JP7359229B2 - 検知装置、検知方法および検知プログラム - Google Patents

検知装置、検知方法および検知プログラム Download PDF

Info

Publication number
JP7359229B2
JP7359229B2 JP2021577765A JP2021577765A JP7359229B2 JP 7359229 B2 JP7359229 B2 JP 7359229B2 JP 2021577765 A JP2021577765 A JP 2021577765A JP 2021577765 A JP2021577765 A JP 2021577765A JP 7359229 B2 JP7359229 B2 JP 7359229B2
Authority
JP
Japan
Prior art keywords
data
detection
adversarial
class
noise
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021577765A
Other languages
English (en)
Other versions
JPWO2021161423A1 (ja
Inventor
知克 高橋
真徳 山田
友貴 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021161423A1 publication Critical patent/JPWO2021161423A1/ja
Application granted granted Critical
Publication of JP7359229B2 publication Critical patent/JP7359229B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Image Analysis (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、検知装置、検知方法および検知プログラムに関する。
深層学習モデルに入力されるデータに対して、出力を錯乱するように作為的に微小のノイズを乗せて作成されたサンプルであるAdversarial Exampleの存在が知られている。例えば、画像のAdversarial Exampleは、見た目が変わらずに、深層学習の出力を誤分類させてしまうという問題がある。そこで、Adversarial Exampleの検知を行うAdversarial Detectionが検討されている(非特許文献1、2参照)。
Adversarial Detectionでは、例えば、Adversarial Exampleにさらにランダムノイズを加えて、深層学習の出力の変化を観測することにより、Adversarial Exampleを検知する。例えば、攻撃者は、通常のデータに、データ分類のクラスの決定境界をわずかに超えるようなノイズを乗せてデータを変換し、Adversarial Exampleとする。このようなAdversarial Exampleにランダムノイズを乗せて、ランダムな方向にデータを変換すると、深層学習の出力が変化する場合がある。そこで、ランダムノイズを利用した、Adversarial Detectionでは、Adversarial Exampleを検知することができる。
Ian J.Goodfellow et al., "Explaining and Harnessing Adversarial Examples"、arXiv:1412.6572v3 [stat.ML]、[online]、2015年3月、[2020年1月20日検索]、インターネット<URL:https://arxiv.org/abs/1412.6572> Kevin Roth et al., "The Odds are Odd: A Statistical Test for Detecting Adversarial Examples"、arXiv:1902.04818v2 [cs.LG]、[online]、2019年5月、[2020年1月20日検索]、インターネット<URL:https://arxiv.org/abs/1902.04818>
しかしながら、従来技術によれば、ランダムノイズによるAdversarial Exampleの検知が困難な場合がある。例えば、ランダムノイズを乗せることによって決定境界を超えるような深層学習の出力の変化が起こりにくいAdversarial Exampleを検知することは困難である。
本発明は、上記に鑑みてなされたものであって、ランダムノイズによって検知できないAdversarial Exampleを検知することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、モデルを用いて分類するデータを取得する取得部と、取得された前記データを、所定の方向のノイズを用いて変換する変換部と、取得された前記データと変換された前記データとの間における、前記モデルに該データを入力した際の出力の変化を用いて、Adversarial Exampleを検知する検知部と、を有することを特徴とする。
本発明によれば、ランダムノイズによって検知できないAdversarial Exampleを検知することが可能となる。
図1は、本実施形態の検知装置の概要を例示するための図である。 図2は、本実施形態の検知装置の概略構成を例示する模式図である。 図3は、変換部の処理を説明するための図である。 図4は、検知処理手順を示すフローチャートである。 図5は、実施例を説明するための図である。 図6は、実施例を説明するための図である。 図7は、検知プログラムを実行するコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[検知装置の概要]
図1は、本実施形態の検知装置の概要を説明するための図である。Adversarial Exampleは、正常なデータであるclean sampleを、攻撃者が微小なノイズであるAdversarial noiseにより変換したものである。Adversarial noiseは、人が認知できない微小のノイズである。攻撃者は、深層学習の出力を錯乱するために、データ分類のクラスの決定境界を超えるように、Adversarial noiseを乗せてclean sampleを変換し、敵対的な入力サンプルであるAdversarial Exampleを作成する。攻撃者は、人が認知できないように、最小の変換距離でAdversarial Exampleを作成しようとするため、Adversarial Exampleは、決定境界の近傍に作成される場合が多い。
図1(a)に示す例では、クラスAに分類されるclean sampleαが、Adversarial noiseにより、クラスBに分類されるAdversarial Exampleβに変換されている。このAdversarial Exampleβを、ランダムノイズを乗せることによりランダムな方向へ変換すると、クラスAに分類される場合とクラスBに分類される場合とが生じる。これに対し、clean sampleである正常なデータγは、決定境界から適当に離れていて、ランダムノイズでランダムな方向に変換されても、分類されるクラスBに変化は生じない。Adversarial Detectionでは、このような変化の挙動を観測することにより、Adversarial Exampleを検知する。
一方、ランダムノイズでAdversarial Exampleを変換しても、分類されるクラスの変化が生じにくい場合がある。例えば、図1(a)に示したAdversarial Exampleβのように、クラスAとの間の決定境界がクラスA側に突出したクラスBの領域に存在している場合には、クラスBからクラスAに変化する場合が多い。これに対し、図1(b)に示すAdversarial Exampleβ1のように、決定境界から離れてクラスBの内側領域に存在している場合には、ランダムノイズで変換してもクラスBのままである場合が多い。また、Adversarial Exampleβ2のように、クラスAとの間の決定境界がクラスB側に凹んだクラスBの領域に存在している場合には、ランダムノイズで変換してもクラスBのままである場合が多い。
決定境界を正確には知らない攻撃者が偶発的に、図1(b)に示すAdversarial Example(β1、β2)の位置に、Adversarial Exampleを作成した場合には、このAdversarial Exampleを検知できない。また、ランダムノイズを乗せるAdversarial Detectionに対抗して、攻撃者が意図的に変換距離を長くしてAdversarial Exampleを作成した場合には、このAdversarial Exampleを検知できない。
そこで、本実施形態の検知装置は、後述するように、ランダムノイズに換えて、クラスの決定境界に対する変換の方向を意図的に変更可能なAdversarial noiseを乗せて、データを変換する。これにより、検知装置は、図1(b)に示したようなAdversarial Example(β1、β2)を検知する。
[検知装置の構成]
図2は、本実施形態の検知装置の概略構成を例示する模式図である。図2に例示するように、本実施形態の検知装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。例えば、出力部12には、後述する検知処理の結果が表示される。
通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部の装置と制御部15との通信を制御する。例えば、通信制御部13は、検知処理の対象となるデータを管理する管理装置等と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部14には、検知装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図2に例示するように、取得部15a、変換部15b、検知部15cおよび学習部15dとして機能する。なお、これらの機能部は、それぞれ、あるいは一部が異なるハードウェアに実装されてもよい。また、制御部15は、その他の機能部を備えてもよい。
取得部15aは、モデルを用いて分類するデータを取得する。具体的には、取得部15aは、入力部11あるいは通信制御部13を介して、管理装置等から後述する検知処理の対象となるデータを取得する。取得部15aは、取得したデータを記憶部14に記憶させてもよい。その場合に、後述する変換部15bは、記憶部14からデータを取得して処理を行う。
変換部15bは、取得されたデータを、所定の方向のノイズを用いて変換する。例えば、変換部15bは、所定の方向のノイズとして、深層学習モデルによって分類されるクラスの決定境界に近づく方向のノイズを用いて、データを変換する。具体的には、変換部15bは、取得されたデータに対し、次式(1)に示すように定義されるAdversarial noiseを乗せることにより、データ変換を行う。
Figure 0007359229000001
ここで、xは入力データであり、target_classは決定境界で隣接する誤分類先のクラスである。また、Lは、xを分類する深層学習モデルの学習を行う際に用いられる誤差関数であり、理想とする出力に最適化されるほど小さい値を返す関数である。L(x,target_class)は、入力データxに対し、深層学習モデルが出力する予測クラスがtarget_classに近いほど、すなわち、xがtarget_classとの間の決定境界に近いほど、小さい値を返す。また、εはノイズの強さを設定するためのハイパーパラメータである。
ここで、図3は、変換部15bの処理を説明するための図である。変換部15bは、データを、上記式(1)のAdversarial noiseを用いて変換する。これにより、図3(a)に示すように、クラスAとの間の決定境界の近傍のクラスA側に突出したクラスBの領域に存在しているAdversarial Exampleβが、元のクラスAに分類されるようになる。また、決定境界から適当に離れたclean sampleであるデータγが分類されるクラスBに変化は生じない。
このように、モデルにより分類されるクラスが変化した場合に、検知部15cは、Adversarial Exampleであると判定することができる。これにより、検知装置10では、後述する検知部15cが、図1(a)に示したランダムノイズを用いた従来のAdversarial Detectionより、効率よくAdversarial Exampleを検知することが可能となる。
なお、検知装置10では、予め、正常なデータ(clean sample)を、検知側のAdversarial noiseを用いて変換した場合に、出力が変化しないように、深層学習モデルの学習が行なわれている。これにより、図3(a)の正常なデータγについて、分類されるクラスBに変化が生じないので、検知部15cが、Adversarial Exampleではないと正確に判定することが可能となる。
さらに、検知装置10では、図3(b)に示すように、決定境界から離れてクラスBの内側領域に存在するAdversarial Exampleβ1が、元のクラスAに分類されるようになる。したがって、上記した図3(a)のAdversarial Exampleβと同様に、検知部15cが、Adversarial Exampleであると判定することができる。
あるいは、Adversarial Exampleβ1が決定境界の近傍に変換された場合には、さらに決定境界の方向に変換することにより、元のクラスAに分類されるようになる。これにより、検知部15cが、Adversarial Exampleβ1がAdversarial Exampleであることを検知することができる。あるいは、上記した図3(a)のAdversarial Exampleβと同様に、さらにランダムノイズを用いた従来のAdversarial Detectionにより、検知することも可能となる。
また、クラスAとの間の決定境界がクラスB側に凹んだクラスBの領域に存在するAdversarial Exampleβ2が、元のクラスAに分類されるようになる。これにより、検知部15cが、Adversarial Exampleβ2がAdversarial Exampleであることを検知することができる。このように、図1(b)に示したランダムノイズを用いた従来のAdversarial Detectionで検知が困難だったAdversarial Exampleを検知することが可能となる。
なお、変換部15bは、ノイズを算出し、算出した該ノイズを用いてデータを変換する処理を、複数回繰り返してもよい。例えば、変換部15bは、上記式(1)に示したεより小さいノイズを乗せたデータに対し、再び上記式(1)によりノイズを算出して乗せる処理を繰り返してもよい。これにより、変換部15bが、さらに正確に決定境界の方向のノイズを乗せるデータ変換を行うことが可能となる。
図2の説明に戻る。検知部15cは、取得されたデータと変換されたデータとの間における、モデルにデータを入力した際の出力の変化を用いて、Adversarial Exampleを検知する。
例えば、検知部15cは、モデルの出力の変化に応じて変化する、データの所定の特徴量AS(Anomaly Score)を算出し、取得されたデータと変換されたデータとの間におけるこの特徴量ASの出力の変化を用いて、Adversarial Exampleを検知する。検知部15cは、特徴量ASに変化があった場合、すなわち、モデルの出力の変化があった場合に、上記(1)で算出したAdversarial noiseを乗せる前の入力データが、Adversarial Exampleであると判定する。
具体的には、検知部15cは、次式(2)、(3)を算出する。ここで、yは、入力データxに対してモデルが出力した予測クラスである。また、xは、clean sampleすなわちAdversarial Exampleではない正常なデータ、yはxの真のクラス、zはy以外のクラスである。
Figure 0007359229000002
Figure 0007359229000003
また、検知部15cは、変換部15bが算出したAdversarial noise∇を用いて、次式(4)を算出する。ここで、Eは期待値である。
Figure 0007359229000004
また、検知部15cは、clean sampleに対し、Adversarial noiseを乗せる前と乗せた後との出力の変化について、次式(5)に示す平均および次式(6)に示す分散を算出する。
Figure 0007359229000005
Figure 0007359229000006
そして、検知部15cは、上記式(5)および(6)を用いて、次式(7)を算出し、次いで、次式(8)に示す特徴量ASを算出する。
Figure 0007359229000007
Figure 0007359229000008
検知部15cは、この特徴量ASの出力の変化を観測し、特徴量ASに変化があった場合に、Adversarial noiseを乗せる前のデータがAdversarial Exampleであると判定する。このようにして、検知部15cが、モデルにデータを入力した際の出力の変化を用いて、Adversarial Exampleを検知する。
[検知処理]
次に、図4を参照して、本実施形態に係る検知装置10による検知処理について説明する。図4は、検知処理手順を示すフローチャートである。図4のフローチャートは、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。
まず、取得部15aが、深層学習モデルを用いて分類するデータを取得する(ステップS1)。次に、変換部15bが、深層学習モデルによって分類されるクラスの決定境界に近づく方向のAdversarial noiseを算出する(ステップS2)。また、変換部15bが、算出したAdversarial noiseをデータに付加するデータ変換を行う(ステップS3)。
検知部15cは、取得されたデータと変換されたデータとの間で、深層学習モデルに入力した際の出力の変化を観測し(ステップS4)、Adversarial Exampleを検知する(ステップS5)。例えば、検知部15cは、出力されるクラスが変化した場合に、Adversarial Exampleであると判定する。これにより、一連の検知処理が終了する。
以上、説明したように、本実施形態の検知装置10において、取得部15aが、モデルを用いて分類するデータを取得する。また、変換部15bが、取得されたデータを、所定の方向のノイズを用いて変換する。具体的には、変換部15bは、指定の方向のノイズとして、モデルによって分類されるクラスの決定境界に近づく方向のノイズを用いて、データを変換する。また、検知部15cが、取得されたデータと変換されたデータとの間における、モデルにデータを入力した際の出力の変化を用いて、Adversarial Exampleを検知する。
これにより、検知装置10は、ランダムノイズによって検知できない、図1(b)に例示したAdversarial Example(β1、β2)を検知することが可能となる。また、図1(a)に例示したAdversarial Exampleβを、ランダムノイズによる検知より、効率よく検知することが可能となる。
また、変換部15bは、ノイズを算出し、算出したノイズを用いてデータを変換する処理を、複数回繰り返す。これにより、変換部15bが、決定境界の方向のノイズを乗せるデータ変換を、さらに正確に行うことが可能となる。したがって、検知装置10は、高精度にAdversarial Exampleを検知することが可能となる。
また、検知部15cは、モデルの出力の変化に応じて変化するデータの所定の特徴量を算出し、取得されたデータと変換されたデータとの間における該特徴量の変化を用いて、Adversarial Exampleを検知する。これにより、モデルの出力の変化を高精度に検知することが可能となる。したがって、検知装置10は、高精度にAdversarial Exampleを検知することが可能となる。
[実施例]
図5および図6は、実施例を説明するための図である。まず、図5には、ランダムノイズを用いた従来技術と本発明との性能評価の結果が例示されている。図5のグラフの縦軸は、Adversarial Exampleの検知率を表す。この検知率の値は、clean sampleを誤ってAdversarial Exampleと検知してしまう誤検知率を1%に抑えた場合の値である。グラフの横軸は、検知するAdversarial Exampleが作成された際のAdversarial noiseの大きさを表す。ノイズが大きいほど、攻撃者がclean sampleからAdversarial Exampleを作成する際の変換距離が大きくなるため、決定境界を大きく超えた位置にAdversarial Exampleが作成されやすくなる。つまり、攻撃側のAdversarial noiseの大きさが大きいほど、従来技術で検知することが困難なAdversarial Exampleが作成されやすくなる。
図5に示すように、本発明の検知装置10の検知処理によれば、従来技術の処理より検知率が高いことがわかる。また、攻撃側のAdversarial noiseの大きさが大きくなるほど、従来技術では検知率が低下するのに対し、本発明の検知処理によれば、検知率が低下しないことがわかる。これは、本発明では、正確に決定境界方向のノイズを乗せるデータ変換が行われるためと考えられる。
また、図6には、上記実施形態の検知装置10を、深層学習を用いた標識分類システムに適用した場合が例示されている。自動運転車は、車載カメラで道路上の標識を撮影して認識し、車体の制御に活用している。その際に、車載カメラによって取り込まれた標識の画像情報は、予め各標識の学習を行った深層学習モデルを用いた画像分類システムにより、各標識に分類される。
ここで、車載カメラで取り込まれた画像情報がAdversarial Example化されていた場合には、間違った標識情報に基づいて車体が制御されるので、人的被害につながる危険性が高くなってしまう。
そこで、図6に示すように、画像分類システムに検知装置10を適用することにより、Adversarial Example化された標識の画像情報が、画像分類を行う深層学習モデルに入力される前に検知され廃棄される。このように、検知装置10は、深層学習を用いた標識分類システムを狙ったAdversarial Exampleによる攻撃に対して、有効な対策となる。
[プログラム]
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistant)などのスレート端末などがその範疇に含まれる。また、検知装置10の機能を、クラウドサーバに実装してもよい。
図7は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
15 制御部
15a 取得部
15b 変換部
15c 検知部

Claims (5)

  1. モデルを用いて分類するデータを取得する取得部と、
    取得された前記データを、前記モデルによって分類されるクラスの決定境界に近づく方向のノイズを用いて変換する変換部と、
    取得された前記データと変換された前記データとの間における、前記モデルに該データを入力した際に分類される前記クラスの変化を用いて、Adversarial Exampleであるか否か判定する検知部と、
    を有することを特徴とする検知装置。
  2. 前記変換部は、前記ノイズを算出し、算出した該ノイズを用いて前記データを変換する処理を、複数回繰り返すことを特徴とする請求項1に記載の検知装置。
  3. 前記検知部は、分類される前記クラスの変化に応じて変化する前記データの所定の特徴量を算出し、取得された前記データと変換された前記データとの間における該特徴量の変化を用いて、Adversarial Exampleであるか否か判定することを特徴とする請求項1に記載の検知装置。
  4. 検知装置で実行される検知方法であって、
    モデルを用いて分類するデータを取得する取得工程と、
    取得された前記データを、前記モデルによって分類されるクラスの決定境界に近づく方向のノイズを用いて変換する変換工程と、
    取得された前記データと変換された前記データとの間における、前記モデルに該データを入力した際に分類される前記クラスの変化を用いて、Adversarial Exampleであるか否か判定する検知工程と、
    を含んだことを特徴とする検知方法。
  5. モデルを用いて分類するデータを取得する取得ステップと、
    取得された前記データを、前記モデルによって分類されるクラスの決定境界に近づく方向のノイズを用いて変換する変換ステップと、
    取得された前記データと変換された前記データとの間における、前記モデルに該データを入力した際に分類される前記クラスの変化を用いて、Adversarial Exampleであるか否か判定する検知ステップと、
    をコンピュータに実行させるための検知プログラム。
JP2021577765A 2020-02-12 2020-02-12 検知装置、検知方法および検知プログラム Active JP7359229B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/005373 WO2021161423A1 (ja) 2020-02-12 2020-02-12 検知装置、検知方法および検知プログラム

Publications (2)

Publication Number Publication Date
JPWO2021161423A1 JPWO2021161423A1 (ja) 2021-08-19
JP7359229B2 true JP7359229B2 (ja) 2023-10-11

Family

ID=77292178

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021577765A Active JP7359229B2 (ja) 2020-02-12 2020-02-12 検知装置、検知方法および検知プログラム

Country Status (3)

Country Link
US (1) US20230038463A1 (ja)
JP (1) JP7359229B2 (ja)
WO (1) WO2021161423A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12032688B2 (en) * 2020-08-06 2024-07-09 Robert Bosch Gmbh Method of training a module and method of preventing capture of an AI module
JP2023056241A (ja) * 2021-10-07 2023-04-19 株式会社日立製作所 敵対的データ検知装置及び敵対的データ検知方法
CN115439719B (zh) * 2022-10-27 2023-03-28 泉州装备制造研究所 一种针对对抗攻击的深度学习模型防御方法及模型

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HUANG, Bo et al.,Model-Agnostic Adversarial Detection by Random Perturbations,Proceedings of the Twenty-Eighth International Joint Conference on Artificial Intelligence (IJCAI-19), [online],2019年12月31日,[retrieved on 2023.05.18], Retrieved from the Internet : <url: https://www.ijcai.org/proceedings/2019/0651.pdf>,<DOI:10.24963/ijcai.2019/651>
MADRY, Aleksander et al.,Towards Deep Learning Models Resistant to Adversarial Attacks,[online],2019年09月04日,[retrieved on 2023.05.18], Retrieved from the Internet : <url: https://arxiv.org/pdf/1706.06083v4>

Also Published As

Publication number Publication date
US20230038463A1 (en) 2023-02-09
WO2021161423A1 (ja) 2021-08-19
JPWO2021161423A1 (ja) 2021-08-19

Similar Documents

Publication Publication Date Title
JP7359229B2 (ja) 検知装置、検知方法および検知プログラム
US9619735B1 (en) Pure convolutional neural network localization
US9971942B2 (en) Object detection in crowded scenes using context-driven label propagation
US8644561B2 (en) License plate optical character recognition method and system
KR20200093426A (ko) 이미지 분석 기반으로 환경에 영향 받지 않는 감시를 위한 보행자 검출기의 학습 방법 및 학습 장치, 그리고, 이를 이용하여 테스트 방법 및 테스트장치
EP3182331A1 (en) Method and system to detect objects using block based histogram of oriented gradients
US11470097B2 (en) Profile generation device, attack detection device, profile generation method, and profile generation computer program
US11436447B2 (en) Target detection
US20170032276A1 (en) Data fusion and classification with imbalanced datasets
WO2019244930A1 (ja) 検知装置、検知方法および検知プログラム
JP2020071708A (ja) 分類装置、分類方法および分類プログラム
JP6777150B2 (ja) 劣化検出装置、劣化検出方法、及びプログラム
JP2015191666A (ja) オブジェクトパーツ位置の予測へのデータ駆動型検出の拡張
EP3132321B1 (en) Transforming failure samples using conditional models for machine condition monitoring
US20220253426A1 (en) Explaining outliers in time series and evaluating anomaly detection methods
US20220188390A1 (en) Spatiotemporal Deep Learning for Behavioral Biometrics
JP6691079B2 (ja) 検知装置、検知方法および検知プログラム
CN113874888A (zh) 信息处理装置、生成方法和生成程序
JP2023543713A (ja) テキストを用いた、雑然としたビデオ・シーン内のアクション-オブジェクト認識
WO2022249472A1 (ja) 検知装置、検知方法および検知プログラム
JP7416255B2 (ja) 学習装置、学習方法および学習プログラム
US20220405585A1 (en) Training device, estimation device, training method, and training program
JP7409487B2 (ja) 学習装置、学習方法および学習プログラム
KR20120062168A (ko) 부분 궤적 인식 장치 및 방법
WO2024134843A1 (ja) 異常検知装置、異常検知方法および異常検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230523

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230829

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230911

R150 Certificate of patent or registration of utility model

Ref document number: 7359229

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150