JP7448022B2 - 検知装置、検知方法及び検知プログラム - Google Patents

検知装置、検知方法及び検知プログラム Download PDF

Info

Publication number
JP7448022B2
JP7448022B2 JP2022550106A JP2022550106A JP7448022B2 JP 7448022 B2 JP7448022 B2 JP 7448022B2 JP 2022550106 A JP2022550106 A JP 2022550106A JP 2022550106 A JP2022550106 A JP 2022550106A JP 7448022 B2 JP7448022 B2 JP 7448022B2
Authority
JP
Japan
Prior art keywords
graph
detection
matrix
vertices
vertex
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022550106A
Other languages
English (en)
Other versions
JPWO2022059108A1 (ja
Inventor
諭史 古谷
俊樹 芝原
満昭 秋山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2022059108A1 publication Critical patent/JPWO2022059108A1/ja
Application granted granted Critical
Publication of JP7448022B2 publication Critical patent/JP7448022B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、検知装置、検知方法及び検知プログラムに関する。
主に無向グラフを中心に適用されていたグラフ信号処理を、有向グラフに適用できるように拡張する方法が提案されている(例えば、非特許文献1を参照)。例えば、非特許文献1に記載の方法によれば、グラフフーリエ変換、グラフフィルタリング又はグラフウェーブレット変換といったグラフ信号処理を、有向グラフに対して行うことができる。
また、実際のネットワークを基にしたグラフデータを分析することにより、ネットワークに含まれる悪性のノードを検知するSybil検知と呼ばれる手法が知られている。例えば、Sybil検知は、ボットネットの検知、及びソーシャルネットワーキングサービス(SNS、social networking service)におけるスパムユーザの検知等に用いられる。
S.Furutani et.al, "Graph Signal Processing for Directed Graphs based on the Hermitian Laplacian," ECML/PKDD 2019, June 2019.
Sybil検知には、ランダムウォーク、信念伝播法(BP、Belief Propagation)といった複数の手法が存在する。一方で、グラフ信号処理をSybil検知に応用する方法はこれまで提案されていない。このため、複数のSybil検知の手法を共通の信号処理的な枠組みで解釈することは困難である。
例えば、Sybil検知の各手法を共通の信号処理的な枠組みで比較できれば、精度や拡張性といった表面的な枠組みでの比較だけでは得られなかった知見が得られるようになり、新たな手法の開発や既存手法の改良が期待できる。
上述した課題を解決し、目的を達成するために、検知装置は、少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法により前記グラフの頂点の評価値を更新する更新部と、前記評価値を基に、前記グラフの頂点のラベルを推定する推定部と、を有することを特徴とする。
本発明によれば、Sybil検知の手法を信号処理的な枠組みで解釈することができる。
図1は、第1の実施形態に係る検知装置の構成例を示す図である。 図2は、無向グラフの表現の例を示す図である。 図3は、有向グラフの表現の例を示す図である。 図4は、辺の変換方法を説明するための図である。 図5は、辺の変換方法を説明するための図である。 図6は、辺の変換方法を説明するための図である。 図7は、グラフラプラシアンを説明するための図である。 図8は、行列の生成方法を説明するための図である。 図9は、グラフ分析技術の拡張について説明するための図である。 図10は、信念伝播法について説明するための図である。 図11は、有向辺を頂点とするグラフを説明する図である。 図12は、non-backtracking operatorを説明する図である。 図13は、non-backtracking operatorを説明する図である。 図14は、検知装置の処理の流れを示すフローチャートである。 図15は、Sybilを検知する処理の流れを示すフローチャートである。 図16は、検知プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る検知装置、検知方法及び検知プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る検知装置の構成について説明する。図1は、第1の実施形態に係る検知装置の構成の一例を示す図である。図1に示すように、検知装置10は、入力されたグラフデータ20を分析し、所定の頂点を検知した結果を分析結果30として出力する。
ここで、本実施形態では、検知装置10はSybilを検知するものとする。Sybilとは、スパムやクリック詐欺、フィッシング、他人へのなりすまし等の悪質な行為を目的に作成されるユーザであり、SNSやレビューサイトの品質を悪化させるセキュリティ上の脅威である。
Sybil検知においては、ユーザ間の関係性が注目される場合がある。例えば、Twitter(登録商標)において、正規のユーザがスパム等を行うSybilと繋がろうとする動機は薄い。このため、正規ユーザは正規ユーザ同士で密に繋がってコミュニティ構造を形成することが期待される。一方、フォロワー数の多寡はアカウントの影響力や信頼性に強く影響を及ぼすため、SybilはSybil同士で互いに繋がり合ってフォロワー数を嵩増しし、コミュニティ構造を形成することが期待される。そのため、正規ユーザとSybilのコミュニティ構造を適切に分離することによって正規ユーザとSybilを区別することができると考えられる。
Sybil検知の手法として、ユーザを頂点とするグラフに付与された既知ラベルに基づいて事前評価値を設定し、頂点の評価値を局所的に更新及び伝播していくことで決定した未知の頂点の評価値を基に、Sybilであるか否かを判定する手法が知られている。また、非特許文献1には、有向グラフに対してグラフ信号処理を適用する方法が開示されている。
そこで、本実施形態の検知装置10は、グラフ信号処理を使ってSybil検知を行う。これにより、例えば、既存のSybil検知手法をグラフ信号処理的に再解釈することができる。また、再解釈の結果は、新たなSybil検知手法の開発、及び既存のSybil検知手法の改良に有用であると考えられる。
上述のSybil検知問題は、既知の頂点ラベルから未知の頂点ラベルを推定する半教師あり問題であると見なすことができる。このとき、既知の頂点ラベルについて、Sybilであれば+1、正規(Sybilでない)であれば-1という信号値を割り当て、ラベルが未知の頂点については0を割り当てるものとする。そうすると、Sybil検知問題は一部の信号値が欠損(0)しているようなグラフ信号が与えられたときに真のグラフ信号を復元する問題であると解釈することができる。
この観察に基づき、本実施形態では、信念伝播法に基づくSybil検知手法をフィルタリングとして定式化する。これにより、既存のSybil検知手法をグラフ信号処理的に統合し再解釈することができる。
グラフデータ20は、所定の方法でグラフを表現したデータである。本実施形態では、グラフデータ20は隣接行列により表現されるものとする。例えば、無向グラフは、図2に示すような隣接行列で表される。図2は、無向グラフの表現の例を示す図である。また、有向グラフは、図3に示すような隣接行列で表される。図3は、有向グラフの表現の例を示す図である。
ここで、グラフデータ20を表現する隣接行列を以下のように定義する。まず、グラフの頂点間に辺が存在しない場合、当該辺に対応する隣接行列の成分は0とする。次に、グラフの頂点間に無向辺が存在する場合、当該辺に対応する隣接行列の成分は1とする。また、グラフの任意の頂点iから頂点jへの有向辺が存在する場合、隣接行列の(i,j)成分は1とし、(j,i)成分は0とする。
例えば、図2の無向グラフには、頂点1-2間に向きのない辺が存在する。このため、図2の隣接行列の(1,2)成分及び(2,1)成分が1となっている。つまり、無向グラフの隣接行列において、任意の(i,j)成分と(j,i)成分は同じ値となる。このように、無向グラフを表現する隣接行列は対称行列となる。
また、例えば、図3の有向グラフには、頂点1-2間には頂点1から頂点2への有向辺が存在するため、行列の(1,2)成分には1となる。一方で、頂点2から頂点1への有向辺は存在しないため、(2,1)成分は0となる。このため、有向グラフを表現する隣接行列は非対称行列となる。
一般に、非対称行列は対称行列と比べて代数的取り扱いが困難であり、このためにグラフ信号処理を含む多くのグラフ分析技術は無向グラフに適用を制限される。なお、グラフデータ20は、グラフを表すものであれば、どのようなデータであってもよい。
例えば、グラフデータ20は、Twitter(登録商標)におけるユーザ(頂点)のフォロー/フォロワー関係(辺)をグラフとして表現したものであってもよいし、マルウェアの実行コードにおいて、関数の呼び出し関係をグラフとして表現したものであってもよい。また、本実施形態の分析手法は、無向グラフのグラフ分析手法を有向グラフへ拡張したものであるので、無向グラフにも適用可能である。
検知装置10は、有向グラフに対してSybil検知を実行することができる。例えば、分析結果30は、グラフデータ20の各頂点に対応するユーザごとの、Sybilであるか否かを表すラベルである。
ここで、検知装置10の各部について説明する。図1に示すように、検知装置10は、通信部11、入力部12、出力部13、記憶部14及び制御部15を有する。
通信部11は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部11はNIC(Network Interface Card)である。入力部12は、ユーザからのデータの入力を受け付ける。入力部12は、例えば、マウスやキーボード等の入力装置である。出力部13は、画面の表示等により、データを出力する。出力部13は、例えば、ディスプレイ等の表示装置である。
記憶部14は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部14は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部14は、検知装置10で実行されるOS(Operating System)や各種プログラムを記憶する。
制御部15は、検知装置10全体を制御する。制御部15は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部15は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部15は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部15は、変換部151、生成部152、計算部153、信号処理部154及び推定部155を有する。
変換部151は、グラフの頂点間の辺の向きを複素平面上の偏角(位相)に変換する。例えば、変換部151は、グラフの頂点間の辺の向きが第1の方向である場合、辺の向きを第1の角度に変換し、辺の向きが第1の方向と逆である場合、辺の向きを第1の角度の符号を反転させた角度に変換し、辺に向きがない場合、辺の向きを0(角度)に変換する。ここで、図4から図6を用いて、変換部151による変換の方法を説明する。図4から図6は、辺の変換方法を説明するための図である。
まず、基準点として、複素平面上の、絶対値が1かつ偏角が0の点が与えられているものとする。図4に示すように、頂点i-j間に無向辺がある場合、つまり、頂点iから頂点jへの有向辺と頂点jから頂点iへの有向辺が同時に存在する場合は、変換部151は、複素平面上の基準点の偏角を回転させない。つまり、基準点は、無向辺又は頂点i-j間に両方向の有向辺が同時に存在していることを表している。
図5に示すように、頂点i-j間に頂点iから頂点jへの有向辺が存在する場合、変換部151は、当該複素平面上において、基準点の偏角を正の方向にθ回転させる。逆に、図6に示すように、頂点i-j間に頂点jから頂点iへの有向辺が存在する場合、変換部151は、当該複素平面上において、基準点の偏角を負の方向にθ回転させる。この場合、頂点iから頂点jへの方向は、第1の向きの一例である。また、θは、第1の角度の一例である。また、θは、例えばπ/4のような固定値とすることできる。
上記の変換部151による操作は、(1)式に示すように、辺集合から1次ユニタリ群への関数γとして記述することができる。ただし、(1)式において、斜体のiは頂点のインデックスであり、正対のiは虚数単位である。
Figure 0007448022000001
なお、関数γの定義は(1)式のものに限定されない。例えば、関数γは、実部と虚部を明示的に分けてγ=α+iβの形で定義されてもよい。また、関数γは、2次の特殊直交群、つまり、2×2行列としてγ=diag(α,β)のように定義されてもよい。
生成部152は、変換部151によって変換された偏角を用いて、グラフの頂点間の関係を表すエルミート行列を生成する。例えば、生成部152は、各行及び各列がグラフの各頂点に対応する行列であって、対応する頂点間に辺が存在する成分が、変換部151によって変換された偏角を持ち、かつ絶対値が一定の複素数である行列を、グラフの次数行列から引いた行列を生成する。この場合、行列の成分は、上記の関数γによって得られた値そのものであってもよい。
ここで、グラフ信号処理では、一般に、グラフは、グラフラプラシアンと呼ばれる行列を用いて表現される。グラフラプラシアンは隣接行列と次数行列を用いて定義することができる。グラフの次数は、頂点から出ている辺の数を表す。
図7を用いて、グラフラプラシアンについて説明する。図7は、グラフラプラシアンを説明するための図である。例えば、図7のグラフにおいて、頂点1からは頂点2と頂点5への2つの辺が出ているので、頂点1の次数は2である。次数行列は、各頂点の次数を対角成分に並べた行列である。一般的に、隣接行列をA、次数行列をDとすれば、従来のグラフラプラシアンLpriorは、Lprior=D-Aと書ける。図7に示すように、有向グラフの隣接行列は非対称行列であり、同様に有向グラフのグラフラプラシアンも非対称行列である。
生成部152は、変換済みの隣接行列と次数行列を用いて行列を生成する。変換済みの隣接行列は、隣接行列の各成分が、変換部151によって変換された偏角を用いて表現された行列である。図8は、行列の生成方法を説明するための図である。
図3に示すように、入力された有向グラフにおいて、例えば、頂点1-2間には頂点1から2への有向辺が存在する。このため、図8に示すように、変換済みの隣接行列である行列20Aの(1,2)成分はeとなり、(2,1)成分はe-iθとなる。生成部152は、次数行列である行列20Dから行列20Aを引くことで、行列20Lを得る。
行列20Lの(1,2)成分及び(2,1)成分は、それぞれ-e及び-e-iθとなる。また、グラフの頂点3-4間には無向辺が存在するので、行列20Lの(3,4)成分及び(4,3)成分はともに-1となる。なお、変換部151において、辺の方向を複素平面上の偏角に変換したため、行列20Dに示される次数は、有向グラフの辺の方向を無視して計算されたものである。
ここで、行列の(i,j)成分と(j,i)成分が互いに複素共役となっている行列をエルミート行列という。明らかに、図8の行列20Lはエルミート行列である。そこで、以降では、生成部152によって生成される行列をエルミートラプラシアンと呼び、Lで表す。
計算部153は、生成部152によって生成されたエルミート行列の固有ベクトルを計算する。また、信号処理部154は、計算部153によって計算された固有ベクトルを、グラフラプラシアンのフーリエ基底とみなし、グラフ信号処理を行う。
例えば、信号処理部154は、固有ベクトルを用いて、グラフフーリエ変換、グラフフィルタリング又はグラフウェーブレット変換を行う。また、計算部153によって計算された固有ベクトルは、後述するSybil検知において用いられる場合がある。
ここで、無向グラフにおけるグラフフーリエ変換は、グラフラプラシアンLpriorの固有ベクトルvをフーリエ基底と見なすことで定義される。固有ベクトルvを列に並べた行列をVとすると、任意のグラフ信号fに対するグラフフーリエ変換は^f=V*fで定義される(ただし、^fはfの直上に^が付されたものである。また、*は複素共役転置あるいは随伴を示す。)。無向グラフにおけるグラフ信号処理のほとんどの要素技術はこのグラフフーリエ変換を基礎としている。
信号処理部154は、従来の無向グラフにおけるグラフフーリエ変換を拡張し有向グラフに適用する。信号処理部154は、エルミートラプラシアンLのスペクトル分解とグラフフーリエ変換の有向グラフへの拡張の2つの手続きを実行する。
まず、Lはエルミート行列であるため、信号処理部154は、(2)式に示すように、Lの固有値λを対角成分に並べた行列Λ及び固有ベクトルuを列に並べたユニタリ行列Uを用いてLのスペクトル分解を行う。なお、固有ベクトルuは計算部153によって計算される。
Figure 0007448022000002
また、信号処理部154は、固有ベクトルuをフーリエ基底と見なすことで、任意のグラフ信号fに対する有向グラフ上でのグラフフーリエ変換を(3)式のように行うことができる。
Figure 0007448022000003
なお、ここではグラフフーリエ変換の拡張方法について述べたが、信号処理部154は、同様のやり方で、グラフフィルタリングやグラフウェーブレット変換等のグラフ信号処理における要素技術を有向グラフに拡張することもできる。
図9は、グラフ分析技術の拡張について説明するための図である。図9に示すように、信号処理部154は、既存の無向グラフのグラフフーリエ変換^f=V*fを有向グラフのグラフフーリエ変換^f=U*fで置き換えているといえる。これにより、信号処理部154は、既存の無向グラフに対するグラフ分析技術を、有向グラフへ容易に拡張できる。
本実施形態では、信号処理部154は、Sybil検知のためのグラフ信号処理を行う。ここでは、グラフデータ20の各頂点は、SNSのユーザに対応するものとする。また、グラフデータ20の少なくとも一部の頂点には、ラベルが付与されているものとする。
前述の通り、本実施形態では、信念伝播法に基づくSybil検知手法をグラフ信号処理によるフィルタリングとして定式化する。ここでは、Sybilであることを示すラベルが付与された頂点の事前評価値を+1、正規(Sybilでない)であることを示すラベルが付与された頂点の事前評価値を-1、ラベルが未知の頂点の事前評価値を0とする。
まず、信念伝播法に基づくSybil検知では、(4)式のように、メッセージと呼ばれる統計量が更新される。
Figure 0007448022000004
ここで、xi=±1は確率変数であり、頂点iがSybilであるか否かを表す(例えば、頂点iがSybilであればxi=+1)。μij (t)はステップtにおける頂点iからjへのメッセージである。ただし、Σxjμij(xj)=1と規格化されるものとする。また、ψij(xi,xj)は、それぞれ頂点及び辺のポテンシャル関数である。頂点iの評価値(確率)pi(xi)は、収束したメッセージμij (xj)を用いて(5)式で計算される。
Figure 0007448022000005
信念伝播法に基づくアプローチは、ランダムウォークに基づくアプローチと比較して精度が高く、ノイズに頑健であることが知られている。一方で、信念伝播法は、グラフにループがない場合及びループが1つである場合は、メッセージの更新アルゴリズムが収束することが証明されている。しかしながら、2つ以上ループがある場合は、メッセージの更新アルゴリズムが収束する保証がないという問題がある。
図10は、信念伝播法について説明するための図である。図10に示すように、信念伝播法においては、頂点間のメッセージを基に評価値が更新される。なお、ここで説明した信念伝播法の手法は一例であり、本実施形態は、信念伝播法を応用した各種手法に適用することができる。
ここで、確率変数がバイナリxi=±1の場合、メッセージμij(xj)は単一の実数νを用いて、(6)式のようにパラメトライズできる。
Figure 0007448022000006
このとき、信念伝播法の更新式は厳密に(7)式のように書き直せる。
Figure 0007448022000007
ここで、νnew=BP(ν)を満たすような作用素BP:ν|→νnew(ただし、|→は写像を表す)を考え、自明な固定点νij*(∀(i,j)∈E)周りで線形化すると、(8)式を得る。
Figure 0007448022000008
ただし、1X(x)は、x∈Xのとき、1X(x)=1、xがXに含まれないときは0となるような指示関数である。ここで、(9)式及び(10)式で定義される行列Bを考える。
Figure 0007448022000009
Figure 0007448022000010
ξij,klを∂νij new/∂νklの係数とすれば、行列Bは(11)式のヤコビ行列に一致する。
Figure 0007448022000011
行列Bはnon-backtracking operatorと呼ばれており、グラフ上での後戻り(backtracking)を禁止した有向辺の接続関係を表現している。図11は、有向辺を頂点とするグラフを説明する図である。図11の例では、有向グラフの有向辺e1及びe2が有向辺グラフ上では頂点となる。
図12及び図13は、non-backtracking operatorを説明する図である。図12のように、2つの有向辺連続する場合、(10)式は非零である。一方、図13のように、後戻りする接続関係は、(10)式では(1-δjk)により零になる。
行列Bは、向き付けられたグラフG=(V,→E)(→Eは、Eの直上に→)の有向辺e∈→Eを頂点とした有向辺グラフH=(→E,F)を表現する隣接行列(ただし、後戻りに相当する接続は除外)と考えることができる。
(10)式から、行列Bの重みξij,klはβhi\jを介してメッセージνに依存していることがわかる。これは、メッセージが更新される度に有向辺グラフH=(→E,F)の辺の重みが適応的に変化することを意味しており、解析が非常に困難である。
そこで、頂点のポテンシャル関数をψi(xi)=1.∀iと仮定する。これは、既知の頂点ラベルの情報を無視して、ポテンシャル関数が全て等しいと仮定することに相当する。この仮定により、行列Bの成分はBij,kl=tanh(βJijil(1-δil)のようにメッセージに依存しない形で書ける。
メッセージを並べたベクトルをν(t)∈R2|E|とすれば、メッセージの更新式はBを用いて(12)式のように書ける。
Figure 0007448022000012
(12)式は、初期値ν(0)をべき乗で拡大していく操作であるので、ハイパスフィルタと見なせる。また、メッセージνが収束したとき、確率変数xiの期待値mi:=pi(xi=+1)-pi(xi=-1)は、mik∈∂iwikνki と計算できる。
したがって、信念伝播法に基づくSybil検知手法は、頂点のポテンシャル関数が全て等しいという仮定の下では、初期値ν(0)をハイパスフィルタリングした後にメッセージをプーリング(集約)する操作であると解釈できる。
信号処理部154は、少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法によりグラフの頂点の評価値を更新する。
例えば、信号処理部154は、信念伝播法におけるメッセージを並べたベクトルを、グラフの有向辺の接続関係を表現した行列により更新して得られるメッセージを基に、評価値を更新する。つまり、信号処理部154は、(12)式により計算したメッセージを基に評価値を更新する。
また、信号処理部154は、頂点のポテンシャル関数が全て等しいという仮定の下、初期値をハイパスフィルタリングした後にプーリングすることにより得られたメッセージを基に、評価値を更新するということができる。
推定部155は、評価値を基に、グラフの頂点のラベルを推定する。例えば、推定部155は、評価値が0より大きい所定の閾値以上である頂点をSybilと推定することができる。
[第1の実施形態の処理]
図14は、検知装置の処理の流れを示すフローチャートである。図14に示すように、まず、検知装置10は、グラフデータ20の入力を受け付ける(ステップS101)。グラフデータ20の一部の頂点には、Sybilであるか否かを示すラベルが付与されているものとする。
次に、検知装置10は、グラフの頂点間の辺の向きを偏角に変換する(ステップS102)。例えば、検知装置10は、ある方向の辺を角度θに変換し、当該方向と反対方向の辺を角度-θに変換する。
検知装置10は、偏角を基にエルミート行列を生成する(ステップS103)。例えば、検知装置10は、変換済みの隣接行列を次数行列から引くことでエルミート行列を生成する。ここで、検知装置10は、Sybil検知を実行する(ステップS104)。
図15は、Sybilを検知する処理の流れを示すフローチャートである。図15の処理は、図14のステップS104に対応する。まず、検知装置10は、non-backtracking operatorの行列を用いて信念伝播法のメッセージを並べたベクトルを更新する更新式を作成する(ステップS201)。次に、検知装置10は、更新式によりメッセージを更新する(ステップS202)。そして、検知装置10は、メッセージから計算した評価値を基に各頂点のラベルを推定する(ステップS203)。
[第1の実施形態の効果]
これまで説明してきたように、第1の実施形態の検知装置10は、信号処理部154と推定部155を有する。信号処理部154は、少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法によりグラフの頂点の評価値を更新する。推定部155は、評価値を基に、グラフの頂点のラベルを推定する。このように、検知装置10は、グラフ信号処理を新年伝播法に適用する。このため、本実施形態によれば、Sybil検知の手法を信号処理的な枠組みで解釈することができる。
信号処理部154は、信念伝播法におけるメッセージを並べたベクトルを、グラフの有向辺の接続関係を表現した行列により更新して得られるメッセージを基に、評価値を更新する。これにより、グラフ信号処理を容易に信念伝播法に適用することができる。
信号処理部154は、頂点のポテンシャル関数が全て等しいという仮定の下、初期値をハイパスフィルタリングした後にプーリングすることにより得られたメッセージを基に、評価値を更新する。これにより、信念伝播法をグラフ信号処理として解釈することが可能になる。
本実施形態では、信念伝播法に基づくSybil検知手法を、元のグラフGではなく有向辺グラフH上でフィルタリングを行っている。通常のランダムウォークの場合、一度次数の大きい頂点に到達するとその近傍領域から抜け出すのに時間が掛かり、結果として定常分布が次数の高い頂点に局在してしまう。
一方で、本実施形態のような行列Bによるランダムウォークの場合、後戻りが禁止されている分だけ次数の大きい頂点の近傍に留まる確率が小さくなる。実際、後戻りを禁止したランダムウォークは通常のランダムウォークに比べてmixing rateが速くなることが知られている。このため、信念伝播法に基づくSybil検知は、次数に極端な偏りのあるグラフにおいても機能すると予想できる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、検知装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供する検知サーバ装置として実装することもできる。例えば、検知サーバ装置は、グラフデータを入力とし、Sybilである頂点を提供するサーバ装置として実装される。この場合、検知サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図16は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(BASIC Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、検知装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、検知装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 検知装置
11 通信部
12 入力部
13 出力部
14 記憶部
15 制御部
20 グラフデータ
20A、20D、20L 行列
30 分析結果
151 変換部
152 生成部
153 計算部
154 信号処理部
155 推定部

Claims (5)

  1. 少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法により前記グラフの頂点の評価値を更新する更新部と、
    前記評価値を基に、前記グラフの頂点のラベルを推定する推定部と、
    を有することを特徴とする検知装置。
  2. 前記更新部は、信念伝播法におけるメッセージを並べたベクトルを、グラフの有向辺の接続関係を表現した行列により更新して得られるメッセージを基に、前記評価値を更新することを特徴とする請求項1に記載の検知装置。
  3. 前記更新部は、頂点のポテンシャル関数が全て等しいという仮定の下、初期値をハイパスフィルタリングした後にプーリングすることにより得られたメッセージを基に、前記評価値を更新することを特徴とする請求項1に記載の検知装置。
  4. コンピュータによって実行される検知方法であって、
    少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法により前記グラフの頂点の評価値を更新する更新工程と、
    前記評価値を基に、前記グラフの頂点のラベルを推定する推定工程と、
    を含むことを特徴とする検知方法。
  5. コンピュータを、請求項1から3のいずれか1項に記載の検知装置として機能させるための検知プログラム。
JP2022550106A 2020-09-16 2020-09-16 検知装置、検知方法及び検知プログラム Active JP7448022B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/035154 WO2022059108A1 (ja) 2020-09-16 2020-09-16 検知装置、検知方法及び検知プログラム

Publications (2)

Publication Number Publication Date
JPWO2022059108A1 JPWO2022059108A1 (ja) 2022-03-24
JP7448022B2 true JP7448022B2 (ja) 2024-03-12

Family

ID=80776589

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022550106A Active JP7448022B2 (ja) 2020-09-16 2020-09-16 検知装置、検知方法及び検知プログラム

Country Status (3)

Country Link
US (1) US20230325440A1 (ja)
JP (1) JP7448022B2 (ja)
WO (1) WO2022059108A1 (ja)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090132213A1 (en) 2007-11-16 2009-05-21 Microsoft Corporation Method for modeling data structures using local contexts

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090132213A1 (en) 2007-11-16 2009-05-21 Microsoft Corporation Method for modeling data structures using local contexts

Also Published As

Publication number Publication date
US20230325440A1 (en) 2023-10-12
WO2022059108A1 (ja) 2022-03-24
JPWO2022059108A1 (ja) 2022-03-24

Similar Documents

Publication Publication Date Title
Nguyen et al. A novel graph-based approach for IoT botnet detection
Juvonen et al. Online anomaly detection using dimensionality reduction techniques for HTTP log analysis
Agarwal et al. Towards the unification and robustness of perturbation and gradient based explanations
Raff et al. Malware classification and class imbalance via stochastic hashed lzjd
Gao et al. Android malware detection via graphlet sampling
US11012454B1 (en) Detecting abnormal user behavior via temporally regularized tensor factorization
JP7448021B2 (ja) 検知装置、検知方法及び検知プログラム
US20170169215A1 (en) Identification of mislabeled samples via phantom nodes in label propagation
EP3816829B1 (en) Detection device and detection method
US11042637B1 (en) Measuring code sharing of software modules based on fingerprinting of assembly code
JP2019003274A (ja) 検知システム、検知方法及び検知プログラム
Hamza et al. A survey and taxonomy of program analysis for IoT platforms
Wang et al. A novel malware detection and classification method based on capsule network
US11675901B2 (en) Malware detection from operating system event tracing
JP7448022B2 (ja) 検知装置、検知方法及び検知プログラム
JP7310921B2 (ja) 検査装置、検査方法及び検査プログラム
WO2021005805A1 (ja) グラフ解析装置、グラフ解析方法及びグラフ解析プログラム
GB2619589A (en) Fuzz testing of machine learning models to detect malicious activity on a computer
Shafique et al. Machine learning empowered efficient intrusion detection framework
Hoskins et al. Inferring networks from random walk-based node similarities
Alazab et al. Malicious code detection using penalized splines on OPcode frequency
Cassavia et al. Federated learning for the efficient detection of steganographic threats hidden in image icons
Aslan et al. Analyzing and learning sparse and scale-free networks using Gaussian graphical models
Minz et al. Cyber Security Using Bayesian Attack Path Analysis
Fernandes et al. Digital signature to help network management using principal component analysis and K-means clustering

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240212

R150 Certificate of patent or registration of utility model

Ref document number: 7448022

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150