WO2022059108A1

WO2022059108A1 - 検知装置、検知方法及び検知プログラム

Info

Publication number: WO2022059108A1
Application number: PCT/JP2020/035154
Authority: WO
Inventors: 諭史古谷; 俊樹芝原; 満昭秋山
Original assignee: 日本電信電話株式会社
Priority date: 2020-09-16
Filing date: 2020-09-16
Publication date: 2022-03-24
Also published as: US20230325440A1; JP7448022B2; JPWO2022059108A1

Abstract

検知装置（１０）は、信号処理部（１５４）と推定部（１５５）を有する。信号処理部（１５４）は、少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法によりグラフの頂点の評価値を更新する。推定部（１５５）は、評価値を基に、グラフの頂点のラベルを推定する。

Description

検知装置、検知方法及び検知プログラム

　本発明は、検知装置、検知方法及び検知プログラムに関する。

　主に無向グラフを中心に適用されていたグラフ信号処理を、有向グラフに適用できるように拡張する方法が提案されている（例えば、非特許文献１を参照）。例えば、非特許文献１に記載の方法によれば、グラフフーリエ変換、グラフフィルタリング又はグラフウェーブレット変換といったグラフ信号処理を、有向グラフに対して行うことができる。

　また、実際のネットワークを基にしたグラフデータを分析することにより、ネットワークに含まれる悪性のノードを検知するSybil検知と呼ばれる手法が知られている。例えば、Sybil検知は、ボットネットの検知、及びソーシャルネットワーキングサービス（ＳＮＳ、social　networking　service）におけるスパムユーザの検知等に用いられる。

S.Furutani　et.al,　"Graph　Signal　Processing　for　Directed　Graphs　based　on　the　Hermitian　Laplacian,"　ECML/PKDD　2019,　June　2019.

　Sybil検知には、ランダムウォーク、信念伝播法（ＢＰ、Belief　Propagation）といった複数の手法が存在する。一方で、グラフ信号処理をSybil検知に応用する方法はこれまで提案されていない。このため、複数のSybil検知の手法を共通の信号処理的な枠組みで解釈することは困難である。

　例えば、Sybil検知の各手法を共通の信号処理的な枠組みで比較できれば、精度や拡張性といった表面的な枠組みでの比較だけでは得られなかった知見が得られるようになり、新たな手法の開発や既存手法の改良が期待できる。

　上述した課題を解決し、目的を達成するために、検知装置は、少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法により前記グラフの頂点の評価値を更新する更新部と、前記評価値を基に、前記グラフの頂点のラベルを推定する推定部と、を有することを特徴とする。

　本発明によれば、Sybil検知の手法を信号処理的な枠組みで解釈することができる。

図１は、第１の実施形態に係る検知装置の構成例を示す図である。図２は、無向グラフの表現の例を示す図である。図３は、有向グラフの表現の例を示す図である。図４は、辺の変換方法を説明するための図である。図５は、辺の変換方法を説明するための図である。図６は、辺の変換方法を説明するための図である。図７は、グラフラプラシアンを説明するための図である。図８は、行列の生成方法を説明するための図である。図９は、グラフ分析技術の拡張について説明するための図である。図１０は、信念伝播法について説明するための図である。図１１は、有向辺を頂点とするグラフを説明する図である。図１２は、non-backtracking　operatorを説明する図である。図１３は、non-backtracking　operatorを説明する図である。図１４は、検知装置の処理の流れを示すフローチャートである。図１５は、Sybilを検知する処理の流れを示すフローチャートである。図１６は、検知プログラムを実行するコンピュータの一例を示す図である。

　以下に、本願に係る検知装置、検知方法及び検知プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。

［第１の実施形態の構成］
　まず、図１を用いて、第１の実施形態に係る検知装置の構成について説明する。図１は、第１の実施形態に係る検知装置の構成の一例を示す図である。図１に示すように、検知装置１０は、入力されたグラフデータ２０を分析し、所定の頂点を検知した結果を分析結果３０として出力する。

　ここで、本実施形態では、検知装置１０はSybilを検知するものとする。Sybilとは、スパムやクリック詐欺、フィッシング、他人へのなりすまし等の悪質な行為を目的に作成されるユーザであり、ＳＮＳやレビューサイトの品質を悪化させるセキュリティ上の脅威である。

　Sybil検知においては、ユーザ間の関係性が注目される場合がある。例えば、Twitter（登録商標）において、正規のユーザがスパム等を行うSybilと繋がろうとする動機は薄い。このため、正規ユーザは正規ユーザ同士で密に繋がってコミュニティ構造を形成することが期待される。一方、フォロワー数の多寡はアカウントの影響力や信頼性に強く影響を及ぼすため、SybilはSybil同士で互いに繋がり合ってフォロワー数を嵩増しし、コミュニティ構造を形成することが期待される。そのため、正規ユーザとSybilのコミュニティ構造を適切に分離することによって正規ユーザとSybilを区別することができると考えられる。

　Sybil検知の手法として、ユーザを頂点とするグラフに付与された既知ラベルに基づいて事前評価値を設定し、頂点の評価値を局所的に更新及び伝播していくことで決定した未知の頂点の評価値を基に、Sybilであるか否かを判定する手法が知られている。また、非特許文献１には、有向グラフに対してグラフ信号処理を適用する方法が開示されている。

　そこで、本実施形態の検知装置１０は、グラフ信号処理を使ってSybil検知を行う。これにより、例えば、既存のSybil検知手法をグラフ信号処理的に再解釈することができる。また、再解釈の結果は、新たなSybil検知手法の開発、及び既存のSybil検知手法の改良に有用であると考えられる。

　上述のSybil検知問題は、既知の頂点ラベルから未知の頂点ラベルを推定する半教師あり問題であると見なすことができる。このとき、既知の頂点ラベルについて、Sybilであれば+1、正規（Sybilでない）であれば-1という信号値を割り当て、ラベルが未知の頂点については0を割り当てるものとする。そうすると、Sybil検知問題は一部の信号値が欠損（0）しているようなグラフ信号が与えられたときに真のグラフ信号を復元する問題であると解釈することができる。

　この観察に基づき、本実施形態では、信念伝播法に基づくSybil検知手法をフィルタリングとして定式化する。これにより、既存のSybil検知手法をグラフ信号処理的に統合し再解釈することができる。

　グラフデータ２０は、所定の方法でグラフを表現したデータである。本実施形態では、グラフデータ２０は隣接行列により表現されるものとする。例えば、無向グラフは、図２に示すような隣接行列で表される。図２は、無向グラフの表現の例を示す図である。また、有向グラフは、図３に示すような隣接行列で表される。図３は、有向グラフの表現の例を示す図である。

　ここで、グラフデータ２０を表現する隣接行列を以下のように定義する。まず、グラフの頂点間に辺が存在しない場合、当該辺に対応する隣接行列の成分は0とする。次に、グラフの頂点間に無向辺が存在する場合、当該辺に対応する隣接行列の成分は1とする。また、グラフの任意の頂点iから頂点jへの有向辺が存在する場合、隣接行列の（i,j）成分は1とし、（j,i）成分は0とする。

　例えば、図２の無向グラフには、頂点1-2間に向きのない辺が存在する。このため、図２の隣接行列の(1,2)成分及び(2,1)成分が1となっている。つまり、無向グラフの隣接行列において、任意の(i,j)成分と(j,i)成分は同じ値となる。このように、無向グラフを表現する隣接行列は対称行列となる。

　また、例えば、図３の有向グラフには、頂点1-2間には頂点1から頂点2への有向辺が存在するため、行列の(1,2)成分には1となる。一方で、頂点2から頂点1への有向辺は存在しないため、(2,1)成分は0となる。このため、有向グラフを表現する隣接行列は非対称行列となる。

　一般に、非対称行列は対称行列と比べて代数的取り扱いが困難であり、このためにグラフ信号処理を含む多くのグラフ分析技術は無向グラフに適用を制限される。なお、グラフデータ２０は、グラフを表すものであれば、どのようなデータであってもよい。

　例えば、グラフデータ２０は、Twitter（登録商標）におけるユーザ（頂点）のフォロー/フォロワー関係（辺）をグラフとして表現したものであってもよいし、マルウェアの実行コードにおいて、関数の呼び出し関係をグラフとして表現したものであってもよい。また、本実施形態の分析手法は、無向グラフのグラフ分析手法を有向グラフへ拡張したものであるので、無向グラフにも適用可能である。

　検知装置１０は、有向グラフに対してSybil検知を実行することができる。例えば、分析結果３０は、グラフデータ２０の各頂点に対応するユーザごとの、Sybilであるか否かを表すラベルである。

　ここで、検知装置１０の各部について説明する。図１に示すように、検知装置１０は、通信部１１、入力部１２、出力部１３、記憶部１４及び制御部１５を有する。

　通信部１１は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部１１はＮＩＣ（Network　Interface　Card）である。入力部１２は、ユーザからのデータの入力を受け付ける。入力部１２は、例えば、マウスやキーボード等の入力装置である。出力部１３は、画面の表示等により、データを出力する。出力部１３は、例えば、ディスプレイ等の表示装置である。

　記憶部１４は、HDD（Hard　Disk　Drive）、SSD（Solid　State　Drive）、光ディスク等の記憶装置である。なお、記憶部１４は、RAM（Random　Access　Memory）、フラッシュメモリ、NVSRAM（Non　Volatile　Static　Random　Access　Memory）等のデータを書き換え可能な半導体メモリであってもよい。記憶部１４は、検知装置１０で実行されるOS（Operating　System）や各種プログラムを記憶する。

　制御部１５は、検知装置１０全体を制御する。制御部１５は、例えば、CPU（Central　Processing　Unit）、ＭＰＵ（Micro　Processing　Unit）等の電子回路や、ASIC（Application　Specific　Integrated　Circuit）、FPGA（Field　Programmable　Gate　Array）等の集積回路である。また、制御部１５は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部１５は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部１５は、変換部１５１、生成部１５２、計算部１５３、信号処理部１５４及び推定部１５５を有する。

　変換部１５１は、グラフの頂点間の辺の向きを複素平面上の偏角（位相）に変換する。例えば、変換部１５１は、グラフの頂点間の辺の向きが第１の方向である場合、辺の向きを第１の角度に変換し、辺の向きが第１の方向と逆である場合、辺の向きを第１の角度の符号を反転させた角度に変換し、辺に向きがない場合、辺の向きを0（角度）に変換する。ここで、図４から図６を用いて、変換部１５１による変換の方法を説明する。図４から図６は、辺の変換方法を説明するための図である。

　まず、基準点として、複素平面上の、絶対値が1かつ偏角が0の点が与えられているものとする。図４に示すように、頂点i-j間に無向辺がある場合、つまり、頂点iから頂点jへの有向辺と頂点jから頂点iへの有向辺が同時に存在する場合は、変換部１５１は、複素平面上の基準点の偏角を回転させない。つまり、基準点は、無向辺又は頂点i-j間に両方向の有向辺が同時に存在していることを表している。

　図５に示すように、頂点i-j間に頂点iから頂点jへの有向辺が存在する場合、変換部１５１は、当該複素平面上において、基準点の偏角を正の方向にθ回転させる。逆に、図６に示すように、頂点i-j間に頂点jから頂点iへの有向辺が存在する場合、変換部１５１は、当該複素平面上において、基準点の偏角を負の方向にθ回転させる。この場合、頂点iから頂点jへの方向は、第１の向きの一例である。また、θは、第１の角度の一例である。また、θは、例えばπ/4のような固定値とすることできる。

　上記の変換部１５１による操作は、（１）式に示すように、辺集合から1次ユニタリ群への関数γとして記述することができる。ただし、（１）式において、斜体のiは頂点のインデックスであり、正対のiは虚数単位である。

　なお、関数γの定義は（１）式のものに限定されない。例えば、関数γは、実部と虚部を明示的に分けてγ=α+iβの形で定義されてもよい。また、関数γは、2次の特殊直交群、つまり、2×2行列としてγ=diag(α,β)のように定義されてもよい。

　生成部１５２は、変換部１５１によって変換された偏角を用いて、グラフの頂点間の関係を表すエルミート行列を生成する。例えば、生成部１５２は、各行及び各列がグラフの各頂点に対応する行列であって、対応する頂点間に辺が存在する成分が、変換部１５１によって変換された偏角を持ち、かつ絶対値が一定の複素数である行列を、グラフの次数行列から引いた行列を生成する。この場合、行列の成分は、上記の関数γによって得られた値そのものであってもよい。

　ここで、グラフ信号処理では、一般に、グラフは、グラフラプラシアンと呼ばれる行列を用いて表現される。グラフラプラシアンは隣接行列と次数行列を用いて定義することができる。グラフの次数は、頂点から出ている辺の数を表す。

　図７を用いて、グラフラプラシアンについて説明する。図７は、グラフラプラシアンを説明するための図である。例えば、図７のグラフにおいて、頂点1からは頂点2と頂点5への2つの辺が出ているので、頂点1の次数は2である。次数行列は、各頂点の次数を対角成分に並べた行列である。一般的に、隣接行列をA、次数行列をDとすれば、従来のグラフラプラシアンL_priorは、L_prior=D-Aと書ける。図７に示すように、有向グラフの隣接行列は非対称行列であり、同様に有向グラフのグラフラプラシアンも非対称行列である。

　生成部１５２は、変換済みの隣接行列と次数行列を用いて行列を生成する。変換済みの隣接行列は、隣接行列の各成分が、変換部１５１によって変換された偏角を用いて表現された行列である。図８は、行列の生成方法を説明するための図である。

　図３に示すように、入力された有向グラフにおいて、例えば、頂点1-2間には頂点1から2への有向辺が存在する。このため、図８に示すように、変換済みの隣接行列である行列２０Ａの(1,2)成分はe^iθとなり、(2,1)成分はe^-iθとなる。生成部１５２は、次数行列である行列２０Ｄから行列２０Ａを引くことで、行列２０Ｌを得る。

　行列２０Ｌの(1,2)成分及び(2,1)成分は、それぞれ-e^iθ及び-e^-iθとなる。また、グラフの頂点3-4間には無向辺が存在するので、行列２０Ｌの(3,4)成分及び(4,3)成分はともに-1となる。なお、変換部１５１において、辺の方向を複素平面上の偏角に変換したため、行列２０Ｄに示される次数は、有向グラフの辺の方向を無視して計算されたものである。

　ここで、行列の(i,j)成分と(j,i)成分が互いに複素共役となっている行列をエルミート行列という。明らかに、図８の行列２０Ｌはエルミート行列である。そこで、以降では、生成部１５２によって生成される行列をエルミートラプラシアンと呼び、Lで表す。

　計算部１５３は、生成部１５２によって生成されたエルミート行列の固有ベクトルを計算する。また、信号処理部１５４は、計算部１５３によって計算された固有ベクトルを、グラフラプラシアンのフーリエ基底とみなし、グラフ信号処理を行う。

　例えば、信号処理部１５４は、固有ベクトルを用いて、グラフフーリエ変換、グラフフィルタリング又はグラフウェーブレット変換を行う。また、計算部１５３によって計算された固有ベクトルは、後述するSybil検知において用いられる場合がある。

　ここで、無向グラフにおけるグラフフーリエ変換は、グラフラプラシアンL_priorの固有ベクトルvをフーリエ基底と見なすことで定義される。固有ベクトルvを列に並べた行列をVとすると、任意のグラフ信号fに対するグラフフーリエ変換は^f=V^*fで定義される（ただし、^fはfの直上に^が付されたものである。また、*は複素共役転置あるいは随伴を示す。）。無向グラフにおけるグラフ信号処理のほとんどの要素技術はこのグラフフーリエ変換を基礎としている。

　信号処理部１５４は、従来の無向グラフにおけるグラフフーリエ変換を拡張し有向グラフに適用する。信号処理部１５４は、エルミートラプラシアンLのスペクトル分解とグラフフーリエ変換の有向グラフへの拡張の2つの手続きを実行する。

　まず、Lはエルミート行列であるため、信号処理部１５４は、（２）式に示すように、Lの固有値λを対角成分に並べた行列Λ及び固有ベクトルuを列に並べたユニタリ行列Uを用いてLのスペクトル分解を行う。なお、固有ベクトルuは計算部１５３によって計算される。

　また、信号処理部１５４は、固有ベクトルuをフーリエ基底と見なすことで、任意のグラフ信号fに対する有向グラフ上でのグラフフーリエ変換を（３）式のように行うことができる。

　なお、ここではグラフフーリエ変換の拡張方法について述べたが、信号処理部１５４は、同様のやり方で、グラフフィルタリングやグラフウェーブレット変換等のグラフ信号処理における要素技術を有向グラフに拡張することもできる。

　図９は、グラフ分析技術の拡張について説明するための図である。図９に示すように、信号処理部１５４は、既存の無向グラフのグラフフーリエ変換^f=V^*fを有向グラフのグラフフーリエ変換^f=U^*fで置き換えているといえる。これにより、信号処理部１５４は、既存の無向グラフに対するグラフ分析技術を、有向グラフへ容易に拡張できる。

　本実施形態では、信号処理部１５４は、Sybil検知のためのグラフ信号処理を行う。ここでは、グラフデータ２０の各頂点は、ＳＮＳのユーザに対応するものとする。また、グラフデータ２０の少なくとも一部の頂点には、ラベルが付与されているものとする。

　前述の通り、本実施形態では、信念伝播法に基づくSybil検知手法をグラフ信号処理によるフィルタリングとして定式化する。ここでは、Sybilであることを示すラベルが付与された頂点の事前評価値を+1、正規（Sybilでない）であることを示すラベルが付与された頂点の事前評価値を-1、ラベルが未知の頂点の事前評価値を0とする。

　まず、信念伝播法に基づくSybil検知では、（４）式のように、メッセージと呼ばれる統計量が更新される。

　ここで、x_i=±1は確率変数であり、頂点iがSybilであるか否かを表す（例えば、頂点iがSybilであればx_i=+1）。μ_ij ^(t)はステップtにおける頂点iからjへのメッセージである。ただし、Σ_xjμ_ij(x_j)=1と規格化されるものとする。また、ψ_ij(x_i,x_j)は、それぞれ頂点及び辺のポテンシャル関数である。頂点iの評価値（確率）p_i(x_i)は、収束したメッセージμ_ij ^∞(x_j)を用いて（５）式で計算される。

　信念伝播法に基づくアプローチは、ランダムウォークに基づくアプローチと比較して精度が高く、ノイズに頑健であることが知られている。一方で、信念伝播法は、グラフにループがない場合及びループが１つである場合は、メッセージの更新アルゴリズムが収束することが証明されている。しかしながら、２つ以上ループがある場合は、メッセージの更新アルゴリズムが収束する保証がないという問題がある。

　図１０は、信念伝播法について説明するための図である。図１０に示すように、信念伝播法においては、頂点間のメッセージを基に評価値が更新される。なお、ここで説明した信念伝播法の手法は一例であり、本実施形態は、信念伝播法を応用した各種手法に適用することができる。

　ここで、確率変数がバイナリx_i=±1の場合、メッセージμ_ij(x_j)は単一の実数νを用いて、（６）式のようにパラメトライズできる。

　このとき、信念伝播法の更新式は厳密に（７）式のように書き直せる。

　ここで、ν^new=BP(ν)を満たすような作用素BP:ν|→ν^new(ただし、|→は写像を表す)を考え、自明な固定点ν_ij=ν^*(∀(i,j)∈E)周りで線形化すると、（８）式を得る。

　ただし、1_X(x)は、x∈Xのとき、1_X(x)=1、xがXに含まれないときは0となるような指示関数である。ここで、（９）式及び（１０）式で定義される行列Bを考える。

　ξ_ij,klを∂ν_ij ^new/∂ν_klの係数とすれば、行列Bは（１１）式のヤコビ行列に一致する。

　行列Bはnon-backtracking　operatorと呼ばれており、グラフ上での後戻り(backtracking)を禁止した有向辺の接続関係を表現している。図１１は、有向辺を頂点とするグラフを説明する図である。図１１の例では、有向グラフの有向辺e₁及びe₂が有向辺グラフ上では頂点となる。

　図１２及び図１３は、non-backtracking　operatorを説明する図である。図１２のように、２つの有向辺連続する場合、（１０）式は非零である。一方、図１３のように、後戻りする接続関係は、（１０）式では(1-δ_jk)により零になる。

　行列Bは、向き付けられたグラフG=(V,→E)（→Eは、Eの直上に→）の有向辺e∈→Eを頂点とした有向辺グラフH=(→E,F)を表現する隣接行列（ただし、後戻りに相当する接続は除外）と考えることができる。

　（１０）式から、行列Bの重みξ_ij,klはβh_i＼jを介してメッセージνに依存していることがわかる。これは、メッセージが更新される度に有向辺グラフH=(→E,F)の辺の重みが適応的に変化することを意味しており、解析が非常に困難である。

　そこで、頂点のポテンシャル関数をψ_i(x_i)=1.∀iと仮定する。これは、既知の頂点ラベルの情報を無視して、ポテンシャル関数が全て等しいと仮定することに相当する。この仮定により、行列Bの成分はB_ij,kl=tanh(βJ_ij)δ_il(1-δ_il)のようにメッセージに依存しない形で書ける。

　メッセージを並べたベクトルをν^(t)∈R^2|E|とすれば、メッセージの更新式はBを用いて（１２）式のように書ける。

　（１２）式は、初期値ν⁽⁰⁾をべき乗で拡大していく操作であるので、ハイパスフィルタと見なせる。また、メッセージνが収束したとき、確率変数x_iの期待値m_i:=p_i(x_i=+1)-p_i(x_i=-1)は、m_i=Σ_k∈∂iw_ikν_ki ^∞と計算できる。

　したがって、信念伝播法に基づくSybil検知手法は、頂点のポテンシャル関数が全て等しいという仮定の下では、初期値ν⁽⁰⁾をハイパスフィルタリングした後にメッセージをプーリング（集約）する操作であると解釈できる。

　信号処理部１５４は、少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法によりグラフの頂点の評価値を更新する。

　例えば、信号処理部１５４は、信念伝播法におけるメッセージを並べたベクトルを、グラフの有向辺の接続関係を表現した行列により更新して得られるメッセージを基に、評価値を更新する。つまり、信号処理部１５４は、（１２）式により計算したメッセージを基に評価値を更新する。

　また、信号処理部１５４は、頂点のポテンシャル関数が全て等しいという仮定の下、初期値をハイパスフィルタリングした後にプーリングすることにより得られたメッセージを基に、評価値を更新するということができる。

　推定部１５５は、評価値を基に、グラフの頂点のラベルを推定する。例えば、推定部１５５は、評価値が0より大きい所定の閾値以上である頂点をSybilと推定することができる。

［第１の実施形態の処理］
　図１４は、検知装置の処理の流れを示すフローチャートである。図１４に示すように、まず、検知装置１０は、グラフデータ２０の入力を受け付ける（ステップＳ１０１）。グラフデータ２０の一部の頂点には、Sybilであるか否かを示すラベルが付与されているものとする。

　次に、検知装置１０は、グラフの頂点間の辺の向きを偏角に変換する（ステップＳ１０２）。例えば、検知装置１０は、ある方向の辺を角度θに変換し、当該方向と反対方向の辺を角度-θに変換する。

　検知装置１０は、偏角を基にエルミート行列を生成する（ステップＳ１０３）。例えば、検知装置１０は、変換済みの隣接行列を次数行列から引くことでエルミート行列を生成する。ここで、検知装置１０は、Sybil検知を実行する（ステップＳ１０４）。

　図１５は、Sybilを検知する処理の流れを示すフローチャートである。図１５の処理は、図１４のステップＳ１０４に対応する。まず、検知装置１０は、non-backtracking　operatorの行列を用いて信念伝播法のメッセージを並べたベクトルを更新する更新式を作成する（ステップＳ２０１）。次に、検知装置１０は、更新式によりメッセージを更新する（ステップＳ２０２）。そして、検知装置１０は、メッセージから計算した評価値を基に各頂点のラベルを推定する（ステップＳ２０３）。

［第１の実施形態の効果］
　これまで説明してきたように、第１の実施形態の検知装置１０は、信号処理部１５４と推定部１５５を有する。信号処理部１５４は、少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法によりグラフの頂点の評価値を更新する。推定部１５５は、評価値を基に、グラフの頂点のラベルを推定する。このように、検知装置１０は、グラフ信号処理を新年伝播法に適用する。このため、本実施形態によれば、Sybil検知の手法を信号処理的な枠組みで解釈することができる。

　信号処理部１５４は、信念伝播法におけるメッセージを並べたベクトルを、グラフの有向辺の接続関係を表現した行列により更新して得られるメッセージを基に、評価値を更新する。これにより、グラフ信号処理を容易に信念伝播法に適用することができる。

　信号処理部１５４は、頂点のポテンシャル関数が全て等しいという仮定の下、初期値をハイパスフィルタリングした後にプーリングすることにより得られたメッセージを基に、評価値を更新する。これにより、信念伝播法をグラフ信号処理として解釈することが可能になる。

　本実施形態では、信念伝播法に基づくSybil検知手法を、元のグラフGではなく有向辺グラフH上でフィルタリングを行っている。通常のランダムウォークの場合、一度次数の大きい頂点に到達するとその近傍領域から抜け出すのに時間が掛かり、結果として定常分布が次数の高い頂点に局在してしまう。

　一方で、本実施形態のような行列Bによるランダムウォークの場合、後戻りが禁止されている分だけ次数の大きい頂点の近傍に留まる確率が小さくなる。実際、後戻りを禁止したランダムウォークは通常のランダムウォークに比べてmixing　rateが速くなることが知られている。このため、信念伝播法に基づくSybil検知は、次数に極端な偏りのあるグラフにおいても機能すると予想できる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　一実施形態として、検知装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。

　また、検知装置１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供する検知サーバ装置として実装することもできる。例えば、検知サーバ装置は、グラフデータを入力とし、Sybilである頂点を提供するサーバ装置として実装される。この場合、検知サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図１６は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、CPU１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM１０１２を含む。ROM１０１１は、例えば、BIOS（BASIC　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、検知装置１０の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、検知装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSDにより代替されてもよい。

　また、上述した実施形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、CPU１０２０は、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して、上述した実施形態の処理を実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してCPU１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してCPU１０２０によって読み出されてもよい。

　１０　検知装置
　１１　通信部
　１２　入力部
　１３　出力部
　１４　記憶部
　１５　制御部
　２０　グラフデータ
　２０Ａ、２０Ｄ、２０Ｌ　行列
　３０　分析結果
　１５１　変換部
　１５２　生成部
　１５３　計算部
　１５４　信号処理部
　１５５　推定部

Claims

　少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法により前記グラフの頂点の評価値を更新する更新部と、
　前記評価値を基に、前記グラフの頂点のラベルを推定する推定部と、
　を有することを特徴とする検知装置。
　前記更新部は、信念伝播法におけるメッセージを並べたベクトルを、グラフの有向辺の接続関係を表現した行列により更新して得られるメッセージを基に、前記評価値を更新することを特徴とする請求項１に記載の検知装置。
　前記更新部は、頂点のポテンシャル関数が全て等しいという仮定の下、初期値をハイパスフィルタリングした後にプーリングすることにより得られたメッセージを基に、前記評価値を更新することを特徴とする請求項１に記載の検知装置。
　コンピュータによって実行される検知方法であって、
　少なくとも一部の頂点にラベルが付与されたグラフの辺の向きを表す複素平面上の偏角を用いて生成された行列に基づき、信念伝播法により前記グラフの頂点の評価値を更新する更新工程と、
　前記評価値を基に、前記グラフの頂点のラベルを推定する推定工程と、
　を含むことを特徴とする検知方法。
　コンピュータを、請求項１から３のいずれか１項に記載の検知装置として機能させるための検知プログラム。