WO2021075009A1

WO2021075009A1 - 学習装置、推定装置、学習方法及び学習プログラム

Info

Publication number: WO2021075009A1
Application number: PCT/JP2019/040777
Authority: WO
Inventors: 充敏熊谷; 具治岩田
Original assignee: 日本電信電話株式会社
Priority date: 2019-10-16
Filing date: 2019-10-16
Publication date: 2021-04-22
Also published as: JPWO2021075009A1; JP7331938B2; US20220405585A1

Abstract

潜在表現計算部（１３１）は、第１のモデルを用いて、ドメインに属するサンプルから、ドメインの特徴を表す潜在表現を計算する。また、ドメイン別目的関数生成部（１３２）及び全ドメイン目的関数生成部（１３３）は、ドメインに属するサンプル、及び、潜在表現計算部（１３１）によって計算されたドメインの潜在表現から、サンプルの異常スコアを算出する第２のモデルに関する目的関数を生成する。また、更新部（１３４）は、ドメイン別目的関数生成部（１３２）及び全ドメイン目的関数生成部（１３３）によって計算された複数のドメインの目的関数が最適化されるように、第１のモデル及び第２のモデルを更新する。

Description

学習装置、推定装置、学習方法及び学習プログラム

　本発明は、学習装置、推定装置、学習方法及び学習プログラムに関する。

　異常検知とは、正常な大多数のサンプルとは振る舞いが異なるサンプルを異常として検知する技術を指す。異常検知は侵入検知、医療画像診断、産業システム監視等様々な実応用で利用されている。

　異常検知のアプローチには、半教師あり異常検知と呼ばれるものと、教師あり異常検知と呼ばれるものがある。半教師あり異常検知は、正常サンプルのみを用いて異常検知器を学習し、それを用いて異常検知を行う手法である。また、教師あり異常検知は、正常サンプルに加え、異常サンプルも併せて用いて異常検知器を学習する手法である。

　通常、教師あり異常検知は、正常及び異常の両方のサンプルを学習に用いるため、半教師あり異常検知に比べ高い性能を示すことが多い。これに対し、異常サンプルはその希少性から手に入れること自体が難しいことが多く、実問題では教師あり異常検知のアプローチは採用できないことが多い。

　一方、関心のあるドメイン（目標ドメインと呼ぶ）で異常サンプルが手に入らない場合であっても、関連するドメイン（関連ドメインと呼ぶ）であれば手に入るケースがある。例えば、サイバーセキュリティ分野では、複数顧客のネットワークを一元的に監視し、サイバー攻撃の兆候を検知するサービスがある。新規顧客のネットワーク（目標ドメイン）では攻撃を受けた際のデータ（異常サンプル）がない場合でも、長期に渡り監視してきた既存顧客のネットワーク（関連ドメイン）では手に入る可能性が高い。同様に、産業システムの監視においても、新たに導入したシステム（目標ドメイン）では異常サンプルは手に入らないが、長期稼働している既存システム（関連ドメイン）では手に入る可能性がある。

　以上のような状況から、目標ドメインの正常サンプルに加えて、複数の関連ドメインから得られる正常又は異常サンプルを用いることで異常検知器を学習する手法が提案されている。

　ニューラルネットワークを用いて事前に関連ドメインのサンプルから新たな特徴量を学習しておき、さらに、学習済みの特徴量と目標ドメインの正常サンプルを用いて、半教師あり異常検知法により異常検知器を学習する手法が知られている（例えば、非特許文献１を参照）。

　また、複数の関連ドメインの正常及び異常サンプルを用いて、正常サンプルの生成分布のパラメータから異常サンプルの生成分布のパラメータへの変換を行う関数を学習しておく手法が知られている（例えば、非特許文献２を参照）。この手法では、目標ドメインの正常サンプルの生成分布パラメータを学習済みの関数に入力することで、異常サンプルのパラメータを疑似的に生成し、正常及び異常の生成分布のパラメータを用いて目標ドメインに適した異常検知器を構築する。

J.　T.　Andrews,　T.　Tanay,　E.　J.　Morton,　L.　D.　Griffin.　"Transfer　representation-learning　for　anomaly　detection."In　Anomaly　Detection　Workshop　in　ICML,　2016. J.　Chen,　X.　Liu.　"Transfer　learning　with　one-class　data."　Pattern　Recognition　Letters,　37:32-40,　2014.

　しかしながら、これらの手法では実問題に適用する際に問題が生じる。具体的には、非特許文献１では、目標ドメインのサンプルを学習することなく精度の良い異常検知を行うことが困難な場合がある。例えば、近年のIoT（Internet　of　Things）の普及に伴い、センサーやカメラ、車と行ったIoTデバイス上で異常検知を行う事例が増えてきている。そのような事例において、目標ドメインのサンプルを学習することなく異常検知を行うことが求められる場合がある。

　例えば、IoTデバイスは十分な計算リソースを持たないため、目標ドメインのサンプルが取得できた場合であっても、これらの端末上で負担のかかる学習を行うことは難しい。また、IoTデバイスへのサイバー攻撃も急増しているが、IoTデバイスは多種多様（例えば、車、テレビ、スマホ等。車によっても車種によってデータの特徴は異なる）であり、続々と新たなIoTデバイスが世に放たれるため、新たなIoTデバイス（目標ドメイン）が現れる度に高コストな学習を行っていてはサイバー攻撃に則座に対応することはできない。

　非特許文献１に記載の手法は、目標ドメインの正常サンプルが学習時に利用可能であることを前提としたものであるため、上述の問題が生じる。また、非特許文献２に記載の手法では事前にパラメータの変換関数を学習しておくことで、目標ドメインのサンプルが与えられた際に即座に（学習することなく）異常検知が実行できる。しかしながら、関連ドメインの異常サンプルの生成分布を推定しておく必要があるため、異常サンプルが少量しか手に入らない場合、精度良く生成分布を作成できず、精度の良い異常検知を行うことは困難である。

　上述した課題を解決し、目的を達成するために、本発明の学習装置は、第１のモデルを用いて、ドメインに属するサンプルから、前記ドメインの特徴を表す潜在表現を計算する潜在表現計算部と、ドメインに属するサンプル、及び、前記潜在表現計算部によって計算された前記ドメインの潜在表現から、前記サンプルの異常スコアを算出する第２のモデルに関する目的関数を生成する目的関数生成部と、前記目的関数生成部によって計算された複数のドメインの目的関数が最適化されるように、前記第１のモデル及び前記第２のモデルを更新する更新部と、を有することを特徴とする。

　本発明によれば、目標ドメインのサンプルを学習することなく精度の良い異常検知を行うことができる。

図１は、第１の実施形態に係る学習装置及び推定装置の構成例を示す図である。図２は、学習部の構成例を示す図である。図３は、推定部の構成例を示す図である。図４は、学習処理及び推定処理を説明するための図である。図５は、第１の実施形態に係る学習装置の処理の流れを示すフローチャートである。図６は、第１の実施形態に係る推定装置の処理の流れを示すフローチャートである。図７は、学習プログラム又は推定プログラムを実行するコンピュータの一例を示す図である。

　以下に、本願に係る学習装置、推定装置、学習方法及び学習プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。

［第１の実施形態の構成］
　図１を用いて、第１の実施形態に係る学習装置及び推定装置の構成について説明する。図１は、第１の実施形態に係る学習装置及び推定装置の構成例を示す図である。なお、学習装置１０及び推定装置２０は1つの装置として構成されるものであってもよい。

　まず、学習装置１０の構成について説明する。図１に示すように、学習装置１０は、入力部１１、抽出部１２、学習部１３及び記憶部１４を有する。また、目標ドメインは、異常検知の対象となるドメインである。また、関連ドメインは、目標ドメインに関連するドメインである。

　入力部１１は、複数ドメインのサンプルの入力を受け付ける。入力部１１には、関連ドメインの正常サンプルのみ、又は正常サンプル及び異常サンプルの両方が入力される。また、入力部１１には、目標ドメインの正常サンプルが入力されてもよい。

　抽出部１２は、入力された各サンプルを特徴ベクトルとラベルの組に変換する。ここで、特徴ベクトルとは、必要なデータの特徴をn次元の数ベクトルで表記したものである。抽出部１２は、機械学習で一般的に用いられている手法を利用することができる。例えば、抽出部１２は、データがテキストの場合には、形態素解析による変換、n-gramによる変換、区切り文字による変換等を行うことができる。また、ラベルとは「異常」及び「正常」を表すタグである。

　学習部１３は、特徴抽出後のサンプルデータを用いて、各ドメインの正常サンプル集合から、当該ドメインに適した異常検知器を出力する「異常検知器予測器」（以下、単に予測器と呼ぶ場合がある）を学習する。ベースとなる異常検知器としては、オートエンコーダ、ガウス混合モデル（GMM）、kNN等の半教師あり異常検知で用いられる手法を用いることができる。

　図２は、学習部の構成例を示す図である。図２に示すように、学習部１３は、潜在表現計算部１３１、ドメイン別目的関数生成部１３２、全ドメイン目的関数生成部１３３及び更新部１３４を有する。学習部１３の各部の処理については後述する。

　次に、推定装置２０の構成について説明する。図１に示すように、推定装置２０は、入力部２１、抽出部２２、推定部２３及び出力部２５を有する。入力部２１には、目標ドメインの正常サンプル集合、又は目標ドメインのテストサンプル集合が入力される。テストサンプル集合は、正常であるか異常であるかが未知のサンプルである。なお、推定装置２０は、１度正常サンプル集合を受け取った後であれば、テストサンプルを受け取ることにより検知を実行することができる。

　抽出部２２は、抽出部１２と同様に、入力された各サンプルを特徴ベクトルとラベルの組に変換する。推定部２３は、学習済みの予測器を用いて、正常サンプル集合から異常検知器を出力する。推定部２３は、得られた異常検知器を用いて、テストサンプルが異常であるか正常であるかを推定する。また、推定部２３は、異常検知器を保存しておき、以降、目標ドメインのテストサンプルが入力された場合は保存済みの異常検知器を用いて推定を行うことができる。

　出力部２５は検知結果を出力する。例えば、出力部２５は、推定部２３の推定結果を基に、テストサンプルが異常であるか正常であるかを出力する。また、出力部２５は、推定部２３が異常と推定したテストサンプルの一覧を検知結果として出力してもよい。

　図３は、推定部の構成例を示す図である。図３に示すように、推定部２３は、モデル取得部２３１、潜在表現計算部２３２及びスコア計算部２３３を有する。推定部２３の各部の処理については後述する。

　ここで、学習装置１０による学習処理及び推定装置２０による推定処理を詳細に説明する。図４は、学習処理及び推定処理を説明するための図である。図４のTarget　domainは目標ドメインである。また、Source　domain　1及びSource　domain　2は、関連ドメインである。

　図４に示すように、学習装置１０は、各ドメインの正常サンプル集合から、ドメインの特徴を表す潜在ドメインベクトルz_dを計算し、潜在ドメインベクトルを用いて、異常検知器を生成する予測器の学習を行う。そして、推定装置２０は、目標ドメインの正常サンプルが与えられれば、学習済みの予測器を用いて目標ドメインに適した異常検知器を生成し、当該生成した異常検知器を用いてテストサンプル（anomalous（test））の異常検知を行うことができる。このため、予測器が学習済みであれば、推定装置２０は、目標ドメインの再学習を行う必要がない。

　ここで、d番目の関連ドメインの異常サンプル集合を（1-1）式で表すものとする。また、x_dnは、d番目の関連ドメインのn番目の異常サンプルのM次元特徴ベクトルである。同様に、d番目の関連ドメインの正常サンプル集合を（1-2）式で表すものとする。また、各関連ドメインにおいて、異常サンプルは正常サンプルに比べて極端に少ないものとする。つまり、N_d ⁺を異常サンプルの数、N_d ^-を正常サンプルの数とすると、N_d ⁺<<N_d ^-が成り立つ。

　今、（2-1）式に示すD_s種の関連ドメインの異常サンプル及び正常サンプルと、（2-2）式に示すD_T種の目標ドメインの正常サンプルが与えられたとする。ここで、学習部１３は、アノマリスコアを計算する関数s_dを生成するための処理を行う。なお、関数s_dは、ドメインdのサンプルxを入力すると、サンプルxの異常さの度合いを表す異常スコアを出力する関数である。以降、このような関数s_dを、アノマリスコア関数と呼ぶ。

　本実施形態のアノマリスコア関数は、一般的なオートエンコーダ（AE:　Autoencoder）を基にしたものである。なお、アノマリスコア関数は、AEだけでなく、GMM（Gaussian　mixture　model）やVAE（Variational　AE）等の任意の半教師あり異常検知手法を基にしたものであってもよい。

　一般的なオートエンコーダの学習は、N個のサンプルX={x₁,　…,　x_N}が与えられたとき、（3）式の目的関数を最適化することにより行われる。

　Fはエンコーダと呼ばれるニューラルネットワークである。また、Gはデコーダと呼ばれるニューラルネットワークである。通常、Fの出力は入力ｘの次元よりも小さい次元が設定される。オートエンコーダでは、xを入力した際、Fによりxを低次元に変換した後、Gによりxが再び復元される。

　Xが正常サンプル集合であるとき、オートエンコーダはXを正しく復元することができる。一方、Xが異常サンプル集合であるとき、オートエンコーダはXを正しく復元することができないことが期待できる。このため、一般的なオートエンコーダでは、（4）式に示す再構成誤差をアノマリスコア関数として用いることができる。

　本実施形態では、各ドメインの特性を効率的に表現するため、d番目のドメインはK次元の潜在表現z_dを持つと仮定する。潜在表現z_dを表すK次元のベクトルを潜在ドメインベクトルと呼ぶ。本実施形態のアノマリスコア関数は、潜在ドメインベクトルを用いて（5）式のように定義される。なお、アノマリスコア関数s_θは、第２のモデルの一例である。

　ここで、θ=（θ_F,θ_G）はエンコーダF及びデコーダGのパラメータである。（5）式に示すように、エンコーダFは潜在ドメインベクトルに依存しているため、本実施形態では、z_dを変化させることで、各ドメインのアノマリスコア関数の特性を変化させることができる。

　潜在ドメインベクトルz_dは未知であるため、学習部１３は、与えられたデータから潜在ドメインベクトルz_dを推定する。ここでは、潜在ドメインベクトルz_dを推定するためのモデルとして、（6）式のガウス分布を仮定する。

　ここで、ガウス分布の平均関数と共分散関数はそれぞれパラメータφのニューラルネットワークでモデル化される。パラメータφのニューラルネットワークにドメインｄの正常サンプル集合X_d ^-を入力すると、当該ドメインに対応した潜在ドメインベクトルz_dのガウス分布が得られる。

　潜在表現計算部１３１は、第１のモデルを用いて、ドメインに属するサンプルから、ドメインの特徴を表す潜在表現を計算する。すなわち、第１のモデルの一例であるパラメータφのニューラルネットワークを用いて、潜在ドメインベクトルz_dを計算する。

　ガウス分布は、平均関数及び共分散関数によって表される。また、平均関数及び共分散関数は、（7）式に示すアーキテクチャで表現される。（7）式のτは、平均関数又は共分散関数である。また、ρ及びηは、任意のニューラルネットワークである。

　そこで、潜在表現計算部１３１は、平均関数及び共分散関数のそれぞれが、ドメインに属するサンプルのそれぞれをρに入力して得られる出力の総和を、さらにηに入力して得られる出力、として表されるガウス分布に従う潜在表現を計算する。このとき、ηは、第１のニューラルネットワークの一例である。また、ρは、第２のニューラルネットワークの一例である。

　例えば、潜在表現計算部１３１は、ニューラルネットワークρ_ave及びη_aveを持つ平均関数τ_aveによりτ_ave（X_d ^-）を計算する。また、潜在表現計算部１３１は、ニューラルネットワークρ_cov及びη_covを持つ共分散関数τ_covによりτ_cov（X_d ^-）を計算する。

　（7）式のアーキテクチャによる関数は、サンプル集合の順番によらず常に一定の出力を返すことができる。すなわち、（7）式のアーキテクチャによる関数は、集合を入力とすることができる。なお、この形のアーキテクチャは、平均や最大値のプーリングも表現可能である。

　ドメイン別目的関数生成部１３２及び全ドメイン目的関数生成部１３３は、ドメインに属するサンプル、及び、潜在表現計算部１３１によって計算されたドメインの潜在表現から、サンプルの異常スコアを算出する第２のモデルに関する目的関数を生成する。つまり、ドメイン別目的関数生成部１３２及び全ドメイン目的関数生成部１３３は、関連ドメイン及び目標ドメインの正常サンプルと潜在表現ベクトルz_dから、アノマリスコア関数s_θの学習を行うための目的関数を生成する。

　ドメイン別目的関数生成部１３２は、d番目の関連ドメインの目的関数を（8）式のように生成する。ここで、λは正の実数、fはシグモイド関数である。（8）式の目的関数の第１項は正常サンプルの異常スコアの平均である。また、第２項はAUC（Area　Under　the　Curve）の連続近似であり、異常サンプルのスコアが正常サンプルのスコアよりも大きくなるときに最小化される。（8）式の目的関数を最小化することで、正常サンプルの異常スコアは小さく、異常サンプルの異常スコアは正常サンプルのものよりも大きくなるよう学習される。

　アノマリスコア関数s_θは再構成誤差である。このため、ドメイン別目的関数生成部１３２は、潜在表現を入力可能なオートエンコーダに、サンプル及び潜在表現計算部１３１によって計算された潜在表現を入力したときの再構成誤差を基に目的関数を生成するということができる。

　（8）式の目的関数は潜在ドメインベクトルz_dで条件づけられていた。潜在ドメインベクトルはデータから推定されるものであるため、推定に関する不確実性が伴う。そこで、ドメイン別目的関数生成部１３２は、（9）式に示すように、（8）式の期待値に基づく新たな目的関数を生成する。

　（9）式の第１項は、（8）式の目的関数の期待値であり、潜在ドメインベクトルz_dが取り得る全ての確率、すなわち不確実性を考慮した量であるため、ロバストな推定が可能となる。なお、ドメイン別目的関数生成部１３２は、潜在ドメインベクトルz_dの確率について（8）式の目的関数の積分を行うことで期待値を得ることができる。このように、ドメイン別目的関数生成部１３２は、分布に従う潜在表現の期待値を用いて目的関数を生成することができる。

　また、（9）式の目的関数の第２項は、潜在ドメインベクトルのオーバーフィットを防ぐ正則化項であり、βは正則化の強さを指定する。また、P（z_d）は標準ガウス分布であり、事前分布として働く。（9）式の目的関数を最小化することで、事前分布の制約を守りながら、ドメインｄにおいて、異常サンプルのスコアを高く、正常サンプルのスコアが低くなるような潜在ドメインベクトルz_dを出力できるよう、パラメータφが学習される。

　なお、目標ドメインの正常サンプルが得られた場合、ドメイン別目的関数生成部１３２は、（10）式のように、正常サンプルの異常スコアの平均に基づいて目的関数を生成することができる。（10）式の目的関数は、（8）式からAUCの連続近似を除いたものを基にしている。このため、ドメイン別目的関数生成部１３２は、正常サンプルの異常スコアの平均を計算する関数、又は、正常サンプルの異常スコアの平均からAUCの近似を引く関数を目的関数として生成することができる。

　さらに、全ドメイン目的関数生成部１３３は、（11）式のように、全ドメインについての目的関数を生成する。

　ここで、α_dはドメインｄの重要度を表す正の実数である。（11）式の目的関数は微分可能であり、任意のgradient-basedな最適化手法により最小化可能である。また、（11）式の目的関数は様々なケースを含む。例えば、目標ドメインのサンプルが学習時に得られない場合、全ドメイン目的関数生成部１３３は、目標ドメインに対してはα_d=0とし、関連ドメインに対してはα_d=1とすればよい。なお、本実施形態では、目標ドメインのサンプルが学習時に得られない場合であっても、目標ドメインに適したアノマリスコア関数を出力することが可能である。

　更新部１３４は、ドメイン別目的関数生成部１３２及び全ドメイン目的関数生成部１３３によって計算された複数のドメインの目的関数が最適化されるように、第１のモデル及び第２のモデルを更新する。

　本実施形態における第１のモデルは、潜在ドメインベクトルz_dを計算するための、パラメータφを持つニューラルネットワークである。このため、更新部１３４は、平均関数のニューラルネットワークρ_ave及びη_aveのパラメータを更新し、また、共分散関数のニューラルネットワークρ_cov及びη_covのパラメータを更新する。また、第２のモデルはアノマリスコア関数なので、更新部１３４は、アノマリスコア関数のパラメータθを更新する。また、更新部１３４は、更新した各パラメータを予測器として記憶部１４に格納する。

　図３に戻り、モデル取得部２３１は、学習装置１０の記憶部１４から予測器、すなわち潜在ドメインベクトルを計算するための関数のパラメータφ_*、及びアノマリスコア算出関数のパラメータθ_*を取得する。

　スコア計算部２３３は、目標ドメインd´の正常サンプル集合X_d´ ^-から、（12）式のようにアノマリスコア関数を得る。実際には、スコア計算部２３３は、（12）式の第３辺の近似式をアノマリスコアとして使用する。第３辺の近似式は、L個の潜在ドメインベクトルをランダムに得ることを示している。

　このとき、（12）式に示すように、潜在表現計算部２３２は、パラメータφ_*を基に、L個の潜在ドメインベクトルのそれぞれについてμ及びσを計算する。また、ここで入力される目標ドメインの正常サンプル集合は、学習時に用いられたものであってもよいし、学習時に用いられたものでなくてもよい。

　このように、潜在表現計算部２３２は、ドメインに属するサンプルから、ドメインの特徴を表す潜在表現を計算する第１のモデルを用いて、目標ドメインに関連する複数の関連ドメインの潜在表現を計算する。

　スコア計算部２３３は、（12）式の第３辺に目標ドメインのテストサンプルを入力して得られたスコアが閾値以上であるか否かによって、当該テストサンプルが正常であるか異常であるかを推定する。

　つまり、スコア計算部２３３は、アノマリスコア関数に、関連ドメインのL個の潜在表現のそれぞれを目標ドメインのサンプルxd´とともに入力し、アノマリスコア関数から得られるL個の異常スコアの平均を計算する。

［第１の実施形態の処理］
　図５は、第１の実施形態に係る学習装置の処理の流れを示すフローチャートである。図５に示すように、学習装置１０は、複数ドメインのサンプルを入力として受け取る（ステップＳ１０１）。ここでの複数ドメインには、目標ドメインが含まれていてもよいし、含まれていなくてもよい。

　次に、学習装置１０は、各ドメインのサンプルを特徴ベクトル、ラベルの組に変換する（ステップＳ１０２）。そして、学習装置１０は、各ドメインの正常サンプル集合から、ドメイン固有の異常検知器を出力する予測器を学習する（ステップＳ１０３）。

　図６は、第１の実施形態に係る推定装置の処理の流れを示すフローチャートである。図６に示すように、推定装置２０は、目標ドメインの正常サンプル集合及びテストサンプルを入力として受け取る（ステップＳ１０４）。次に、推定装置２０は、各データを特徴ベクトルに変換する（ステップＳ１０５）。

　ここで、推定装置２０は、異常検知予測器を用いて異常検知器を出力し、出力した異常検知器を用いて、各テストサンプルの検知を実行し（ステップＳ１０６）、検知結果を出力する（ステップＳ１０７）。つまり、推定装置２０は、目標ドメインの正常サンプルから潜在特徴ベクトルを計算し、当該潜在特徴ベクトルを用いてアノマリスコア関数を生成し、当該アノマリスコア関数にテストサンプルを入力することで、異常であるか正常であるかの推定を行う。

［第１の実施形態の効果］
　これまで説明してきたように、潜在表現計算部１３１は、第１のモデルを用いて、ドメインに属するサンプルから、ドメインの特徴を表す潜在表現を計算する。また、ドメイン別目的関数生成部１３２及び全ドメイン目的関数生成部１３３は、ドメインに属するサンプル、及び、潜在表現計算部１３１によって計算されたドメインの潜在表現から、サンプルの異常スコアを算出する第２のモデルに関する目的関数を生成する。また、更新部１３４は、ドメイン別目的関数生成部１３２及び全ドメイン目的関数生成部１３３によって計算された複数のドメインの目的関数が最適化されるように、第１のモデル及び第２のモデルを更新する。このように、学習装置１０は、異常スコアを算出する第２のモデルを予測可能な第１のモデルを学習しておくことができる。そして、推定時には、学習済みの第１のモデルから第２のモデルを予測することができる。このため、学習装置１０によれば、目標ドメインのサンプルを学習することなく精度の良い異常検知を行うことができる。

　また、潜在表現計算部１３１は、平均関数及び分散関数のそれぞれが、ドメインに属するサンプルのそれぞれを第１のニューラルネットワークに入力して得られる出力の総和を、さらに第２のニューラルネットワークに入力して得られる出力、として表されるガウス分布に従う潜在表現を計算することができる。このように、学習装置１０は、ニューラルネットワークを使って潜在表現を算出することができる。このため、学習装置１０は、学習装置１０は、ニューラルネットワークの学習手法を利用して第１のモデルの精度を向上させることができる。

　また、更新部１３４は、第１のモデルとして、平均関数及び分散関数のそれぞれについて、第１のニューラルネットワーク及び第２のニューラルネットワークを更新することができる。このように、学習装置１０は、ニューラルネットワークの学習手法を利用して第１のモデルの精度を向上させることができる。

　また、ドメイン別目的関数生成部１３２は、分布に従う潜在表現の期待値を用いて目的関数を生成することができる。このため、学習装置１０は、潜在表現が確率分布のような不確実性を有するもので表される場合であっても、目的関数を得ることができる。

　また、ドメイン別目的関数生成部１３２は、正常サンプルの異常スコアの平均を計算する関数、又は、正常サンプルの異常スコアの平均からAUCの近似を引く関数を目的関数として生成することができる。このため、学習装置１０は、異常サンプルがない場合でも目的関数を得ることができ、異常サンプルがある場合はさらに精度の良い目的関数を得ることができる。

　また、ドメイン別目的関数生成部１３２は、潜在表現を入力可能なオートエンコーダに、サンプル及び潜在表現計算部１３１によって計算された潜在表現を入力したときの再構成誤差を基に目的関数を生成することができる。このため、学習装置１０は、オートエンコーダの学習手法を利用して第２のモデルの精度を向上させることができる。

　また、潜在表現計算部２３２は、ドメインに属するサンプルから、ドメインの特徴を表す潜在表現を計算する第１のモデルを用いて、目標ドメインに関連する複数の関連ドメインの潜在表現を計算することができる。このとき、スコア計算部２３３は、ドメインに属するサンプル、及び、第１のモデルを用いてによって計算されたドメインの潜在表現からサンプルの異常スコアを算出する第２のモデルに、関連ドメインの潜在表現のそれぞれを目標ドメインのサンプルとともに入力し、第２のモデルから得られる異常スコアの平均を計算する。このように、推定装置２０は、正常サンプルの再学習を行うことなくアノマリスコア関数を得ることができる。さらに、推定装置２０は、１度得られたアノマリスコア関数を用いて、目標ドメインのテストサンプルの異常スコアを算出することができる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　一実施形態として、学習装置１０及び推定装置２０は、パッケージソフトウェアやオンラインソフトウェアとして上記の学習処理を実行する学習プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の学習プログラムを情報処理装置に実行させることにより、情報処理装置を学習装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。

　また、学習装置１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の学習処理に関するサービスを提供する学習サーバ装置として実装することもできる。例えば、学習サーバ装置は、グラフデータを入力とし、グラフ信号処理又はグラフデータの分析結果を出力とする学習サービスを提供するサーバ装置として実装される。この場合、学習サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の学習処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図７は、学習プログラム又は推定プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、CPU１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM１０１２を含む。ROM１０１１は、例えば、BIOS（BASIC　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、学習装置１０又は推定装置２０の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、学習装置１０又は推定装置２０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSDにより代替されてもよい。

　また、上述した実施形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、CPU１０２０は、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して、上述した実施形態の処理を実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してCPU１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してCPU１０２０によって読み出されてもよい。

　１０　学習装置
　１１、２１　入力部
　１２、２２　抽出部
　１３　学習部
　１４　記憶部
　２０　推定装置
　２３　推定部
　２５　出力部
　１３１、２３２　潜在表現計算部
　１３２　ドメイン別目的関数生成部
　１３３　全ドメイン目的関数生成部
　１３４　更新部
　２３１　モデル取得部
　２３３　スコア計算部

Claims

　第１のモデルを用いて、ドメインに属するサンプルから、前記ドメインの特徴を表す潜在表現を計算する潜在表現計算部と、
　ドメインに属するサンプル、及び、前記潜在表現計算部によって計算された前記ドメインの潜在表現から、前記サンプルの異常スコアを算出する第２のモデルに関する目的関数を生成する目的関数生成部と、
　前記目的関数生成部によって計算された複数のドメインの目的関数が最適化されるように、前記第１のモデル及び前記第２のモデルを更新する更新部と、
　を有することを特徴とする学習装置。
　前記潜在表現計算部は、平均関数及び共分散関数のそれぞれが、ドメインに属するサンプルのそれぞれを第１のニューラルネットワークに入力して得られる出力の総和を、さらに第２のニューラルネットワークに入力して得られる出力、として表されるガウス分布に従う潜在表現を計算し、
　前記更新部は、前記第１のモデルとして、平均関数及び共分散関数のそれぞれについて、前記第１のニューラルネットワーク及び前記第２のニューラルネットワークを更新することを特徴とする請求項１に記載の学習装置。
　前記目的関数生成部は、分布に従う潜在表現の期待値を用いて前記目的関数を生成することを特徴とする請求項１又は２に記載の学習装置。
　前記目的関数生成部は、正常サンプルの異常スコアの平均を計算する関数、又は、正常サンプルの異常スコアの平均からAUC（Area　Under　the　Curve）の近似を引く関数を目的関数として生成することを特徴とする請求項１から３のいずれか１項に記載の学習装置。
　前記目的関数生成部は、潜在表現を入力可能なオートエンコーダに、サンプル及び前記潜在表現計算部によって計算された潜在表現を入力したときの再構成誤差を基に前記目的関数を生成することを特徴とする請求項１から４のいずれか１項に記載の学習装置。
　ドメインに属するサンプルから、前記ドメインの特徴を表す潜在表現を計算する第１のモデルを用いて、目標ドメインに関連する複数の関連ドメインの潜在表現を計算する潜在表現計算部と、
　ドメインに属するサンプル、及び、前記第１のモデルを用いてによって計算された前記ドメインの潜在表現から前記サンプルの異常スコアを算出する第２のモデルに、前記関連ドメインの潜在表現のそれぞれを前記目標ドメインのサンプルとともに入力し、前記第２のモデルから得られる異常スコアの平均を計算するスコア計算部と、
　を有することを特徴とする推定装置。
　コンピュータによって実行される学習方法であって、
　第１のモデルを用いて、ドメインに属するサンプルから、前記ドメインの特徴を表す潜在表現を計算する潜在表現計算工程と、
　ドメインに属するサンプル、及び、前記潜在表現計算工程によって計算された前記ドメインの潜在表現から、前記サンプルの異常スコアを算出する第２のモデルに関する目的関数を生成する目的関数生成工程と、
　前記目的関数生成工程によって計算された複数のドメインの目的関数が最適化されるように、前記第１のモデル及び前記第２のモデルを更新する更新工程と、
　を含むことを特徴とする学習方法。
　コンピュータを、請求項１から５のいずれか１項に記載の学習装置として機能させるための学習プログラム。