検知部は、
    入力された観測データ毎に計算された前記複数種類の確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する
    請求項1に記載の敵対的事例検知システム。
  3. 深層学習器をガウス過程に近似する過程で用いるグラム行列の逆行列を計算する準備処理と、
    前記深層学習器によってどのクラスに該当するのか判定される観測データの中から、前記グラム行列の逆行列を用いて敵対的事例を検知する検知処理とを実行し、
    前記準備処理で、
    前記深層学習器、少なくとも当該深層学習器における層の数および畳み込みの有無を示すアーキテクチャ情報、および、学習データに基づいて、前記グラム行列を計算するグラム行列計算処理と、
    前記グラム行列の逆行列を計算する逆行列計算処理とを実行し、
    前記検知処理で、
    前記観測データの入力を受け付けるデータ入力受付処理と、
    入力された観測データ毎に、前記グラム行列の逆行列を用いて、クラス判定に用いられる数値である出力値の平均および分散をクラス別に計算する出力分布計算処理と、
    入力された観測データ毎に、前記出力値の平均および分散に基づいて、前記出力値のばらつきの指標である確率的マージンを計算する確率的マージン計算処理と、
    入力された観測データ毎に計算された前記確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する敵対的事例検知処理とを実行する
    ことを特徴とする敵対的事例検知方法。
  4. 前記確率的マージン計算処理で、
    入力された観測データ毎に、複数種類の確率的マージンを計算し、
    前記敵対的事例検知処理で、
    入力された観測データ毎に計算された前記複数種類の確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する
    請求項3に記載の敵対的事例検知方法。
  5. コンピュータに、
    深層学習器をガウス過程に近似する過程で用いるグラム行列の逆行列を計算する準備処理、および、
    前記深層学習器によってどのクラスに該当するのか判定される観測データの中から、前記グラム行列の逆行列を用いて敵対的事例を検知する検知処理を実行させ、
    前記コンピュータに、
    前記準備処理で、
    前記深層学習器、少なくとも当該深層学習器における層の数および畳み込みの有無を示すアーキテクチャ情報、および、学習データに基づいて、前記グラム行列を計算するグラム行列計算処理、および、
    前記グラム行列の逆行列を計算する逆行列計算処理を実行させ、
    前記検知処理で、
    前記観測データの入力を受け付けるデータ入力受付処理、
    入力された観測データ毎に、前記グラム行列の逆行列を用いて、クラス判定に用いられる数値である出力値の平均および分散をクラス別に計算する出力分布計算処理、
    入力された観測データ毎に、前記出力値の平均および分散に基づいて、前記出力値のばらつきの指標である確率的マージンを計算する確率的マージン計算処理、および、
    入力された観測データ毎に計算された前記確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知する敵対的事例検知処理を実行させる
    ための敵対的事例検知プログラム。
  6. 前記コンピュータに、
    前記確率的マージン計算処理で、
    入力された観測データ毎に、複数種類の確率的マージンを計算させ、
    前記敵対的事例検知処理で、
    入力された観測データ毎に計算された前記複数種類の確率的マージンに基づいて、入力された観測データの中から、敵対的事例を検知させる
    請求項5に記載の敵対的事例検知プログラム。
JP2021538522A 2019-08-02 2019-08-02 敵対的事例検知システム、方法およびプログラム Active JP7306460B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/030458 WO2021024297A1 (ja) 2019-08-02 2019-08-02 敵対的事例検知システム、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2021024297A1 JPWO2021024297A1 (ja) 2021-02-11
JP7306460B2 true JP7306460B2 (ja) 2023-07-11

Family

ID=74503419

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021538522A Active JP7306460B2 (ja) 2019-08-02 2019-08-02 敵対的事例検知システム、方法およびプログラム

Country Status (3)

Country Link
US (1) US20220261642A1 (ja)
JP (1) JP7306460B2 (ja)
WO (1) WO2021024297A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024098374A1 (en) * 2022-11-11 2024-05-16 Nvidia Corporation Refining machine learning models to mitigate adversarial attacks in autonomous systems and applications

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LEE,Jaehoon et al.,Deep Neural Networks as Gaussian Processes,[online],v3,arXiv,2018年03月03日,pages:1-17,[令和1年10月21日検索],インターネット<URL:https://arxiv.org/abs/1711.00165v3.pdf>
淺原 彰規 他,カーネルガウシアンプロセス回帰による時空間分布データ削減方式,情報処理学会論文誌,日本,情報処理学会,2017年01月15日,第58巻 第1号,第2頁-第12頁

Also Published As

Publication number Publication date
JPWO2021024297A1 (ja) 2021-02-11
WO2021024297A1 (ja) 2021-02-11
US20220261642A1 (en) 2022-08-18

Similar Documents

Publication Publication Date Title
US10769496B2 (en) Logo detection
US20180174062A1 (en) Root cause analysis for sequences of datacenter states
JP7266674B2 (ja) 画像分類モデルの訓練方法、画像処理方法及び装置
US20140348420A1 (en) Method and system for automatic selection of one or more image processing algorithm
CN108182246B (zh) 敏感词检测过滤方法、装置和计算机设备
CN112860841B (zh) 一种文本情感分析方法、装置、设备及存储介质
KR102053635B1 (ko) 불신지수 벡터 기반의 가짜뉴스 탐지 장치 및 방법, 이를 기록한 기록매체
US20170193373A1 (en) Disk capacity predicting method, apparatus, equipment and non-volatile computer storage medium
US20200272897A1 (en) Learning device, learning method, and recording medium
US10423817B2 (en) Latent fingerprint ridge flow map improvement
US20220245405A1 (en) Deterioration suppression program, deterioration suppression method, and non-transitory computer-readable storage medium
CN113723070B (zh) 文本相似度模型训练方法、文本相似度检测方法及装置
JP7306460B2 (ja) 敵対的事例検知システム、方法およびプログラム
JP2019105871A (ja) 異常候補抽出プログラム、異常候補抽出方法および異常候補抽出装置
JPWO2019077656A1 (ja) 生産設備監視装置、生産設備監視方法及び生産設備監視プログラム
CN109615080B (zh) 无监督模型评估方法、装置、服务器及可读存储介质
JP6988995B2 (ja) 画像生成装置、画像生成方法および画像生成プログラム
CN111786999B (zh) 一种入侵行为的检测方法、装置、设备和存储介质
US10198613B2 (en) Latent fingerprint pattern estimation
JP2017173993A (ja) 情報処理装置、情報処理方法、及び、プログラム
CN110059180B (zh) 文章作者身份识别及评估模型训练方法、装置及存储介质
CN111047185B (zh) 贮存环境因素对弹药贮存可靠性影响的确定方法及装置
CN109436980B (zh) 电梯部件的状态检测方法和系统
KR102072894B1 (ko) 인트론과 엑손 구분에 기반한 이상 서열 식별 방법
JP2022185799A (ja) 情報処理プログラム、情報処理方法および情報処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230530

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230612

R151 Written notification of patent or utility model registration

Ref document number: 7306460

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151