WO2022224371A1

WO2022224371A1 - 情報処理装置、情報処理方法、及び、記録媒体

Info

Publication number: WO2022224371A1
Application number: PCT/JP2021/016137
Authority: WO
Inventors: 聡池田
Original assignee: 日本電気株式会社
Priority date: 2021-04-21
Filing date: 2021-04-21
Publication date: 2022-10-27
Also published as: JPWO2022224371A1

Abstract

情報処理装置４は、複数種類の属性ラベルＡＬを含む属性ラベル群ＡＬＧが割り当てられた特徴ベクトルＸＶを複数含む特徴データセット４１２から、二つの特徴ベクトルを教師データ４１３０の少なくとも一部として抽出する抽出手段４２１と、教師データを用いて、変換モデルＴＭを生成するための計量学習を行う学習手段と、抽出手段が二つの特徴ベクトルを抽出するための抽出条件を、二つの特徴ベクトルに夫々割り当てられた二つの属性ラベル群の間の関係によって指定する抽出指定情報４１４２と、抽出指定情報に基づいて抽出された教師データに関する損失Ｌｃを定義する損失情報４１４３とを含む定義データ４１４０を複数格納する格納手段４１とを備える。

Description

情報処理装置、情報処理方法、及び、記録媒体

　この開示は、例えば、計量学習を行うことが可能な情報処理装置、情報処理方法及び記録媒体の技術分野に関する。

　二つのデータの間の距離（具体的には、二つのデータの特徴量を夫々示す二つの特徴ベクトルの間の距離）を算出する方法の一例として、計量学習（言い換えれば、メトリック学習）を用いる方法が知られている（特許文献１参照）。計量学習は、ベクトル空間内において、類似する二つのデータの間の距離が短くなり且つ類似しない二つのデータの間の距離が長くなるように各データの特徴ベクトルを変換可能な変換モデルを生成するための方法である。この場合、二つのデータの特徴量を夫々示す二つの特徴ベクトルが変換モデルによって変換され、変換された二つの特徴ベクトルの間の距離が、二つのデータの間の距離として算出される。

　その他、この開示に関連する先行技術文献として、特許文献２から特許文献７があげられる。

特開２００１－３３７９８６号公報国際公開第２０１５／１７４０６３号パンフレット特開２０２０－１３５４９４号公報国際公開第２０２０／０４９６６７号パンフレット

　計量学習では、計量学習によって生成された変換モデルによって変換された特徴ベクトルの間の距離（つまり、二つのデータの類似性）に対して、一般的なユーザが二つのデータに対して抱く類似性の感覚が適切に反映されるとは限らないという技術的問題が存在する。つまり、一般的なユーザが二つのデータに対して抱く類似性の感覚を反映した計量学習を行うことができるとは限らないという技術的問題が存在する。

　この開示は、上述した技術的問題を解決可能な情報処理装置、情報処理方法、及び、記録媒体を提供することを課題とする。一例として、この開示は、一般的なユーザが二つのデータに対して抱く類似性の感覚を反映した計量学習を行うことが可能な情報処理装置、情報処理方法、及び、記録媒体を提供することを課題とする。

　この開示の情報処理装置の一態様は、複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルを教師データの少なくとも一部として抽出する抽出手段と、前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習を行う学習手段と、前記抽出手段が前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データを複数格納する格納手段とを備え、前記抽出手段は、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルを前記教師データの少なくとも一部として抽出し、前記学習手段は、前記損失情報に基づいて前記損失を算出し、算出した前記損失に基づいて前記計量学習を行う。

　この開示の情報処理方法の一態様は、複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルが教師データの少なくとも一部として抽出される抽出工程と、前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習が行われる学習工程とを含み、格納手段に、前記抽出工程において前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データが複数格納されており、前記抽出工程では、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルが前記教師データの少なくとも一部として抽出され、前記学習工程では、前記損失情報に基づいて前記損失が算出され、算出された前記損失に基づいて前記計量学習が行われる。

　この開示の記録媒体の一態様は、コンピュータに、複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルが教師データの少なくとも一部として抽出される抽出工程と、前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習が行われる学習工程とを含み、格納手段に、前記抽出工程において前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データが複数格納されており、前記抽出工程では、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルが前記教師データの少なくとも一部として抽出され、前記学習工程では、前記損失情報に基づいて前記損失が算出され、算出された前記損失に基づいて前記計量学習が行われる情報処理方法を実行させるコンピュータプログラムが記録された記録媒体である。

　上述した情報処理装置、情報処理方法、及び、記録媒体のそれぞれの一の態様によれば、一般的なユーザが二つのデータに対して抱く類似性の感覚を反映した計量学習を行うことが可能となる。

図１は、第１実施形態における情報処理装置の構成を示すブロック図である。図２は、第２実施形態における通信システムの構成を示すブロック図である。図３は、第２実施形態における情報処理装置の構成を示すブロック図である。図４は、第２実施形態におけるプロキシログＤＢのデータ構造を示すデータ構造図である。図５は、第２実施形態における特徴データセットのデータ構造を示すデータ構造図である。図６は、第２実施形態における情報処理装置が行うモデル生成動作の流れを示すフローチャートである。図７は、第２実施形態における抽出定義情報のデータ構造を示すデータ構造図である。図８は、第２実施形態における条件定義情報のデータ構造を示すデータ構造図である。図９は、第２実施形態における教師データセットのデータ構造を示すデータ構造図である。図１０は、シャムネットワークのモデル構造を概念的に示す。図１１は、第２実施形態における情報処理装置が行う脅威検出動作の流れを示すフローチャートである。図１２は、トリプレットネットワークのモデル構造を概念的に示す。図１３は、第３実施形態における抽出定義情報のデータ構造を示すデータ構造図である。

　以下、図面を参照しながら、情報処理装置、情報処理方法、及び、記録媒体の実施形態について説明する。

　（１）第１実施形態
　はじめに、情報処理装置、情報処理方法、及び、記録媒体の第１実施形態について説明する。以下では、情報処理装置、情報処理方法、及び、記録媒体の第１実施形態が適用された情報処理装置１０００を用いて、情報処理装置、情報処理方法、及び、記録媒体の第１実施形態について説明する。

　図１は、第１実施形態における情報処理装置１０００の構成を示すブロック図である。図１に示すように、情報処理装置１０００は、抽出部１００１と、学習部１００２と、格納部１００３とを備えている。抽出部１００１は、複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルを、教師データの少なくとも一部として抽出する。学習部１００２は、抽出部１００１が抽出した少なくとも二つの特徴ベクトルを含む教師データを用いて、特徴ベクトルを変換可能な変換モデルを生成するための計量学習を行う。格納部１００３は、複数の定義データ１００４を含む。各定義データ１００４は、抽出部１００１が教師データを抽出するための抽出条件を指定する抽出指定情報１００５を含む。抽出指定情報１００５は特に、抽出条件を、教師データの少なくとも一部として抽出される少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの属性ラベル群の間の関係によって指定する。各定義データ１００４は更に、抽出指定情報１００５に基づいて抽出された教師データに関する損失を定義する損失情報１００６を含む。

　このような第１実施形態における情報処理装置１０００によれば、一般的なユーザが二つのデータに対して抱く類似性の感覚を反映した計量学習を行うことが可能となる。

　格納部１００３は、第１の定義データ１００４と、第２の定義データ１００４と、第３の定義データ１００４とを格納していてもよい。第１の定義データ１００４は、第１の抽出指定情報１００５と、第１の損失情報１００６とを含んでいてもよい。第１の抽出指定情報１００５は、少なくとも二つの第１の特徴ベクトルを、正例データに相当する第１の教師データの少なくとも一部として抽出するという第１の抽出条件を指定していてもよい。第１の損失情報１００６は、第１の教師データに関する第１の損失を定義していてもよい。第２の定義データ１００４は、第２の抽出指定情報１００５と、第２の損失情報１００６とを含んでいてもよい。第２の抽出指定情報１００５は、少なくとも二つの第２の特徴ベクトルを、負例データに相当する第２の教師データの少なくとも一部として抽出するという第２の抽出条件を指定していてもよい。第２の損失情報１００６は、第２の教師データに関する第２の損失を定義していてもよい。第３の定義データ１００４は、第３の抽出指定情報１００５と、第３の損失情報１００６とを含んでいてもよい。第３の抽出指定情報１００５は、少なくとも二つの第３の特徴ベクトルを、正例データ又は負例データに相当する第３の教師データの少なくとも一部として抽出するという第３の抽出条件を指定していてもよい。第３の損失情報１００６は、第３の教師データに関する第３の損失を定義していてもよい。少なくとも二つの第１の特徴ベクトルに夫々割り当てられた少なくとも二つの第１の属性ラベル群の類似性は、少なくとも二つの第２の特徴ベクトルに夫々割り当てられた少なくとも二つの第２の属性ラベル群の類似性及び少なくとも二つの第３の特徴ベクトルに夫々割り当てられた少なくとも二つの第３の属性ラベル群の類似性の夫々よりも高くてもよい。少なくとも二つの第２の属性ラベル群の類似性は、少なくとも二つの第１の属性ラベル群の類似性及び少なくとも二つの第３の属性ラベル群の類似性の夫々よりも低くてもよい。少なくとも二つの第３の属性ラベル群の類似性は、少なくとも二つの第１の属性ラベル群の類似性よりも低く、且つ、少なくとも二つの第２の属性ラベル群の類似性よりも高くてもよい。

　この場合、抽出部１００１は、典型的には、第１の抽出指定情報１００５に基づいて、少なくとも二つの特徴ベクトルを第１の教師データの少なくとも一部として抽出し、第２の抽出指定情報１００５に基づいて、少なくとも二つの特徴ベクトルを第２の教師データの少なくとも一部として抽出し、第３の抽出指定情報１００５に基づいて、少なくとも二つの特徴ベクトルを第３の教師データの少なくとも一部として抽出してもよい。更に、学習部１００２は、第１の教師データと第１の損失情報１００６とに基づいて第１の損失を算出し、第２の教師データと第２の損失情報１００６とに基づいて第２の損失を算出し、第３の教師データと第３の損失情報１００６とに基づいて第３の損失を算出し、算出した第１から第３の損失に基づいて計量学習を行ってもよい。

　このように格納部１００３が第１から第３の定義データ１００４を格納している場合には、情報処理装置１０００は、異なる少なくとも三つの抽出条件を用いて、少なくとも三種類の教師データ（つまり、第１から第３の教師データ）を抽出することができる。更に、情報処理装置１０００は、第１の教師データに関する第１の損失と、第２の教師データに関する第２の損失と、第３の教師データに関する第３の損失とを別々に算出することができる。つまり、情報処理装置１０００は、第１から第３の教師データの違いを考慮して、第１から第３の損失を別々に算出することができる。その結果、第１から第３の教師データの違いを考慮することなく共通の損失が算出される場合と比較して、情報処理装置１０００は、一般的なユーザが二つのデータに対して抱く類似性の感覚を反映した計量学習を行うことが可能となる。

　（２）第２実施形態
　続いて、情報処理装置、情報処理方法、及び、記録媒体の第２実施形態について説明する。以下では、情報処理装置、情報処理方法、及び、記録媒体の第２実施形態が適用された通信システムＳＹＳ２を用いて、情報処理装置、情報処理方法、及び、記録媒体の第２実施形態について説明する。

　（２－１）通信システムＳＹＳ２の構成
　（２－１－１）通信システムＳＹＳ２の全体構成
　初めに、図２を参照しながら、第２実施形態における通信システムＳＹＳ２の全体構成について説明する。図２は、第２実施形態における通信システムＳＹＳ２の全体構成を示すブロック図である。

　図２に示すように、通信システムＳＹＳ２は、プロキシサーバ１と、複数のクライアント２と、複数のサーバ３と、情報処理装置４とを備えている。但し、通信システムＳＹＳ２は、単一のクライアント２を備えていてもよい。通信システムＳＹＳ２は、単一のサーバ３を備えていてもよい。プロキシサーバ１と、複数のサーバ３の夫々とは、ネットワーク５を介して通信可能である。ネットワーク５は、有線のネットワークを含んでいてもよいし、無線のネットワークを含んでいてもよい。

　プロキシサーバ１は、クライアント２とサーバ３との通信を中継する装置である。例えば、プロキシサーバ１は、クライアント２から取得したリクエストを、ネットワーク５を介して、取得したリクエストで指定されたサーバ３へと送信してもよい。リクエストは、例えば、ＨＴＴＰ（Ｈｙｐｅｒ　Ｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｃｏｌ）リクエストを含んでいてもよい。但し、リクエストは、ＨＴＴＰリクエストに限定されることはない。例えば、プロキシサーバ１は、ネットワーク５を介してサーバ３から取得したレスポンスを、レスポンスで指定されたクライアント２へと送信してもよい。レスポンスは、例えば、ＨＴＴＰレスポンスを含んでいてもよい。但し、レスポンスは、ＨＴＴＰレスポンスに限定されることはない。

　プロキシサーバ１と複数のクライアント２とを含むシステムは、ローカルシステムＬＳと称されてもよい。この場合、プロキシサーバ１は、ローカルシステムＬＳと、ローカルシステムＬＳの外部の広域ネットワークとの境界に配置されているとも言える。プロキシサーバ１は、ローカルシステムＬＳと広域ネットワークとの間の通信を中継するとも言える。

　クライアント２は、プロキシサーバ１を介してサーバ３と通信する。例えば、クライアント２は、プロキシサーバ１を介して、所望のデータをサーバ３に送信してもよい。例えば、クライアント２は、プロキシサーバ１を介して、所望のデータをサーバ３から受信してもよい。

　サーバ３は、プロキシサーバ１を介してクライアント２と通信する。例えば、サーバ３は、プロキシサーバ１を介して、所望のデータをクライアント２に送信してもよい。例えば、サーバ３は、プロキシサーバ１を介して、所望のデータをクライアント２から受信してもよい。サーバ３は、例えば、ＨＴＴＰサーバである。但し、サーバ３は、ＨＴＴＰサーバ以外のサーバであってもよい。

　情報処理装置４は、ネットワーク５を介してローカルシステムＬＳに既に侵入している脅威を検出するための脅威検出動作を行う。以下、このような脅威検出動作を行う情報処理装置４の構成について更に説明する。

　（２－１－２）情報処理装置４の構成
　続いて、図３を参照しながら、第２実施形態における情報処理装置４の構成について説明する。図３は、第２実施形態における情報処理装置４の構成を示すブロック図である。

　図３に示すように、情報処理装置４は、「格納手段」の一具体例である記憶装置４１と、演算装置４２とを備えている。更に、情報処理装置４は、入力装置４３と、出力装置４４とを備えていてもよい。但し、情報処理装置４は、入力装置４３及び出力装置４４の少なくとも一方を備えていなくてもよい。記憶装置４１と、演算装置４２と、入力装置４３と、出力装置４４とは、データバス４５を介して接続されていてもよい。

　記憶装置４１は、所望のデータを記憶可能である。例えば、記憶装置４１は、演算装置４２が実行するコンピュータプログラムを一時的に記憶していてもよい。記憶装置４１は、演算装置４２がコンピュータプログラムを実行している際に演算装置４２が一時的に使用するデータを一時的に記憶してもよい。記憶装置４１は、情報処理装置４が長期的に保存するデータを記憶してもよい。尚、記憶装置４１は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ハードディスク装置、光磁気ディスク装置、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）及びディスクアレイ装置のうちの少なくとも一つを含んでいてもよい。つまり、記憶装置４１は、一時的でない記録媒体を含んでいてもよい。

　第２実施形態では、記憶装置４１は、脅威検出動作を行うために情報処理装置４が利用するデータを記憶する。図３には、脅威検出動作を行うために情報処理装置４が利用するデータの一例として、プロキシログＤＢ（Ｄａｔａｂａｓｅ：データベース）４１１と、特徴データセット４１２と、教師データセット４１３と、抽出定義情報４１４と、変換モデルＴＭとが記載されている。つまり、図３は、記憶装置４１が、プロキシログＤＢ４１１と、特徴データセット４１２と、教師データセット４１３と、抽出定義情報４１４と、変換モデルＴＭとを記憶する例を示している。

　プロキシログＤＢ４１１は、複数のプロキシログデータ４１１１（後述する図４参照）を格納する。プロキシログデータ４１１１は、プロキシサーバ１が中継した通信（つまり、クライアント２とサーバ３との間の通信）の履歴を示すログデータである。このような複数のプロキシログデータ４１１１を格納するプロキシログＤＢ４１１のデータ構造が図４に示されている。図４に示すように、プロキシログデータ４１１１は、例えば、（ｉ）サーバ３と通信したクライアント２を示すログ情報（クライアント情報）と、（ｉｉ）クライアント２と通信したサーバ３を示すログ情報（サーバ情報）と、（ｉｉｉ）クライアント２とサーバ３とが通信した日時を示すログ情報（通信日時情報）と、（ｉｖ）クライアント２がサーバ３と通信する際に利用したメソッドを示すログ情報（メソッド情報）と、（ｖ）クライアント２がサーバ３に送信したリクエストで指定されていたパス（リクエストパス）を示すログ情報（リクエストパス情報）と、（ｖｉ）クライアント２がサーバ３から受信したデータのサイズを示すログ情報（受信サイズ情報）と、（ｖｉｉ）クライアント２がサーバ３に送信したデータのサイズを示すログ情報（送信サイズ情報）とを含んでいてもよい。但し、プロキシログデータ４１１１は、図４に示す複数のログ情報のうちの少なくとも一つを含んでいなくてもよい。プロキシログデータ４１１１は、図４に示す複数のログ情報とは異なる他のログ情報を含んでいてもよい。

　尚、特徴データセット４１２と、教師データセット４１３と、抽出定義情報４１４と、変換モデルＴＭとについては、後に詳述する。

　再び図３において、演算装置４２は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｅｃｓｓｉｎｇ　Ｕｎｉｔ）、ＧＰＵ（Ｇｒａｐｈｉｃａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）及びＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）のうちの少なくとも一つを含む。演算装置４２は、コンピュータプログラムを読み込む。例えば、演算装置４２は、記憶装置４１が記憶しているコンピュータプログラムを読み込んでもよい。例えば、演算装置４２は、コンピュータで読み取り可能であって且つ一時的でない記録媒体が記憶しているコンピュータプログラムを、図示しない記録媒体読み取り装置を用いて読み込んでもよい。演算装置４２は、通信装置として機能可能な入力装置４３を介して、情報処理装置４の外部に配置される不図示の装置からコンピュータプログラムを取得してもよい（つまり、ダウンロードしてもよい又は読み込んでもよい）。演算装置４２は、読み込んだコンピュータプログラムを実行する。その結果、演算装置４２内には、情報処理装置４が行うべき動作（例えば、上述した脅威検出動作）を実行するための論理的な機能ブロックが実現される。つまり、演算装置４２は、情報処理装置４が行うべき動作を実行するための論理的な機能ブロックを実現するためのコントローラとして機能可能である。

　図３には、脅威検出動作を実行するために演算装置４２内に実現される論理的な機能ブロックの一例が示されている。図３に示すように、演算装置４２内には、特徴抽出部４２１と、「学習手段」の一具体例である計量学習部４２２と、「抽出手段」の一具体例であるデータ抽出部４２３と、検索部４２４と、出力制御部４２５とが実現される。

　特徴抽出部４２１は、プロキシログＤＢ４１１から、所定のログ分類基準に基づいて、同一のログデータ群に分類される複数の（或いは、少なくとも一つの）プロキシログデータ４１１１を抽出する。所定のログ分類基準は、クライアント情報が同一であり、サーバ情報が同一であり且つ通信日時情報が所定の日時基準を満たす複数のプロキシログデータ４１１１が同一のログデータ群に分類されるというログ分類基準を含んでいてもよい。所定の日時基準を満たす複数のプロキシログデータ４１１１は、通信日時情報が示す通信日が同一になるという複数のプロキシログデータ４１１１を含んでいてもよい。所定の日時基準を満たす複数のプロキシログデータ４１１１は、通信日時情報が示す通信時刻（或いは、通信日時）の間の間隔が所定値未満で連続している複数のプロキシログデータ４１１１を含んでいてもよい。この場合、例えば、特徴抽出部４２１は、図４に示すプロキシログＤＢ４１１から、Ｃ１という識別子に対応するクライアント２とＳ１という識別子に対応するサーバ３との間で２０１９年１月１日に行われた通信の履歴を示す三つのプロキシログデータ４１１１の夫々を、第１のログデータ群に分類されるプロキシログデータ４１１１として抽出してもよい。同様に、例えば、特徴抽出部４２１は、図４に示すプロキシログＤＢ４１１から、Ｃ２という識別子に対応するクライアント２とＳ２という識別子に対応するサーバ３との間で２０１９年１月１日に行われた通信の履歴を示す三つのプロキシログデータ４１１１の夫々を、第１のログデータ群とは異なる第２のログデータ群に分類されるプロキシログデータ４１１１として抽出してもよい。

　再び図３において、特徴抽出部４２１は更に、抽出した複数のプロキシログデータ４１１１（つまり、同一のログデータ群に分類される複数のプロキシログデータ４１１１）の特徴量を示す特徴ベクトルＸＶを生成する。特徴抽出部４２１は、同一のログデータ群に分類される複数のプロキシログデータ４１１１から、一つの特徴ベクトルＸＶを生成する。このため、特徴抽出部４２１は、特徴ベクトルＸＶを、ログデータ群の数だけ生成する。以下の説明では、ログデータ群の数がＲ（Ｒは、１以上の整数を示す定数）であり、特徴抽出部４２１がＲ個の特徴ベクトルＸＶを生成する例について説明する。尚、以下の説明では、Ｒ個の特徴ベクトルＸＶを、夫々、下付き文字をインデックスとする“特徴ベクトルＸＶ_１からＸＶ_Ｒ”と称する。また、以下の説明では、Ｒ個のログデータ群のうちのインデックスがｒ（ｒは、１≦ｒ≦Ｒを満たす整数を示す変数）となる一のログデータ群から生成される特徴ベクトルＸＶを、特徴ベクトルＸＶ_ｒと称する。特徴抽出部４２１は、抽出した複数のプロキシログデータ４１１１を解析することで、特徴ベクトルＸＶを生成してもよい。特徴抽出部４２１は、例えば、複数のプロキシログデータ４１１１の統計量を算出する演算処理を行うことで、特徴ベクトルＸＶを生成してもよい。

　特徴ベクトルＸＶは、例えば、送信サイズ情報に関する特徴量を示す要素（つまり、ベクトル成分、以下同じ）を含んでいてもよい。送信サイズ情報に関する特徴量は、送信サイズ情報が示す送信サイズの統計量（例えば、最小値、最大値、平均値、分散及び平均値等の少なくとも一つ）に関する特徴量を含んでいてもよい。特徴ベクトルＸＶは、例えば、受信サイズ情報に関する特徴量を示す要素を含んでいてもよい。受信サイズ情報に関する特徴量は、受信サイズ情報が示す受信サイズの統計量（例えば、最小値、最大値、平均値、分散及び合計値等の少なくとも一つ）に関する特徴量を含んでいてもよい。特徴ベクトルＸＶは、例えば、パス情報に関する特徴量を示す要素を含んでいてもよい。パス情報に関する特徴量は、パス情報が示すリクエストパスのデータ長の統計量（例えば、最小値、最大値、平均値及び分散等の少なくとも一つ）に関する特徴量を含んでいてもよい。パス情報に関する特徴量は、パス情報が示すリクエストパスの拡張子の頻度（例えば、拡張子毎のリクエストの頻度）に関する特徴量を含んでいてもよい。特徴ベクトルＸＶは、例えば、メソッド情報に関する特徴量を示す要素を含んでいてもよい。メソッド情報に関する特徴量は、メソッド情報が示すメソッドの頻度（例えば、ＧＥＴメソッドの割合、ＰＯＳＴメソッドの割合及びその他のメソッドの割合等の少なくとも一つ）に関する特徴量を含んでいてもよい。特徴ベクトルＸＶは、例えば、アクセス時刻の分布（例えば、単位時間（例えば、１時間）当たりに送信されたリクエストの割合）に関する特徴量を示す要素を含んでいてもよい。特徴ベクトルＸＶは、例えば、リクエストが送信された回数に関する特徴量を示す要素を含んでいてもよい。尚、プロキシログデータ４１１１にヘッダ情報が含まれている場合には、特徴ベクトルＸＶは、例えば、ヘッダ情報に関する特徴量を示す要素を含んでいてもよい。

　特徴抽出部４２１が生成した特徴ベクトルＸＶは、記憶装置４１によって、特徴データセット４１２の少なくとも一部として記憶される。特徴データセット４１２のデータ構造の一例が図５に示されている。図５に示すように、記憶装置４１は、特徴抽出部４２１が生成した特徴ベクトルＸＶを含む特徴データＤＶを記憶してもよい。上述したように、特徴抽出部４２１は、同一のログデータ群に分類される複数のプロキシログデータ４１１１から、一つの特徴ベクトルＸＶを生成する。この場合、図５に示すように、特徴データセット４１２は、特徴データＤＶを、所定のログ分類基準によって分類されるログデータ群の数だけ含む。つまり、特徴データセット４１２は、Ｒ個の特徴データＤＶを含んでいてもよい。尚、以下の説明では、Ｒ個の特徴データＤＶを、夫々、下付き文字をインデックスとする“特徴データＤＶ_１からＤＶ_Ｒ”と称する。また、特徴ベクトルＸＶ_ｒを含む特徴データＤＶを、特徴データＤＶ_ｒと称する。

　第２実施形態では、記憶装置４１は、特徴抽出部４２１が生成した特徴ベクトルＸＶを、属性ラベル群ＡＬＧと特徴ベクトルＸＶとが関連付けられた特徴データＤＶとして記憶してもよい。つまり、記憶装置４１は、属性ラベル群ＡＬＧが割り当てられた特徴ベクトルＸＶを、特徴データＤＶとして記憶してもよい。

　属性ラベル群ＡＬＧは、特徴ベクトルＸＶというデータについてのデータ（つまり、特徴ベクトルＸＶというデータのメタデータ）である。この場合、属性ラベル群ＡＬＧは、特徴ベクトルＸＶを分類するためのラベルとして利用可能なデータであってもよい。逆に言えば、特徴抽出部４２１が生成した特徴ベクトルＸＶは、属性ラベル群ＡＬＧによって分類可能であってもよい。属性ラベル群ＡＬＧは、例えば、特徴ベクトルＸＶの類似性を判定するためのラベルとして利用可能なデータであってもよい。言い換えれば、特徴抽出部４２１が生成した少なくとも二つの特徴ベクトルＸＶの類似性は、属性ラベル群ＡＬＧによって判定可能であってもよい。

　第２実施形態では、属性ラベル群ＡＬＧは、複数種類の属性ラベルＡＬを含む。つまり、属性ラベル群ＡＬＧは、複数種類の属性ラベルＡＬの組み合わせに相当する。属性ラベルＡＬは、特徴ベクトルＸＶというデータについてのデータ（つまり、特徴ベクトルＸＶというデータのメタデータ）である。属性ラベルＡＬは、特徴ベクトルＸＶというデータのメタデータとして利用可能である限りは、どのようなデータであってもよい。

　例えば、特徴ベクトルＸＶは、同一のログデータ群に分類される複数のプロキシログデータ４１１１から生成される。このため、特徴ベクトルＸＶを生成するために用いられるログデータ群に関する情報は、特徴ベクトルＸＶのメタデータとして用いられてもよい。つまり、ログデータ群に関する情報を示すラベルが、属性ラベルＡＬとして用いられてもよい。また、上述した説明では、複数のプロキシログデータ４１１１は、所定のログ分類基準に基づいてログデータ群に分類される。このため、複数のプロキシログデータ４１１１を分類するために用いられるログ分類基準に関する情報は、特徴ベクトルＸＶのメタデータとして用いられてもよい。つまり、ログ分類基準に関する情報を示すラベルが、属性ラベルＡＬとして用いられてもよい。また、上述した説明では、ログ分類基準は、クライアント情報、サーバ情報及び通信日時情報が同一になる複数のプロキシログデータ４１１１が同一のログデータ群に分類されるというログ分類基準を含んでいる。この場合には、クライアント情報、サーバ情報及び通信日時情報の夫々は、特徴ベクトルＸＶのメタデータとして用いられてもよい。つまり、クライアント情報を示すラベル、サーバ情報を示すラベル及び通信日時情報を示すラベルの夫々が、属性ラベルＡＬとして用いられてもよい。

　図５は、クライアント情報を識別するためのラベル、サーバ情報を識別するためのラベル及び通信日時情報を識別するためのラベルの夫々が属性ラベルＡＬとして用いられる例を示している。この場合、特徴データセット４１２に含まれる各特徴データＤＶは、特徴ベクトルＸＶと、特徴ベクトルＸＶに対応するクライアント情報を識別するための属性ラベルＡＬ、特徴ベクトルＸＶに対応するサーバ情報を識別するための属性ラベルＡＬ及び特徴ベクトルＸＶに対応する通信日時情報（図５に示す例では、通信日）を識別するための属性ラベルＡＬの組み合わせに相当する属性ラベル群ＡＬＧとを含む。特徴ベクトルＸＶに対応するクライアント情報は、特徴ベクトルＸＶの算出元となるプロキシログデータ４１１１に含まれるクライアント情報を意味していてもよい。特徴ベクトルＸＶに対応するサーバ情報は、特徴ベクトルＸＶの算出元となるプロキシログデータ４１１１に含まれるサーバ情報を意味していてもよい。特徴ベクトルＸＶに対応する通信日時情報は、特徴ベクトルＸＶの算出元となるプロキシログデータ４１１１に含まれる通信日時情報（図５に示す例では、通信日）を意味していてもよい。尚、以下の説明では、クライアント情報を識別するための属性ラベルＡＬを、“クライアントラベルＡＬｃ”と称し、サーバ情報を識別するための属性ラベルＡＬを、“サーバラベルＡＬｓ”と称し、通信日時情報（図５に示す例では、通信日）を識別するための属性ラベルＡＬを、“通信日ラベルＡＬｄ”と称する。

　以下では、説明の便宜上、属性ラベル群ＡＬＧが、クライアントラベルＡＬｃと、サーバラベルＡＬｓと、通信日ラベルＡＬｄとを含む例について説明する。但し、属性ラベルＡＬが図５に示すクライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄの夫々に限定されることはない。以下、属性ラベルＡＬの他の例について説明する。例えば、特徴ベクトルＸＶを生成するために用いられるプロキシログデータ４１１１に関する情報（例えば、プロキシログデータ４１１１のメタデータ）を示すラベルが、属性ラベルＡＬとして用いられてもよい。例えば、プロキシログデータ４１１１に含まれている一方で特徴ベクトルＸＶによって特徴量が示されていない情報を示すラベルが、属性ラベルＡＬとして用いられてもよい。例えば、プロキシログデータ４１１１に含まれている一方で特徴ベクトルＸＶの生成には用いられない情報を示すラベルが、属性ラベルＡＬとして用いられてもよい。例えば、プロキシログデータ４１１１に含まれており且つ特徴ベクトルの類似性及び非類似性の少なくとも一方と相関がある情報を示すラベルが、属性ラベルＡＬとして用いられてもよい。例えば、プロキシログデータ４１１１が、カーディナリティが相対的に高い（つまり、情報の種類が相対的に多い）がゆえに特徴ベクトルＸＶを生成するための利用に相対的に適していない情報を含んでいる場合には、当該情報を示すラベルが属性ラベルＡＬとして用いられてもよい。尚、カーディナリティが相対的に高い情報の一例として、日付情報及び時刻情報等の少なくとも一つがあげられる。例えば、プロキシログデータ４１１１が、後述する検索部４２４による検索時には未知となる又は不定となる可能性が相対的に高い情報を含んでいる場合には、当該情報を示すラベルが属性ラベルＡＬとして用いられてもよい。尚、検索部４２４による検索時には未知となる又は不定となる可能性が相対的に高い情報の一例として、クライアント２を利用するユーザのユーザ名、クライアント２のマシン名及びサーバ３のマシン名等の少なくとも一つがあげられる。

　再び図３において、計量学習部４２２は、特徴ベクトルＸＶを変換可能な変換モデルＴＭを生成するための計量学習を行う。特徴ベクトルＸＶは、表現空間（つまり、ベクトル空間）内で、プロキシログデータ４１１１の特徴量を示している。変換モデルＴＭは、このような表現空間内でプロキシログデータ４１１１の特徴量を示す特徴ベクトルＸＶを、表現空間とは異なるベクトル空間である潜在空間内でプロキシログデータ４１１１の特徴量を示す潜在ベクトルＺＶに変換するモデルである。上述したようにＲ個の特徴ベクトルＸＶ_１からＸＶ_Ｒが生成されるため、変換モデルＴＭは、Ｒ個の特徴ベクトルＸＶ_１からＸＶ_Ｒを、夫々、Ｒ個の潜在ベクトルＺＶ_１からＺＶ_Ｒに変換してもよい。つまり、変換モデルＴＭは、特徴ベクトルＸＶ_ｒを、潜在ベクトルＺＶ_ｒに変換してもよい。計量学習部４２２が生成した変換モデルＴＭは、例えば、記憶装置４１によって記憶される。

　変換モデルＴＭは、計量学習によって生成されるがゆえに、学習可能なモデルである。例えば、変換モデルＴＭは、パラメータ（例えば、重み及びバイアスの少なくとも一つ）を学習可能なニューラルネットワークを含むモデルであってもよい。

　潜在ベクトルＺＶのベクトル成分の要素数（つまり、潜在ベクトルＺＶが示す特徴量の要素数であり、潜在空間の次元数）は、典型的には、特徴ベクトルＸＶのベクトル成分の要素数（つまり、特徴ベクトルＸＶが示す特徴量の要素数であり、表現空間の次元数）よりも少なくなることが好ましい。このため、潜在ベクトルＺＶは、低次元ベクトルと称されてもよいし、特徴ベクトルＸＶは、高次元ベクトルと称されてもよい。このように特徴ベクトルＸＶが特徴ベクトルＸＶよりも低次元の潜在ベクトルＺＶに変換される場合には、特徴ベクトルＸＶが潜在ベクトルＺＶに変換されない場合と比較して、脅威検出動作に対して人の感覚が相対的に強く反映される（つまり、人の感覚が相対的に強く考慮された上で、脅威が検出される）というメリットがある。但し、潜在ベクトルＺＶのベクトル成分の要素数は、特徴ベクトルＸＶのベクトル成分の要素数と同一であってもよい。潜在ベクトルＺＶのベクトル成分の要素数は、特徴ベクトルＸＶのベクトル成分の要素数よりも多くてもよい。

　計量学習部４２２は、例えば、計量学習を行うために用いられるニューラルネットワークを用いて、計量学習を行ってもよい。第２実施形態では、計量学習部４２２は、計量学習を行うために用いられるニューラルネットワークの一例として、シャムネットワーク（Ｓｉａｍｅｓｅ　Ｎｅｔｗｏｒｋ）を用いる。但し、計量学習を行うために用いられるニューラルネットワークがシャムネットワークに限定されることはない。例えば、後述する第３実施形態で説明するように、計量学習部４２２は、計量学習を行うために用いられるニューラルネットワークの一例として、トリプレットネットワーク（Ｔｒｉｐｌｅｔ　Ｎｅｔｗｏｒｋ）を用いてもよい。

　データ抽出部４２３は、特徴データセット４１２から、少なくとも二つの特徴ベクトルＸＶを、教師データ４１３０（後述する図９参照）の少なくとも一部として抽出する。その結果、データ抽出部４２３は、抽出した少なくとも二つの特徴ベクトルＸＶを含む教師データ４１３０を生成する。データ抽出部４２３は、典型的には、教師データ４１３０を複数生成する。データ抽出部４２３が生成した教師データ４１３０（典型的には、複数の教師データ４１３０）は、教師データセット４１３として記憶装置４１によって記憶される。

　上述したように、第２実施形態では、計量学習を行うためにシャムネットワークが用いられる。この場合、データ抽出部４２３は、二つの特徴ベクトルＸＶ（つまり、特徴ベクトルＸＶのペアであり、以降、必要に応じて“ベクトルペアＸＶＰ”と称する）を、教師データ４１３０の少なくとも一部として抽出する。ベクトルペアＸＶＰが正例ペア（つまり、潜在空間での距離が近づくように計量学習が行われる特徴ベクトルＸＶのペア）として抽出される場合には、当該ベクトルペアＸＶＰを含む教師データ４１３０は、正例データとして用いられる。一方で、ベクトルペアＸＶＰが負例ペア（つまり、潜在空間での距離が離れるように計量学習が行われる特徴ベクトルＸＶのペア）として抽出される場合には、当該ベクトルペアＸＶＰを含む教師データ４１３０は、負例データとして用いられる。

　第２実施形態では、データ抽出部４２３は、記憶装置４１が記憶している抽出定義情報４１４に基づいて、特徴データセット４１２から、少なくとも二つの特徴ベクトルＸＶ（第２実施形態では、ベクトルペアＸＶＰ）を抽出する。尚、抽出定義情報４１４に基づいて少なくとも二つの特徴ベクトルＸＶを抽出する動作の詳細については、抽出定義情報４１４の詳細と共に後に詳述する。

　検索部４２４は、脅威検出動作によって検出したい脅威（以降、“検出ターゲット脅威”と称する）を指定するクエリデータＤＱに基づいて、特徴データセット４１２から、クエリデータＤＱに対する類似性が他の特徴データＤＶと比較して高い少なくとも一つの特徴データＤＶを検索する。第２実施形態では、クエリデータＤＱと特徴データＤＶとの類似性と示す指標値として、潜在空間におけるクエリデータＤＱと特徴データＤＶとの間の距離が用いられる例について説明する。尚、潜在空間におけるクエリデータＤＱと特徴データＤＶとの間の距離は、クエリデータＤＱが示す特徴ベクトルＸＱ（つまり、検出ターゲット脅威の特徴量を示す特徴ベクトル）を変換モデルＴＭで変換することで得られる潜在ベクトルＺＱと、特徴データＤＶが示す特徴ベクトルＸＶを変換モデルＴＭで変換することで得られる潜在ベクトルＺＶとの間の距離を意味する。このため、第２実施形態では、検索部４２４は、特徴データセット４１２から、潜在空間におけるクエリデータＤＱからの距離が他の特徴データＤＶと比較して短い少なくとも一つの特徴データＤＶを検索する。

　クエリデータＤＱは、検出ターゲット脅威の特徴量を示す特徴ベクトルＸＱを含んでいてもよい。この際、クエリデータＤＱの特徴ベクトルＸＱの次元数は、特徴データＤＶの特徴ベクトルＸＶの次元数と同じであることが好ましい。つまり、特徴ベクトルＸＶの次元数がＦ（但し、Ｆは、１以上の整数を示す定数）である場合には、特徴ベクトルＸＱの次元数もまたＦであることが好ましい。特に、特徴ベクトルＸＶのＦ個のベクトル成分が夫々示すＦ個の特徴量の種類は、特徴ベクトルＸＱのＦ個のベクトル成分が夫々示すＦ個の特徴量の種類と同一であることが好ましい。例えば、特徴ベクトルＸＶが、受信サイズに関する特徴量を示すベクトル成分と送信サイズに関する特徴量を示すベクトル成分とを含む場合には、特徴ベクトルＸＱもまた、受信サイズに関する特徴量を示すベクトル成分と送信サイズに関する特徴量を示すベクトル成分とを含むことが好ましい。

　第２実施形態では、検索部４２４が、特徴データセット４１２から、潜在空間におけるクエリデータＤＱからの距離が他の特徴データＤＶと比較して短いＮ（尚、Ｎは、１≦Ｎ≦特徴データＤＶの総数Ｒを満たす整数を示す定数）個の特徴データＤＶを検索する例について説明する。この場合、検索部４２４は、検索されたＮ個の特徴データＤＶを、夫々、Ｎ個の近傍データＤＮ（以下、Ｎ個の近傍データＤＮを、夫々、“近傍データＤＮ_１からＤＮ_Ｎ”と称する）として抽出する。

　近傍データＤＮ_ｎ（尚、ｎは、１≦ｎ≦Ｎを満たす整数を示す変数である）は、潜在空間においてクエリデータＤＱの近傍に位置するデータに相当する。つまり、近傍データＤＮ_ｎは、クエリデータＤＱが指定する検出ターゲット脅威と同じ又は類似する脅威の痕跡を示すプロキシログデータ４１１１の特徴量を示す特徴データＤＶに相当する。このため、近傍データＤＮ_ｎが検出された場合には、検出ターゲット脅威と同じ又は類似する脅威がローカルシステムＬＳに既に侵入した可能性があると想定される。このため、抽出された近傍データＤＮ_ｎ（或いは、近傍データＤＮ_ｎに対応するプロキシログデータ４１１１）は、ローカルシステムＬＳに実際に脅威が侵入したか否かを判定するために、更に解析されてもよい。

　出力制御部４２５は、検索部４２４が抽出したＮ個の近傍データＤＮ_１からＤＮ_Ｎの少なくとも一つに関する情報を出力するように、後述する出力装置４４を制御してもよい。

　入力装置４３は、情報処理装置４の外部からの情報処理装置４に対する情報の入力を受け付ける装置である。例えば、入力装置４３は、情報処理装置４のユーザが操作可能な操作装置（例えば、キーボード、マウス及びタッチパネルのうちの少なくとも一つ）を含んでいてもよい。例えば、入力装置４３は、情報処理装置４の外部から通信ネットワークを介して情報処理装置４にデータとして送信される情報を受信可能な受信装置（つまり、通信装置）を含んでいてもよい。

　出力装置４４は、情報を出力する装置である。例えば、出力装置４４は、情報処理装置４が行う脅威検出動作に関する情報（例えば、検出された脅威に関する情報）を出力してもよい。このような出力装置４４の一例として、情報を画像として出力可能な（つまり、表示可能な）ディスプレイ（表示装置）があげられる。出力装置４４の一例として、情報を音声として出力可能なスピーカ（音声出力装置）があげられる。出力装置４４の一例として、情報が印刷された文書を出力可能なプリンタがあげられる。出力装置４４の一例として、通信ネットワーク又はデータバスを介して情報をデータとして送信可能な送信装置（つまり、通信装置）があげられる。

　（２－２）情報処理装置４が行う動作
　続いて、情報処理装置４が行う動作について説明する。上述したように、情報処理装置４は、ローカルシステムＬＳに既に侵入している脅威を検出するための脅威検出動作を行う。更に、情報処理装置４は、脅威検出動作を行う前に、脅威検出動作で用いる変換モデルＴＭを生成するためのモデル生成動作を行ってもよい。このため、以下では、モデル生成動作と脅威検出動作とについて順に説明する。

　（２－２－１）モデル生成動作
　初めに、図６を参照しながら、情報処理装置４が行うモデル生成動作について説明する。図６は、情報処理装置４が行うモデル生成動作の流れを示すフローチャートである。

　図６に示すように、データ抽出部４２３は、教師データ４１３０を生成する（ステップＳ１１）。教師データ４１３０を生成するために、データ抽出部４２３は、特徴データセット４１２から、二つの特徴ベクトルＸＶ（つまり、ベクトルペアＸＶＰ）を教師データ４１３０の少なくとも一部として抽出する。上述したように、第２実施形態では、データ抽出部４２３は、抽出定義情報４１４に基づいて、特徴データセット４１２から、ベクトルペアＸＶＰを教師データ４１３０の少なくとも一部として抽出する。

　ここで、抽出定義情報４１４を示す図７を参照しながら、抽出定義情報４１４について説明する。図７に示すように、抽出定義情報４１４は、複数の抽出定義データ４１４０を含む。以下の説明では、抽出定義情報４１４がＱ（但し、Ｑは、２以上の整数を示す定数）個の抽出定義データ４１４０を含む例について説明する。各抽出定義データ４１４０は、定義識別子４１４１と、抽出指定情報４１４２とを含む。尚、各抽出定義データ４１４０は、損失情報４１４３も含んでいるが、損失情報４１４３については、教師データ４１３０が生成された後に行われる計量学習について説明する際に合わせて説明する。

　定義識別子４１４１は、抽出定義データ４１４０を識別するための固有の識別子である。図７に示す例では、抽出定義情報４１４は、「ＤＩ１」という定義識別子４１４１が割り当てられた抽出定義データ４１４０、「ＤＩ２」という定義識別子４１４１が割り当てられた抽出定義データ４１４０、「ＤＩ３」という定義識別子４１４１が割り当てられた抽出定義データ４１４０及び「ＤＩ４」という定義識別子４１４１が割り当てられた抽出定義データ４１４０を含んでいる。尚、以下の説明では、「ＤＩｑ（尚、ｑは、１≦ｑ≦Ｑを満たす整数を示す変数）」という定義識別子４１４１が割り当てられた抽出定義データ４１４０を、“抽出定義データ４１４０＃ｑ”と称する。また、以下の説明では、抽出定義データ４１４０＃ｑに含まれる抽出指定情報４１４２及び損失情報４１４３を、夫々、“抽出指定情報４１４２＃ｑ”及び“損失情報４１４３＃ｑ”と称する。

　抽出指定情報４１４２は、少なくとも二つの特徴ベクトルＸＶを教師データ４１３０の少なくとも一部として抽出する（第２実施形態では、ベクトルペアＸＶＰを抽出する）ための抽出条件を指定する（言い換えれば、示す）。つまり、抽出指定情報４１４２は、抽出条件を指定することで、教師データ４１３０の少なくとも一部として抽出されるべきベクトルペアＸＶＰを指定しているとみなしてもよい。データ抽出部４２３は、特徴データセット４１２から、抽出指定情報４１４２が指定する抽出条件を満たすベクトルペアＸＶＰを、教師データ４１３０の少なくとも一部として抽出する。

　第２実施形態では、抽出指定情報４１４２は、抽出条件を、抽出されるべきベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の関係によって指定する。この場合、データ抽出部４２３は、特徴データセット４１２から、抽出条件が指定している関係を満たす二つの属性ラベル群ＡＬＧが夫々割り当てられたベクトルペアＸＶＰを、教師データ４１３０の少なくとも一部として抽出する。

　抽出条件は、「正例ペアとして用いられるベクトルペアＸＶＰが抽出される」という正例条件を含んでいてもよい。第２実施形態では、類似性が相対的に高い二つの属性ラベル群ＡＬＧが夫々割り当てられたベクトルペアＸＶＰが、正例ペアとして用いられてもよい。以下の説明では、説明の便宜上、正例ペアを定義する「類似性が相対的に高い二つの属性ラベル群ＡＬＧ」を、“高類似ラベル群ペアＡＬＧｐ”と称する。このため、抽出条件（特に、正例ペアとして用いられるベクトルペアＸＶＰを抽出するための抽出条件）は、「高類似ラベル群ペアＡＬＧｐが夫々割り当てられたベクトルペアＸＶＰが抽出される」という正例条件を含んでいてもよい。

　抽出条件は、「負例ペアとして用いられるベクトルペアＸＶＰが抽出される」という負例条件を含んでいてもよい。第２実施形態では、類似性が相対的に低い二つの属性ラベル群ＡＬＧが夫々割り当てられたベクトルペアＸＶＰが、負例ペアとして用いられてもよい。以下の説明では、説明の便宜上、負例ペアを定義する「類似性が相対的に低い二つの属性ラベル群ＡＬＧ」を、“低類似ラベル群ペアＡＬＧｎ”と称する。このため、抽出条件（特に、負例ペアとして用いられるベクトルペアＸＶＰを抽出するための抽出条件）は、「低類似ラベル群ペアＡＬＧｎが夫々割り当てられたベクトルペアＸＶＰが抽出される」という負例条件を含んでいてもよい。

　抽出条件は、「高類似ラベル群ペアＡＬＧｐよりも類似性が低く且つ低類似ラベル群ペアＡＬＧｎよりも類似性が高い二つの属性ラベル群ＡＬＧが夫々割り当てられたベクトルペアＸＶＰが抽出される」という中間条件を含んでいてもよい。以下の説明では、説明の便宜上、「高類似ラベル群ペアＡＬＧｐよりも類似性が低く且つ低類似ラベル群ペアＡＬＧｎよりも類似性が高い二つの属性ラベル群ＡＬＧ」を、“中間類似ラベル群ペアＡＬＧｉ”と称する。このため、抽出条件は、「中間類似ラベル群ペアＡＬＧｉが夫々割り当てられたベクトルペアＸＶＰが抽出される」という中間条件を含んでいてもよい。中間条件に基づいて抽出されたベクトルペアＸＶＰは、正例ペアとして用いられてもよい。中間条件に基づいて抽出されたベクトルペアＸＶＰは、正例ペアとして用いられることに加えて又は代えて、負例ペアとして用いられてもよい。

　高類似ラベル群ペアＡＬＧｐの類似性と、低類似ラベル群ペアＡＬＧｎの類似性と、中間類似ラベル群ペアＡＬＧｉの類似性との関係は、あくまで相対的な関係である。つまり、低類似ラベル群ペアＡＬＧｎの類似性よりも高く且つ中間類似ラベル群ペアＡＬＧｉの類似性よりも高い類似性を有する任意の二つの属性ラベル群ＡＬＧが、高類似ラベル群ペアＡＬＧｐとして用いられてもよい。高類似ラベル群ペアＡＬＧｐの類似性よりも低く且つ中間類似ラベル群ペアＡＬＧｉの類似性よりも低い類似性を有する任意の二つの属性ラベル群ＡＬＧが、低類似ラベル群ペアＡＬＧｎとして用いられてもよい。高類似ラベル群ペアＡＬＧｐの類似性よりも低く且つ低類似ラベル群ペアＡＬＧｎの類似性よりも高い類似性を有する任意の二つの属性ラベル群ＡＬＧが、中間類似ラベル群ペアＡＬＧｉとして用いられてもよい。

　第２実施形態では、上述したように、属性ラベル群ＡＬＧは、複数種類の属性ラベルＡＬを含んでいる。この場合、属性ラベル群ＡＬＧの類似性は、複数種類の属性ラベルＡＬの夫々の類似性に依存していてもよい。例えば、複数種類の属性ラベルＡＬの全ての類似性が相対的に高い（例えば、複数種類の属性ラベルＡＬの全てが一致している）二つの属性ラベル群ＡＬＧの類似性は、複数種類の属性ラベルＡＬのうちの少なくとも一つの類似性が相対的に低い（例えば、複数種類の属性ラベルＡＬのうちの少なくとも一つが一致していない）二つの属性ラベル群ＡＬＧの類似性よりも高い。同様に、例えば、複数種類の属性ラベルＡＬの全ての類似性が相対的に低い二つの属性ラベル群ＡＬＧの類似性は、複数種類の属性ラベルＡＬのうちの少なくとも一つの類似性が相対的に高い二つの属性ラベル群ＡＬＧの類似性よりも低い。従って、類似性が相対的に高い属性ラベルのＡＬの種類の数及び類似性が相対的に低い属性ラベルのＡＬの種類の数に応じて、高類似ラベル群ペアＡＬＧｐ、低類似ラベル群ペアＡＬＧｎ及び中間類似ラベル群ペアＡＬＧｉが定義されてもよい。例えば、一致している属性ラベルのＡＬの種類の数及び一致していない属性ラベルのＡＬの種類の数に応じて、高類似ラベル群ペアＡＬＧｐ、低類似ラベル群ペアＡＬＧｎ及び中間類似ラベル群ペアＡＬＧｉが定義されてもよい。

　一例として、第２実施形態では、上述したように、属性ラベル群ＡＬＧは、クライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄという３種類の属性ラベルＡＬを含んでいる。この場合、３種類の属性ラベルＡＬの全てが一致している二つの属性ラベル群ＡＬＧの類似性は、３種類の属性ラベルＡＬのうちの少なくとも一つが一致していない二つの属性ラベル群ＡＬＧの類似性よりも高い。同様に、３種類の属性ラベルＡＬのうちのいずれか二つが一致している二つの属性ラベル群ＡＬＧの類似性は、３種類の属性ラベルＡＬのうちの少なくとも二つが一致していない二つの属性ラベル群ＡＬＧの類似性よりも高い。同様に、３種類の属性ラベルＡＬのうちのいずれか一つが一致している二つの属性ラベル群ＡＬＧの類似性は、３種類の属性ラベルＡＬの全てが一致していない二つの属性ラベル群ＡＬＧの類似性よりも高い。この場合、一致する属性ラベルのＡＬの種類の数に応じて、高類似ラベル群ペアＡＬＧｐ、低類似ラベル群ペアＡＬＧｎ及び中間類似ラベル群ペアＡＬＧｉが定義されてもよい。例えば、クライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄの全てが一致している二つの属性ラベル群ＡＬＧが、高類似ラベル群ペアＡＬＧｐとして用いられてもよい。例えば、クライアントラベルＡＬｃ及びサーバラベルＡＬｓが一致している二つの属性ラベル群ＡＬＧが、高類似ラベル群ペアＡＬＧｐとして用いられてもよい。例えば、クライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄの全てが一致していない二つの属性ラベル群ＡＬＧが、低類似ラベル群ペアＡＬＧｎとして用いられてもよい。例えば、クライアントラベルＡＬｃ及びサーバラベルＡＬｓのいずれか一方が一致している一方で、クライアントラベルＡＬｃ及びサーバラベルＡＬｓのいずれか他方が一致していない二つの属性ラベル群ＡＬＧが、中間類似ラベル群ペアＡＬＧｐとして用いられてもよい。

　尚、抽出条件は、属性ラベル群ＡＬＧに含まれる複数種類の属性ラベルＡＬの全てを用いる条件を含んでいてもよい。例えば、抽出条件は、属性ラベル群ＡＬＧに含まれるクライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄの全てを用いる条件を含んでいてもよい。或いは、抽出条件は、属性ラベル群ＡＬＧに含まれる複数種類の属性ラベルＡＬの一部を用いる一方で、属性ラベル群ＡＬＧに含まれる複数種類の属性ラベルＡＬの他の一部を用いない条件を含んでいてもよい。例えば、抽出条件は、属性ラベル群ＡＬＧに含まれるクライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄの一部を用いる一方で、属性ラベル群ＡＬＧに含まれるクライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄの他の一部を用いない条件を含んでいてもよい。例えば、通信日ラベルＡＬｄを用いない抽出条件は、抽出されるベクトルペアＸＶＰの間での通信日ラベルＡＬｄの類似性を問わない（例えば、抽出されるベクトルペアＸＶＰの間で通信日ラベルＡＬｄが一致するか又は不一致であるか否かを問わない）条件であってもよい。

　抽出指定情報４１４２は、二つの属性ラベル群ＡＬＧの間の関係を直接的に指定することで、抽出条件を指定してもよい。或いは、抽出指定情報４１４２は、内容が予め定義されている複数の抽出条件（つまり、二つの属性ラベル群ＡＬＧの間の関係が予め定義されている複数の抽出条件）のうちのいずれか一つを、抽出条件を識別するための固有の条件識別子を用いて指定していてもよい。図７に示す例では、抽出指定情報４１４２は、複数の抽出条件のうちのいずれか一つを、条件識別子を用いて指定している。具体的には、図７に示す例では、抽出指定情報４１４２＃１は、「Ｅ１」という条件識別子が割り当てられた抽出条件を指定し、抽出指定情報４１４２＃２は、「Ｅ２」という条件識別子が割り当てられた抽出条件を指定し、抽出指定情報４１４２＃３は、「Ｅ２」という条件識別子が割り当てられた抽出条件を指定し、抽出指定情報４１４２＃４は、「Ｅ３」という条件識別子が割り当てられた抽出条件を指定している。

　複数の抽出条件の内容（つまり、抽出条件として用いられる、二つの属性ラベル群ＡＬＧの間の関係）は、条件定義テーブル４１５によって予め定義されていてもよい。条件定義テーブル４１５の一例が、図８に示されている。図８に示すように、条件定義テーブル４１５は、複数の抽出条件の内容を夫々定義する複数の条件定義データ４１５０を含んでいてもよい。各条件定義データ４１５０は、条件識別子４１５１と、属性関係情報４１５２とを含む。条件識別子４１５１は、条件定義データ４１５０を識別するための固有の識別子である。抽出指定情報４１４２は、この条件識別子４１５１を用いて、抽出条件を指定してもよい。属性関係情報４１５２は、教師データ４１３０の一部として抽出されるベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧが満たすべき関係を示す。具体的には、属性関係情報４１５２は、教師データ４１３０の一部として抽出されるベクトルペアＸＶＰの間で、属性ラベル群ＡＬＧに含まれる複数種類の属性ラベルＡＬが満たすべき関係を示す。

　図８に示す例では、条件定義テーブル４１５は、「Ｅ１」という条件識別子４１５１が割り当てられた条件定義データ４１５０（以降、“条件定義データ４１５０＃１”と称する）と、「Ｅ２」という条件識別子４１５１が割り当てられた条件定義データ４１５０（以降、“条件定義データ４１５０＃２”と称する）と、「Ｅ３」という条件識別子４１５１が割り当てられた条件定義データ４１５０（以降、“条件定義データ４１５０＃３”と称する）とを含む。条件定義データ４１５０＃１は、「クライアントラベルＡＬｃ及びサーバラベルＡＬｓが一致し、且つ、通信日ラベルＡＬｄが一致していてもよいし一致していなくてもよいベクトルペアＸＶＰが抽出される」という抽出条件を定義する属性関係情報４１５２を含む。条件定義データ４１５０＃２は、「クライアントラベルＡＬｃが一致し、サーバラベルＡＬｓが一致せず、且つ、通信日ラベルＡＬｄが一致していてもよいし一致していなくてもよいベクトルペアＸＶＰが抽出される」という抽出条件を定義する属性関係情報４１５２を含む。条件定義データ４１５０＃３は、「クライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄの全てが一致しないベクトルペアＸＶＰが抽出される」という抽出条件を定義する属性関係情報４１５２を含む。

　再び図７において、複数の抽出定義データ４１４０のうちの少なくとも二つに夫々含まれる少なくとも二つの抽出指定情報４１４２は、同じ抽出条件を指定していてもよい。図７に示す例では、抽出指定情報４１４２＃２は、抽出指定情報４１４２＃３が指定する抽出条件と同じ抽出条件を指定している。また、複数の抽出定義データ４１４０のうちの少なくとも二つに夫々含まれる少なくとも二つの抽出指定情報４１４２は、異なる抽出条件を指定していてもよい。図７に示す例では、抽出指定情報４１４２＃１は、抽出指定情報４１４２＃２から４１４２＃４が指定する抽出条件とは異なる抽出条件を指定している。抽出指定情報４１４２＃２及び４１４２＃３の夫々は、抽出指定情報４１４２＃４が指定する抽出条件とは異なる抽出条件を指定している。

　データ抽出部４２３は、このような抽出指定情報４１４２に基づいて、特徴データセット４１２から、抽出指定情報４１４２が指定する抽出条件を満たすベクトルペアＸＶＰを、教師データ４１３０の少なくとも一部として抽出する。抽出条件を満たすベクトルペアＸＶＰが特徴データセット４１２の中に複数存在する場合には、データ抽出部４２３は、複数のベクトルペアＸＶＰの全てを抽出してもよい。或いは、データ抽出部４２３は、複数のベクトルペアＸＶＰの一部を抽出する一方で、複数のベクトルペアＸＶＰの他の一部を抽出しなくてもよい。

　データ抽出部４２３は、抽出条件を満たすベクトルペアＸＶＰを抽出する動作を、抽出定義データ４１４０の数だけ（つまり、抽出指定情報４１４２の数だけ）繰り返す。図７に示す例では、抽出定義情報４１４は、抽出定義データ４１４０＃１から４１４０＃４（つまり、抽出指定情報４１４２＃１から４１４２＃４）を含む。この場合、データ抽出部４２３は、抽出指定情報４１４２＃１が指定する抽出条件を満たすベクトルペアＸＶＰの全て又は一部を抽出し、抽出指定情報４１４２＃２が指定する抽出条件を満たす特徴ベクトルＸＶのペアの全て又は一部を抽出し、抽出指定情報４１４２＃３が指定する抽出条件を満たすベクトルペアＸＶＰの全て又は一部を抽出し、抽出指定情報４１４２＃４が指定する抽出条件を満たすベクトルペアＸＶＰの全て又は一部を抽出する。但し、上述したように、抽出指定情報４１４２＃２が指定する抽出条件は、抽出指定情報４１４２＃３が指定する抽出条件と同一である。この場合には、データ抽出部４２３は、抽出指定情報４１４２＃２及び４１４２＃３のいずれか一方が指定する抽出条件を満たすベクトルペアＸＶＰの全て又は一部を、抽出指定情報４１４２＃２及び４１４２＃３の夫々が指定する抽出条件を満たすベクトルペアＸＶＰとして抽出してもよい。

　一の抽出条件を満たすベクトルペアＸＶＰは、一の抽出条件とは異なる他の抽出条件を満たすことは、基本的にはない。このため、データ抽出部４２３は、一の抽出条件を満たすベクトルペアＸＶＰの全て又は一部を抽出した後に他の抽出条件を満たすベクトルペアＸＶＰの全て又は一部を抽出する場合に、一の抽出条件に基づいて抽出されたベクトルペアＸＶＰを、他の抽出条件を満たすベクトルペアＸＶＰの抽出対象（つまり、検索対象）の母集団から除外してもよい。この場合、ベクトルペアＸＶＰの抽出対象となる母集団が小さくなるがゆえに、他の抽出条件を満たすベクトルペアＸＶＰを抽出するための処理負荷が低減可能となる。更に、データ抽出部４２３は、一の抽出条件に基づいて抽出されたベクトルペアＸＶＰを構成する複数の特徴ベクトルＸＶを抽出対象の母集団に設定した上で、一の抽出条件に基づいて抽出されたベクトルペアＸＶＰとは異なるベクトルペアＸＶＰの中から、他の抽出条件を満たす特徴ベクトルＸＶのペアを抽出してもよい。この場合、ベクトルペアＸＶＰの抽出対象となる母集団が小さくなるがゆえに、他の抽出条件に基づいてベクトルペアＸＶＰを抽出するための処理負荷が低減可能となる。

　データ抽出部４２３は、抽出したベクトルペアＸＶＰを含む教師データ４１３０を、教師データセット４１３に登録する。つまり、データ抽出部４２３は、抽出したベクトルペアＸＶＰを含む教師データ４１３０を、教師データセット４１３の一部として記憶装置４１に記憶させる。

　教師データセット４１３のデータ構造の一例が、図９に示されている。図９に示すように、教師データセット４１３は、複数の教師データ４１３０を含む。各教師データ４１３０は、データ抽出部４２３が抽出したベクトルペアＸＶＰに関するベクトル情報４１３１を含む。ベクトル情報４１３１は、ベクトルペアＸＶＰそのものを含んでいてもよい。或いは、ベクトル情報４１３１は、ベクトルペアＸＶＰを識別するためのデータ識別子のペアを含んでいてもよい。図９は、ベクトルペアＸＶＰを識別するためのデータ識別子のペアをベクトル情報４１３１が含む例を示している。図９に示す例では、特徴ベクトルＸＶに割り当てられた属性ラベル群ＡＬＧが、データ識別子として用いられている。

　教師データ４１３０は更に、ベクトル情報４１３１が示すベクトルペアＸＶＰを抽出するために用いた抽出定義データ４１４０を特定する定義特定情報４１３２を含む。つまり、教師データ４１３０は、ベクトル情報４１３１と、ベクトル情報４１３１が示すベクトルペアＸＶＰを抽出するために用いた抽出定義データ４１４０を特定する定義特定情報４１３２とが関連付けられたデータである。定義特定情報４１３２は、例えば、抽出定義データ４１４０を識別するための定義識別子４１４１を用いて、抽出定義データ４１４０を特定してもよい。図９に示す例では、教師データセット４１３には、抽出定義データ４１４０＃１（つまり、抽出指定情報４１４２＃１）に基づいて抽出された三つのベクトルペアＸＶＰを夫々含む三つの教師データ４１３０と、抽出定義データ４１４０＃２（つまり、抽出指定情報４１４２＃２）に基づいて抽出された二つのベクトルペアＸＶＰを夫々含む二つの教師データ４１３０と、抽出定義データ４１４０＃３（つまり、抽出指定情報４１４２＃３）に基づいて抽出された二つのベクトルペアＸＶＰを夫々二つの教師データ４１３０と、抽出定義データ４１４０＃４（つまり、抽出指定情報４１４２＃４）に基づいて抽出された一つのベクトルペアＸＶＰを含む一つの教師データ４１３０とを含んでいる。

　再び図６において、教師データ４１３０が生成された後に、計量学習部４２２は、ステップＳ１１で生成された教師データ４１３０を用いた計量学習を行うことで、変換モデルＴＭを生成する（ステップＳ１２）。

　ここで、図１０を参照しながら、計量学習（第２実施形態では、シャムネットワークを用いた計量学習）について説明する。図１０は、シャムネットワークＳＭのモデル構造を概念的に示す。図１０に示すように、シャムネットワークＳＭは、変換モデルＴＭ１及び変換モデルＴＭ２を含む。変換モデルＴＭ１と変換モデルＴＭ２とは、同一である。例えば、変換モデルＴＭ１及びＴＭ２は、パラメータが同一となる二つのニューラルネットワークである。変換モデルＴＭ１及びＴＭ２は、変換モデルＴＭと同様に、特徴ベクトルＸＶを潜在ベクトルＺＶに変換可能である。計量学習が行われる場合には、計量学習部４２２は、変換モデルＴＭ１及びＴＭ２に、教師データ４１３０に含まれる（或いは、教師データ４１３０が示す）ベクトルペアＸＶＰを夫々入力する。具体的には、ベクトルペアＸＶＰを構成する二つの特徴ベクトルＸＶを、以降の説明では、夫々、“特徴ベクトルＸＶ_ｉ”及び“特徴ベクトルＸＶ_ｊ”と称する。尚、「ｉ」は、１≦ｉ≦Ｒ（つまり、特徴ベクトルＸＶの総数）を満たす整数を示す変数であり、「ｊ」は、１≦ｊ≦Ｒを満たし且つ変数ｉとは異なる整数を示す変数である。この場合、計量学習部４２２は、特徴ベクトルＸＶ_ｉを変換モデルＴＭ１に入力し、特徴ベクトルＸＶ_ｊを変換モデルＴＭ２に入力する。その結果、変換モデルＴＭ１は、潜在ベクトルＺＶ_ｉを出力し、変換モデルＴＭ２は、潜在ベクトルＺＶ_ｊを出力する。その後、計量学習部４２２は、潜在ベクトルＺＶ_ｉと潜在ベクトルＺＶ_ｊとの間の距離ｄ（ｉ，ｊ）を算出する。同様の動作を、計量学習部４２２は、教師データセット４１３に含まれる複数の教師データ４１３０を用いて繰り返す。その後、計量学習部４２２は、複数の教師データ４１３０を用いて夫々算出された複数の距離ｄ（ｉ，ｊ）に基づいて損失Ｌを算出し、損失Ｌに基づいて、正例データに相当する教師データ４１３０を用いて算出された距離ｄ（ｉ，ｊ）が短くなり、且つ、負例データに相当する教師データ４１３０を用いて算出された距離ｄ（ｉ，ｊ）が長くなるように、変換モデルＴＭ１（更には、変換モデルＴＭ２）を更新する。つまり、計量学習部４２２は、正例ペアに相当するベクトルペアＸＶＰが近づき、且つ、負例ペアに相当するベクトルペアＸＶＰが離れるように、変換モデルＴＭ１（更には、変換モデルＴＭ２）を更新する。その結果生成された変換モデルＴＭ１（或いは、変換モデルＴＭ２）が、変換モデルＴＭとして用いられる。例えば、変換モデルＴＭ１（或いは、変換モデルＴＭ２）のパラメータが、変換モデルＴＭのパラメータとして用いられる。

　第２実施形態では特に、計量学習部４２２は、抽出定義情報４１４に含まれる損失情報４１４３を用いて損失Ｌを算出する。損失情報４１４３は、計量学習で用いられる損失Ｌ（つまり、距離ｄ（ｉ，ｊ）に基づいて算出される損失Ｌ）を定義する。特に、損失情報４１４３は、損失情報４１４３に対応する抽出指定情報４１４２に基づいて抽出されたベクトルペアＸＶＰに関する損失Ｌ（つまり、抽出指定情報４１４２に基づいて抽出されたベクトルペアＸＶＰに固有の損失Ｌであり、以降、“損失Ｌｃ”と称する）を定義する。より具体的には、損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑが指定する抽出条件を満たすベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）に基づいて算出される損失Ｌｃ＃ｑを定義する。つまり、上述したように抽出定義情報４１４がＱ個の抽出定義データ４１４０＃１から４１４０＃Ｑを含む（つまり、Ｑ個の損失情報４１４３＃１から４１４３＃Ｑを含む）場合には、損失情報４１４３＃１は、抽出指定情報４１４２＃１が指定する抽出条件を満たすベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）に基づいて算出される損失Ｌｃ＃１を定義し、損失情報４１４３＃２は、抽出指定情報４１４２＃２が指定する抽出条件を満たすベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）に基づいて算出される損失Ｌｃ＃２を定義し、・・・、損失情報４１４３＃Ｑは、抽出指定情報４１４２＃Ｑが指定する抽出条件を満たすベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）に基づいて算出される損失Ｌｃ＃Ｑを定義する。この場合、損失情報４１４３＃ｑは、損失Ｌｃ＃ｑを定義することで、損失Ｌｃ＃ｑを用いて算出される損失Ｌを定義しているとみなしてもよい。

　尚、各教師データ４１３０に含まれるベクトルペアＸＶＰを抽出するために用いられた抽出指定情報４１４２は、各教師データ４１３０に含まれる定義特定情報４１３２から特定可能である。このため、計量学習部４２２は、各教師データ４１３０に含まれる定義特定情報４１３２に基づいて、各教師データ４１３０に含まれるベクトルペアＸＶＰに関する損失Ｌｃを定義する損失情報４１４３を特定することができる。

　損失情報４１４３＃ｑは、損失Ｌｃ＃ｑのパラメータを定義する（言い換えれば、指定する）ことで、損失Ｌｃ＃ｑを定義してもよい。例えば、第２実施形態では、損失Ｌｃ＃ｑとして、Ｃｏｎｔｒａｓｔｉｖｅ　Ｌｏｓｓに準拠した損失が用いられてもよい。Ｃｏｎｔｒａｓｔｉｖｅ　Ｌｏｓｓに準拠した損失Ｌｃ＃ｑの一例が、数式１に示されている。数式１における「ｗ_ｃ」は、損失Ｌｃ＃ｑのパラメータの一例である重みを示す。数式１における「ｙ_ｃ」は、損失Ｌｃ＃ｑのパラメータの一例である教師ラベルを示す。数式１における「ｍ_ｃ」は、損失Ｌｃ＃ｑのパラメータの一例であるマージンを示す。数式１における「Ｐｃ＃ｑ」は、抽出指定情報４１４２＃ｑに基づいて抽出されたベクトルペアＸＶＰの集合を示す。数式１における「［ｖ］_＋」という演算子は、実数ｖとゼロとのうちの大きい方の数字を示す。

　この場合、損失情報４１４３＃ｑは、図７に示すように、損失Ｌｃ＃ｑを定義するための重みｗ_ｃ、教師ラベルｙ_ｃ及びマージンｍ_ｃを指定していてもよい。つまり、損失情報４１４３＃ｑは、損失Ｌｃ＃ｑを定義するための損失重みｗ_ｃ、教師ラベルｙ_ｃ及びマージンｍ_ｃを含んでいてもよい。図７に示す例では、損失情報４１４３＃１は、教師ラベルｙ_ｃが「１（＝正例）」となり、重みｗ_ｃが「１．０」となり、且つ、マージンｍ_ｃが「０．１」となるように、損失Ｌｃ＃１を定義している。損失情報４１４３＃２は、教師ラベルｙ_ｃが「１（＝正例）」となり、重みｗ_ｃが「０．１」となり、且つ、マージンｍ_ｃが「０．５」となるように、損失Ｌｃ＃２を定義している。損失情報４１４３＃３は、教師ラベルｙ_ｃが「０（＝負例）」となり、重みｗ_ｃが「０．１」となり、且つ、マージンｍ_ｃが「０．３」となるように、損失Ｌｃ＃３を定義している。損失情報４１４３＃４は、教師ラベルｙ_ｃが「０（＝負例）」となり、重みｗ_ｃが「１．０」となり、且つ、マージンｍ_ｃが「１．０」となるように、損失Ｌｃ＃４を定義している。

　教師ラベルｙｃは、抽出指定情報４１４２に基づいて抽出されたベクトルペアＸＶＰが、正例ペアであるのか又は負例ペアであるのかを示すラベルであるとみなしてもよい。図７に示す例では、損失情報４１４３＃１及び４１４３＃２の夫々が、教師ラベルｙ_ｃが「１（＝正例）」となるように、損失Ｌｃを定義している。この場合、抽出指定情報４１４２＃１及び４１４２＃２の夫々に基づいて抽出されたベクトルペアＸＶＰは、正例ペアとして用いられる。一方で、損失情報４１４３＃３及び４１４３＃４の夫々が、教師ラベルｙ_ｃが「０（＝負例）」となるように、損失Ｌｃを定義している。この場合、抽出指定情報４１４２＃３及び４１４２＃４の夫々に基づいて抽出されたベクトルペアＸＶＰは、負例ペアとして用いられる。

　ここで、図７に示すように、損失情報４１４３＃１は、抽出指定情報４１４２＃１が指定する抽出条件Ｅ１に基づいて抽出されたベクトルペアＸＶＰが、正例ペアとして用いられることを示している。一方で、図７に示す抽出定義情報４１４によれば、抽出条件Ｅ１に基づいて抽出されたベクトルペアＸＶＰが、負例ペアとして用いられることはない。この場合、抽出条件Ｅ１は、「高類似ラベル群ペアＡＬＧｐが夫々割り当てられたベクトルペアＸＶＰが正例ペアとして抽出される」という正例条件として用いられている。つまり、図８に示すように、クライアントラベルＡＬｃ及びサーバラベルＡＬｓが一致し、且つ、通信日ラベルＡＬｄが一致していてもよいし一致していなくてもよい二つの属性ラベル群ＡＬＧが、高類似ラベル群ペアＡＬＧｐとして用いられている。

　一方で、損失情報４１４３＃４は、抽出指定情報４１４２＃４が指定する抽出条件Ｅ３に基づいて抽出されたベクトルペアＸＶＰが、負例ペアとして用いられることを示している。一方で、図７に示す抽出定義情報４１４によれば、抽出条件Ｅ３に基づいて抽出されたベクトルペアＸＶＰが、正例ペアとして用いられることはない。この場合、抽出条件Ｅ３は、「低類似ラベル群ペアＡＬＧｎが夫々割り当てられたベクトルペアＸＶＰが負例ペアとして抽出される」という負例条件として用いられている。つまり、図８に示すように、クライアントラベルＡＬｃ、サーバラベルＡＬｓ及び通信日ラベルＡＬｄの全てが一致しない二つの属性ラベル群ＡＬＧが、低類似ラベル群ペアＡＬＧｎとして用いられている。

　一方で、抽出指定情報４１４２＃２及び４１４２＃３は、同じ抽出条件Ｅ２を指定している。一方で、損失情報４１４３＃２は、抽出指定情報４１４２＃２に基づいて抽出されたベクトルペアＸＶＰが正例ペアとして用いられることを示している一方で、損失情報４１４３＃３は、抽出指定情報４１４２＃３に基づいて抽出されたベクトルペアＸＶＰ（つまり、抽出指定情報４１４２＃２に基づいて抽出されたベクトルペアＸＶＰと同じベクトルペアＸＶＰ）が負例ペアとして用いられることを示している。この場合、抽出条件Ｅ２は、「中間類似ラベル群ペアＡＬＧｉが夫々割り当てられたベクトルペアＸＶＰが正例ペア及び負例ペアの少なくとも一方として抽出される」という中間条件として用いられている。つまり、図８に示すように、クライアントラベルＡＬｃが一致し、サーバラベルＡＬｓが一致せず、且つ、通信日ラベルＡＬｄが一致していてもよいし一致していなくてもよい二つの属性ラベル群ＡＬＧが、中間類似ラベル群ペアＡＬＧｉとして用いられている。このように、あるベクトルペアＸＶＰが、正例ペア及び負例ペアの双方として用いられてもよい。つまり、ある抽出条件を満たすベクトルペアＸＶＰを含む一の教師データ４１３０が正例データとして用いられる場合において、同じ抽出条件を満たす同じベクトルペアＸＶＰを含む他の教師データ４１３０が負例データとして用いられてもよい。

　重みｗ_ｃは、典型的には、０以上且つ１以下の数値に設定される。但し、重みｗ_ｃは、１以上の数値に設定されてもよい。数式１から分かるように、重みｗ_ｃは、重みｗ_ｃが大きくなればなるほど、全体としての損失Ｌに対する損失Ｌｃの寄与度が大きくなるという性質を有する。このため、損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて抽出されたベクトルペアＸＶＰから算出される損失Ｌｃ＃ｑの寄与度が適切な寄与度になるように、重みｗ_ｃを指定していてもよい。

　一例として、正例ペアとして抽出されるベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の類似性が高くなるほど、当該ベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が短くなることが好ましい。つまり、正例ペアとして抽出されるベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の類似性が高くなるほど、当該ベクトルペアＸＶＰから算出される損失Ｌｃ＃ｑの寄与度が大きくなることが好ましい。このため、損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて正例ペアとして抽出されたベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの類似性が高くなるほど重みｗ_ｃが大きくなるように、重みｗ_ｃを指定していてもよい。

　ここで、上述したように、抽出指定情報４１４２は、抽出されるべきベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の関係（つまり、複数種類の属性ラベルＡＬの関係）によって抽出条件を指定している。この場合、ベクトルペアＸＶＰの間で一致する（或いは、上述したように類似性が相対的に高い、以下同じ）属性ラベルＡＬの種類の数が多くなるほど、抽出されたベクトルペアＸＶｐに夫々割り当てられた二つの属性ラベル群ＡＬＧの類似性が高くなると想定される。このため、損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて正例ペアとして抽出されるベクトルペアＸＶＰの間で一致する属性ラベルＡＬの種類の数が多くなるほど、重みｗ_ｃが大きくなるように、重みｗ_ｃを指定していてもよい。

　図７に示す例では、損失情報４１４３＃１及び４１４３＃２の夫々が、教師ラベルｙ_ｃが「１（＝正例）」となるように、損失Ｌｃを定義している。この場合、抽出指定情報４１４２＃１に基づいて抽出されたベクトルペアＸＶＰの間では、クライアントラベルＡＬｃ及びサーバラベルＡＬｓが一致している。一方で、抽出指定情報４１４２＃２に基づいて抽出されたベクトルペアＸＶＰの間では、クライアントラベルＡＬｃが一致している一方で、サーバラベルＡＬｓが一致していない。このため、抽出指定情報４１４２＃１に基づいて抽出されるベクトルペアＸＶＰの間で一致する属性ラベルＡＬの種類の数は、抽出指定情報４１４２＃２に基づいて抽出されるベクトルペアＸＶＰの間で一致する属性ラベルＡＬの種類の数よりも多い。この場合、損失情報４１４３＃１が指定する重みｗ_ｃは、損失情報４１４３＃２が指定する重みｗ_ｃよりも大きくてもよい。

　他の一例として、負例ペアとして抽出されるベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の類似性が低くなるほど、当該ベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が長くなることが好ましい。つまり、負例ペアとして抽出されるベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の類似性が低くなるほど、当該ベクトルペアＸＶＰから算出される損失Ｌｃ＃ｑの寄与度が大きくなることが好ましい。このため、損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて負例ペアとして抽出されたベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの類似性が低くなるほど重みｗ_ｃが大きくなるように、重みｗ_ｃを指定していてもよい。

　具体的には、ベクトルペアＸＶＰの間で一致しない（或いは、上述したように類似性が相対的に低い、以下同じ）属性ラベルＡＬの種類の数が多くなるほど、抽出されたベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの類似性が低くなると想定される。このため、損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて負例ペアとして抽出されるベクトルペアＸＶＰの間で一致しない属性ラベルＡＬの種類の数が多くなるほど、重みｗ_ｃが大きくなるように、重みｗ_ｃを指定していてもよい。

　図７に示す例では、損失情報４１４３＃３及び４１４３＃４の夫々が、教師ラベルｙ_ｃが「０（＝負例）」となるように、損失Ｌｃを定義している。この場合、抽出指定情報４１４２＃４に基づいて抽出されたベクトルペアＸＶＰの間では、クライアントラベルＡＬｃ及びサーバラベルＡＬｓが一致していない。一方で、抽出指定情報４１４２＃３に基づいて抽出されたベクトルペアＸＶＰの間では、クライアントラベルＡＬｃが一致している一方で、サーバラベルＡＬｓが一致していない。このため、抽出指定情報４１４２＃４に基づいて抽出されるベクトルペアＸＶＰの間で一致しない属性ラベルＡＬの種類の数は、抽出指定情報４１４２＃３に基づいて抽出されるベクトルペアＸＶＰの間で一致しない属性ラベルＡＬの種類の数よりも多い。この場合、損失情報４１４３＃４が指定する重みｗ_ｃは、損失情報４１４３＃３が指定する重みｗ_ｃよりも大きくてもよい。

　続いて、マージンｍ_ｃは、典型的には、０以上の数値に設定される。数式１から分かるように、正例ペアに相当するベクトルペアＸＶＰが用いられる場合には、教師ラベルｙ_ｃが１となるがゆえに、数式１の右辺の第１項が損失項として用いられる。このため、正例ペアに相当するベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）がマージンｍ_ｃよりも長くなる場合に損失が発生する。このため、マージンｍ_ｃは、正例ペアに相当するベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）がマージンｍ_ｃ以下になるまでベクトルペアＸＶＰを近づけるように作用する。従って、マージンｍ_ｃが小さくなるほど、正例ペアとして抽出されるベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が短くなる。ここで、正例ペアとして抽出されるベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の類似性が高くなるほど、当該ベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が短くなることが好ましいことは、上述したとおりである。このため、損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて正例ペアとして抽出されたベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの類似性が高くなるほどマージンｍ_ｃが小さくなるように、マージンｍ_ｃを指定していてもよい。損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて正例ペアとして抽出されたベクトルペアＸＶＰの間で一致する属性ラベルＡＬの種類の数が多くなるほどマージンｍ_ｃが小さくなるように、マージンｍ_ｃを指定していてもよい。図７に示す例では、損失情報４１４３＃１が指定するマージンｍ_ｃは、損失情報４１４３＃２が指定するマージンｍ_ｃよりも小さくてもよい。

　一方で、数式１から分かるように、負例ペアに相当するベクトルペアＸＶＰが用いられる場合には、教師ラベルｙ_ｃが０となるがゆえに数式１の右辺の第２項が損失項として用いられる。このため、負例ペアに相当するベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）がマージンｍ_ｃよりも短くなる場合に損失が発生する。このため、マージンｍ_ｃは、負例ペアに相当するベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）がマージンｍ_ｃ以上になるまでベクトルペアＸＶＰを遠ざけるように作用する。従って、マージンｍ_ｃが大きくなるほど、負例ペアとして抽出されるベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が長くなる。ここで、負例ペアとして抽出されるベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の類似性が低くなるほど、当該ベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が長くなることが好ましいことは、上述したとおりである。このため、損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて負例ペアとして抽出されたベクトルペアＸＶＰに夫々割り当てられた二つの属性ラベル群ＡＬＧの類似性が低くなるほどマージンｍ_ｃが大きくなるように、マージンｍ_ｃを指定していてもよい。損失情報４１４３＃ｑは、抽出指定情報４１４２＃ｑに基づいて負例ペアとして抽出されたベクトルペアＸＶＰの間で一致しない属性ラベルＡＬの種類の数が多くなるほどマージンｍ_ｃが大きくなるように、マージンｍ_ｃを指定していてもよい。図７に示す例では、損失情報４１４３＃４が指定するマージンｍ_ｃは、損失情報４１４３＃３が指定するマージンｍ_ｃよりも大きくてもよい。

　更に、少なくとも二つの抽出指定情報４１４２が同じ抽出条件を指定し、且つ、同じ抽出条件を満たすベクトルペアＸＶＰが、正例ペア及び負例ペアの双方として用いられてもよいことは、上述したとおりである。この場合、正例ペアに対応する損失情報４１４３（つまり、「１（＝正例）」となる教師ラベルｙ_ｃを指定する損失情報４１４３）が指定するマージンｍ_ｃは、負例ペアに対応する損失情報４１４３（つまり、「０（＝負例）」となる教師ラベルｙ_ｃを指定する損失情報４１４３）が指定するマージンｍ_ｃよりも大きくてもよい。図７に示す例では、損失情報４１４３＃２が指定するマージンｍ_ｃは、損失情報４１４３＃３が指定するマージンｍ_ｃよりも小さくてもよい。この場合、同じ抽出条件を満たし且つ正例ペア及び負例ペアの夫々として用いられるベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）がある距離に収束するように、計量学習が適切に行われる。

　計量学習部４２２は、このような損失情報４１４３に基づいて、損失Ｌを算出する。具体的には、計量学習部４２２は、抽出指定情報４１４２＃ｑに基づいて抽出されたベクトルペアＸＶＰと、損失情報４１４３＃ｑとに基づいて、損失Ｌｃ＃ｑを算出する。つまり、計量学習部４２２は、損失Ｌｃ＃１からＬｃ＃Ｑを算出する。その後、計量学習部４２２は、損失Ｌｃ＃１からＬｃ＃Ｑに基づいて、全体としての損失Ｌを算出する。例えば、計量学習部４２２は、損失Ｌｃ＃１からＬｃ＃Ｑを加算することで、加算結果を損失Ｌとして算出してもよい。計量学習部４２２は、損失Ｌｃ＃１からＬｃ＃Ｑの総和を、損失Ｌとして用いてもよい。その後、計量学習部４２２は、損失Ｌに基づいて、変換モデルＴＭ１（更には、変換モデルＴＭ２）を更新するように計量学習を行う。例えば、計量学習部４２２は、損失Ｌが小さくなるように（好ましくはゼロになるように）、変換モデルＴＭ１（更には、変換モデルＴＭ２）を更新するように計量学習を行う。

　再び図６において、計量学習が終了した後、計量学習部４２２は、生成した変換モデルＴＭ１（更には、変換モデルＴＭ２）を、変換モデルＴＭとして記憶装置４１に記憶させる（ステップＳ１３）。

　（２－２－２）脅威検出動作
　続いて、図１１を参照しながら、情報処理装置４が行う脅威検出動作について説明する。図１１は、情報処理装置４が行う脅威検出動作の流れを示すフローチャートである。尚、図１１に示す脅威検出動作は、情報処理装置４に対するクエリデータＤＱの入力をトリガに開始されてもよい。複数のクエリデータＤＱが情報処理装置４に入力された場合には、各クエリデータＤＱを対象に脅威検出動作が行われる。例えば、第１のクエリデータＤＱと第２のクエリデータＤＱとが情報処理装置４に入力された場合には、第１のクエリデータＤＱを対象に脅威検出動作と、第２のクエリデータＤＱを対象とする脅威検出動作とが行われる。

　図１１に示すように、まず、検索部４２４は、クエリデータＤＱを取得する（ステップＳ２１）。例えば、検索部４２４は、ユーザが操作可能な操作装置として機能可能な入力装置４３を介して情報処理装置４に入力される、検出ターゲット脅威（或いは、特徴ベクトルＸＱ）を直接的に又は間接的に指定する情報を、クエリデータＤＱとして取得してもよい。例えば、検索部４２４は、通信装置として機能可能な入力装置４３を介して情報処理装置４に送信される、検出ターゲット脅威（或いは、特徴ベクトルＸＱ）を直接的に又は間接的に指定するための情報を、クエリデータＤＱとして取得してもよい。

　その後、検索部４２４は、ステップＳ２１で取得したクエリデータＤＱに基づいて、特徴データセット４１２から、Ｎ個の近傍データＤＮ_１からＤＮ_Ｎを抽出する（ステップＳ２２からステップＳ２６）。

　具体的には、検索部４２４は、記憶装置４１が記憶している変換モデルＴＭを用いて、ステップＳ２１で取得したクエリデータＤＱの特徴ベクトルＸＱを、潜在空間内で検出ターゲット脅威の特徴量を示す潜在ベクトルＺＱに変換する（ステップＳ２２）。

　ステップＳ２２１の動作と並行して又は相前後して、検索部４２４は、特徴データセット４１２に含まれる複数の特徴データＤＶのうちの一の特徴データＤＶ_ｒを抽出する（ステップＳ２３）。その後、検索部４２４は、変換モデルＴＭを用いて、抽出した一の特徴データＤＶ_ｒの特徴ベクトルＸＶ_ｒを、潜在ベクトルＺＶ_ｒに変換する（ステップＳ２３）。その後、検索部４２４は、ステップＳ２３で生成された潜在ベクトルＺＱとステップＳ２２で生成された潜在ベクトルＺＶ_ｒとの間の距離ｄ（ｉ，ｊ）（つまり、潜在空間での距離）を算出する（ステップＳ２４）。

　検索部４２４は、ステップＳ２３からステップＳ２４までの動作を、特徴データセット４１２に含まれる複数の特徴データＤＶを対象に繰り返す（ステップＳ２５）。上述したように、特徴データセット４１２には、Ｒ個の特徴データＤＶ_１からＤＶ_Ｒが含まれている。このため、検索部４２４は、Ｒ個の特徴データＤＶ_１からＤＶ_Ｒに夫々対応するＲ個の潜在ベクトルＺＶ_１からＺＶ_Ｒと潜在ベクトルＺＱとの間のＲ個の距離ｄ（ｉ，ｊ）の算出が完了するまで、特徴データセット４１２に含まれる複数の特徴データＤＶの中から、ステップＳ２３において未だ抽出されたことがない一の特徴データＤＶ_ｒを新たに抽出した上で、ステップＳ２３からステップＳ２４までの動作を繰り返す。具体的には、検索部４２４は、特徴データＤＶ_１に対応する潜在ベクトルＺＶ_１と潜在ベクトルＺＱとの間の距離ｄ（ｉ，ｊ）と、特徴データＤＶ_２に対応する潜在ベクトルＺＶ_２と潜在ベクトルＺＱとの間の距離ｄ（ｉ，ｊ）と、・・・、特徴データＤＶ_Ｒに対応する潜在ベクトルＺＶ_Ｒと潜在ベクトルＺＱとの間の距離ｄ（ｉ，ｊ）との算出が完了するまで、ステップＳ２３からステップＳ２４までの動作を繰り返す。

　その後、検索部４２４は、ステップＳ２４で算出した距離ｄ（ｉ，ｊ）に基づいて、特徴データセット４１２に含まれる複数の特徴データＤＶのうちのＮ個の特徴データＤＶを、夫々、Ｎ個の近傍データＤＮ_１からＤＮ_Ｎとして抽出する（ステップＳ２６）。具体的には、検索部４２４は、Ｒ個の特徴データＤＶの中から、他のＲ－Ｎ個の特徴データＤＶと比較して、潜在空間におけるクエリデータＤＱからの距離が短いＮ個の特徴データＤＶを、夫々、Ｎ個の近傍データＤＮ_１からＤＮ_Ｎとして抽出する。つまり、検索部４２４は、Ｒ個の特徴データＤＶの中から、算出した距離が短い順にＮ個の特徴データＤＶを抽出し、抽出したＮ個の特徴データＤＶを夫々Ｎ個の近傍データＤＮ_１からＤＮ_Ｎに設定する。

　その後、出力制御部４２５は、ステップＳ２６で検索部４２４が抽出したＮ個の近傍データＤＮ_１からＤＮ_Ｎの少なくとも一つに関する情報を出力するように、出力装置４４を制御してもよい（ステップＳ２７）。尚、近傍データＤＮ_ｎに関する情報は、近傍データＤＮ_ｎの特徴ベクトルＸＶ_ｎを算出する根拠となったプロキシログデータ４１１１に関する情報を含んでいてもよい。つまり、出力制御部４２５は、ステップＳ２６で検索部４２４が抽出したＮ個の近傍データＤＮ_１からＤＮ_Ｎの少なくとも一つに対応するプロキシログデータ４１１１に関する情報を出力するように、出力装置４４を制御してもよい。

　（２－３）情報処理装置４の技術的効果
　以上説明したように、情報処理装置４は、抽出定義情報４１４に含まれる抽出指定情報４１４２に基づいてベクトルペアＸＶＰを抽出し、抽出したベクトルペアＸＶＰと抽出定義情報４１４に含まれる損失情報４１４３とに基づいて計量学習を行う。このため、抽出指定情報４１４２及び損失情報４１４３を含む抽出定義情報４１４を用いることなくベクトルペアＸＶＰを抽出し且つ計量学習を行う比較例の情報処理装置と比較して、情報処理装置４は、一般的なユーザが二つのデータに対して抱く類似性の感覚を反映した計量学習を行うことができる。

　例えば、上述したように、異なる抽出条件を含む複数の抽出指定情報４１４２に基づいてベクトルペアＸＶＰを抽出する。特に、抽出定義情報４１４は、異なる三つの抽出条件を夫々指定する三つの抽出指定情報４１４２を少なくとも含む。このため、情報処理装置４は、最も類似している第１のベクトルペアＸＶＰと最も類似していない第２のベクトルペアＸＶＰとに加えて、第１のベクトルペアＸＶＰほどには類似していないものの第２のベクトルペアＸＶＰよりは類似している中間的な第３のベクトルペアＸＶＰをも、教師データ４１３０の少なくとも一部として抽出することができる。このため、情報処理装置４は、第１のベクトルペアＸＶＰほどには類似していないものの第２のベクトルペアＸＶＰよりは類似している第３のベクトルペアＸＶＰに対して一般的なユーザが抱く類似性の感覚を反映した計量学習を行うことができる。

　また、例えば、上述したように、情報処理装置４は、正例ペアとして抽出されるベクトルペアＸＶＰの間で一致する（或いは、類似性が相対的に高い、以下同じ）属性ラベルＡＬの種類の数が多くなるほど大きくなる重みｗ_ｃを指定する損失情報４１４３を用いて、損失Ｌを算出することができる。更に、情報処理装置４は、負例ペアとして抽出されるベクトルペアＸＶＰの間で一致しない（或いは、類似性が相対的に低い、以下同じ）属性ラベルＡＬの種類の数が多くなるほど大きくなる重みｗ_ｃを指定する損失情報４１４３を用いて、損失Ｌを算出することができる。このため、情報処理装置４は、一致する属性ラベルＡＬの種類の数が多いがゆえにより一層類似していると想定されるベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が優先的に短くなるように、計量学習を行うことができる。同様に、情報処理装置４は、一致しない属性ラベルＡＬの種類の数が多いがゆえにより一層類似していないと想定されるベクトルペアＸＶＰの距離ｄ（ｉ，ｊ）が優先的に長くなるように、計量学習を行うことができる。つまり、情報処理装置４は、二つのデータに対して一般的なユーザが抱く類似性の感覚を反映した計量学習を行うことができる。

　また、最も類似している第１のベクトルペアＸＶＰと最も類似していない第２のベクトルペアＸＶＰと中間的な第３のベクトルペアＸＶＰとが教師データ４１３０として抽出される場合、典型的には、第１のベクトルペアＸＶＰの数及び第２のベクトルペアＸＶＰの数の夫々は、第３のベクトルペアＸＶＰの数よりも少なくなることが多い。この場合、仮に重みｗ_ｃが固定されていると仮定すると、抽出されたベクトルペアＸＶＰの数の多寡に起因して、第３のベクトルペアＸＶＰに関する損失Ｌｃの寄与度が、第１のベクトルペアＸＶＰに関する損失Ｌｃの寄与度よりも大きくなってしまう可能性がある。その結果、一致する属性ラベルＡＬの種類の数が相対的に多い第１のベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）よりも、一致する属性ラベルＡＬの種類の数が相対的に少ない第３のベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が優先的に短くなるように、計量学習が行われる可能性がある。同様に、仮に重みｗ_ｃが固定されていると仮定すると、抽出されたベクトルペアＸＶＰの数の多寡に起因して、第３のベクトルペアＸＶに関する損失Ｌｃの寄与度が、第２のベクトルペアＸＶに関する損失Ｌｃの寄与度よりも大きくなってしまう可能性がある。その結果、一致しない属性ラベルＡＬの種類の数が相対的に多い第２のベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）よりも、一致しない属性ラベルＡＬの種類の数が相対的に少ない第３のベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）が優先的に長くなるように、計量学習が行われる可能性がある。しかるに、第２実施形態では、正例ペアとして抽出されるベクトルペアＸＶＰの間で一致する属性ラベルＡＬの種類の数が多くなるほど、重みｗ_ｃが大きくなり、且つ、負例ペアとして抽出されるベクトルペアＸＶＰの間で一致しない属性ラベルＡＬの種類の数が多くなるほど、重みｗ_ｃが大きくなる。このため、第３のベクトルペアＸＶＰに関する損失Ｌｃの寄与度が、第１のベクトルペアＸＶＰに関する損失Ｌｃの寄与度及び第２のベクトルペアＸＶＰに関する損失Ｌｃの寄与度よりも大きくなってしまう可能性は低くなる。つまり、ベクトルペアＸＶＰの数の多寡が計量学習に対して与える影響が軽減される。

　また、例えば、上述したように、情報処理装置４は、正例ペアとして抽出されるベクトルペアＸＶＰの間で一致する（或いは、類似性が相対的に高い、以下同じ）属性ラベルＡＬの種類の数が多くなるほど小さくなるマージンｍ_ｃを指定する損失情報４１４３を用いて、損失Ｌを算出することができる。更に、情報処理装置４は、負例ペアとして抽出されるベクトルペアＸＶＰの間で一致しない（或いは、類似性が相対的に低い、以下同じ）属性ラベルＡＬの種類の数が多くなるほど大きくなるマージンｍ_ｃを指定する損失情報４１４３を用いて、損失Ｌを算出することができる。このため、情報処理装置４は、一致する属性ラベルＡＬの種類の数が多いがゆえにより一層類似していると想定されるベクトルペアＸＶＰの間の距離ｄ（ｉ，ｊ）がより一層短くなるように、計量学習を行うことができる。同様に、情報処理装置４は、一致しない属性ラベルＡＬの種類の数が多いがゆえにより一層類似していないと想定されるベクトルペアＸＶＰの距離ｄ（ｉ，ｊ）がより一層長くなるように、計量学習を行うことができる。つまり、情報処理装置４は、二つのデータに対して一般的なユーザが抱く類似性の感覚を反映した計量学習を行うことができる。

　（２－４）変形例
　第２実施形態では、通信システムＳＹＳ２は、プロキシサーバ１を備えている。しかしながら、通信システムＳＹＳ２は、プロキシサーバ１を備えていなくてもよい。つまり、クライアント２は、プロキシサーバ１を介することなく、サーバ３と通信してもよい。サーバ３は、プロキシサーバ１を介することなく、クライアント２と通信してもよい。この場合であっても、情報処理装置４は、クライアント２とサーバ３との間の通信の履歴を示すログデータを用いて、上述した脅威検出動作を行ってもよい。

　上述した説明では、脅威検出動作を行う通信システムＳＹＳ２に対して、情報処理装置、情報処理方法、及び、記録媒体の実施形態が適用されている。しかしながら、任意のデータを取り扱う任意のデータ処理装置に対して、情報処理装置、情報処理方法、及び、記録媒体の実施形態が適用されてもよい。この場合であっても、データ処理装置が取り扱う複数のデータの間の距離をベクトル空間内で定義可能である限りは、データ処理装置は、上述したモデル生成動作を行ってもよい。同様に、データ処理装置が取り扱う複数のデータの間の距離をベクトル空間内で定義可能である限りは、データ処理装置は、上述した脅威検出動作に準じたデータ検出動作を行ってもよい。尚、データ検出動作は、潜在空間内でクエリデータＤＱの近傍に位置するデータに相当する近傍データＤＮ_ｎを検出する処理を含んでいてもよい。このようなデータ処理装置が取り扱うデータの一例として、リスト化可能なデータ、データベース化可能なデータ、及び、テーブル化可能なデータのうちの少なくとも一つがあげられる。

　（３）第３実施形態
　続いて、情報処理装置、情報処理方法、及び、記録媒体の第３実施形態について説明する。以下では、情報処理装置、情報処理方法、及び、記録媒体の第３実施形態が適用された通信システムＳＹＳ３を用いて、情報処理装置、情報処理方法、及び、記録媒体の第３実施形態について説明する。

　第３実施形態の通信システムＳＹＳ３は、計量学習を行うために用いられるニューラルネットワークとしてトリプレットネットワークが用いられるという点で、シャムネットワークが用いられる上述した第２実施形態の通信システムＳＹＳ２とは異なる。通信システムＳＹＳ３のその他の特徴は、通信システムＳＹＳ２のその他の特徴と同一であってもよい。このため、以下では、通信システムＳＹＳ２とは異なる構成要素及び動作を中心に、通信システムＳＹＳ３について説明する。以下で説明しない構成要素及び動作については、通信システムＳＹＳ２の構成要素及び動作と同一であってもよい。

　まず、図１２を参照しながら、トリプレットネットワークを用いた計量学習について説明する。図１２は、トリプレットネットワークＰＭのモデル構造を概念的に示す。図１２に示すように、トリプレットネットワークＰＭは、変換モデルＴＭ３から変換モデルＴＭ５を含む。変換モデルＴＭ３からＴＭ５は、同一である。例えば、変換モデルＴＭ３からＴＭ５は、パラメータが同一となる二つのニューラルネットワークである。変換モデルＴＭ３からＴＭ５は、変換モデルＴＭと同様に、特徴ベクトルＸＶを潜在ベクトルＺＶに変換可能である。計量学習が行われる場合には、計量学習部４２２は、変換モデルＴＭ３からＴＭ５に、三つの特徴ベクトルＸＶ（つまり、特徴ベクトルＸＶのトリオであり、以降、“ベクトルトリプルＸＶＴ”と称する）を夫々入力する。このため、第３実施形態では、教師データ４１３０は、ベクトルペアＸＶＰに関するベクトル情報４１３１に代えて、ベクトルトリプルＸＶＴに関するベクトル情報４１３１を含む。ベクトルトリプルＸＶＴを構成する三つの特徴ベクトルＸＶを、以降の説明では、夫々、“特徴ベクトルＸＶ_ｉ”、“特徴ベクトルＸＶ_ｊ”及び“特徴ベクトルＸＶ_ｋ”と称する。尚、「ｋ」は、１≦ｋ≦Ｒ（つまり、特徴ベクトルＸＶの総数）を満たし且つ変数ｉ及びｊとは異なる整数を示す変数である。特徴ベクトルＸＶ_ｉは、アンカーベクトルに相当する。特徴ベクトルＸＶ_ｊは、特徴ベクトルＸＶ_ｉと共に正例ペアを構成する。特徴ベクトルＸＶ_ｋは、特徴ベクトルＸＶ_ｉと共に負例ペアを構成する。この場合、計量学習部４２２は、特徴ベクトルＸＶ_ｊを変換モデルＴＭ３に入力し、特徴ベクトルＸＶ_ｉを変換モデルＴＭ４に入力し、特徴ベクトルＸＶ_ｋを変換モデルＴＭ５に入力する。その結果、変換モデルＴＭ３は、潜在ベクトルＺＶ_ｊを出力し、変換モデルＴＭ４は、潜在ベクトルＺＶ_ｉを出力し、変換モデルＴＭ５は、潜在ベクトルＺＶ_ｋを出力する。その後、計量学習部４２２は、潜在ベクトルＺＶ_ｉと潜在ベクトルＺＶ_ｊとの間の距離ｄ（ｉ，ｊ）（つまり、正例ペアの距離）及び潜在ベクトルＺＶ_ｉと潜在ベクトルＺＶ_ｋとの間の距離ｄ（ｉ，ｋ）（つまり、負例ペアの距離）を算出する。同様の動作を、計量学習部４２２は、教師データセット４１３に含まれる複数の教師データ４１３０を用いて繰り返す。その後、計量学習部４２２は、複数の教師データ４１３０を用いて夫々算出された複数の距離ｄ（ｉ，ｊ）及び複数の距離ｄ（ｉ，ｋ）に基づいて損失Ｌを算出し、損失Ｌに基づいて、正例データに相当する教師データ４１３０を用いて算出された距離ｄ（ｉ，ｊ）が相対的に短くなり、且つ、負例データに相当する教師データ４１３０を用いて算出された距離ｄ（ｉ，ｋ）が相対的に長くなるように、変換モデルＴＭ３からＴＭ５を更新する。その結果生成された変換モデルＴＭ３（或いは、変換モデルＴＭ４又はＴＭ５）が、変換モデルＴＭとして用いられる。

　このような第３実施形態では、データ抽出部４２３は、図７に示す抽出定義情報４１４に代えて、図１３に示す抽出定義情報４１４’に基づいて、特徴データセット４１２からベクトルトリプルＸＶＴを、教師データ４１３０の少なくとも一部として抽出する。更に、計量学習部４２２は、図７に示す抽出定義情報４１４に代えて、図１３に示す抽出定義情報４１４’に基づいて、損失Ｌを算出する。

　具体的には、図１３に示すように、抽出定義情報４１４’は、複数の抽出定義データ４１４０’を含む。各抽出定義データ４１４０’は、定義識別子４１４１と、抽出指定情報４１４２’と、損失情報４１４３’とを含む。

　抽出指定情報４１４２’は、ベクトルトリプルＸＶＴを抽出するための抽出条件を指定するという点で、ベクトルペアＸＶＰを抽出するための抽出条件を指定する上述した抽出指定情報４１４２と比較して異なる。図１３に示すように、抽出指定情報４１４２’は、ベクトルトリプルＸＶＴのうちの正例ペアとして用いられる二つの特徴ベクトルＸＶ（つまり、特徴ベクトルＸＶ_ｉ及び特徴ベクトルＸＶ_ｊ）を抽出するための抽出条件と、ベクトルトリプルＸＶＴのうちの負例ペアとして用いられる二つの特徴ベクトルＸＶ（つまり、特徴ベクトルＸＶ_ｉ及び特徴ベクトルＸＶ_ｋ）を抽出するための抽出条件とを指定する。抽出指定情報４１４２’のその他の特徴は、抽出指定情報４１４２のその他の特徴と同一であってもよい。データ抽出部４２３は、このような抽出指定情報４１４２’に基づいて、ベクトルトリプルＸＶＴ（つまり、特徴ベクトルＸＶ_ｉ、特徴ベクトルＸＶ_ｉ及び特徴ベクトルＸＶ_ｋ）を抽出する。

　損失情報４１４３’は、教師ラベルｙ_ｃを含んでいなくてもよいという点で、上述した抽出指定情報４１４２と比較して異なる。なぜならば、第３実施形態では、抽出指定情報４１４２’に基づいて正例ペア及び負例ペアを含むベクトルトリプルＸＶＴが抽出されるため、ベクトルトリプルＸＶＴが正例ペアを含むのか否か及びベクトルトリプルＸＶＴが負例ペアを含むのか否かを示すラベルは不要だからである。損失情報４１４３’のその他の特徴は、損失情報４１４３のその他の特徴と同一であってもよい。

　第３実施形態では、損失Ｌｃ＃ｑとして、Ｔｒｉｐｌｅｔ　Ｌｏｓｓに準拠した損失が用いられてもよい。Ｔｒｉｐｌｅｔ　Ｌｏｓｓに準拠した損失Ｌｃ＃ｑの一例が、数式２に示されている。数式２における「Ｔｃ＃ｑ」は、抽出指定情報４１４２’＃ｑに基づいて抽出されたベクトルトリプルＸＶＴの集合を示す。数式２における「（ｉ，ｊ，ｋ）」は、抽出指定情報４１４２’＃ｑに基づいて抽出されたベクトルトリプルＸＶＴ（具体的には、特徴ベクトルＸＶ_ｉ、特徴ベクトルＸＶ_ｊ及び特徴ベクトルＸＶ_ｋのセット）を示している。上述したように、特徴ベクトルＸＶ_ｉ及び特徴ベクトルＸＶ_ｊは、正例ペアに相当し、特徴ベクトルＸＶ_ｉ及び特徴ベクトルＸＶ_ｋは、負例ペアに相当する。

　Ｔｒｉｐｌｅｔ　Ｌｏｓｓに準拠した損失Ｌｃ＃ｑが用いられる場合、距離ｄ（ｉ，ｋ）が距離ｄ（ｉ，ｊ）よりもマージンｍ_ｃ以上離れていない場合に損失が発生する。このため、損失が発生した場合には、距離ｄ（ｉ，ｋ）が長くなり且つ距離ｄ（ｉ，ｊ）が短くなるように、変換モデルＴＭ３からＴＭ５が更新される。

　このような第３実施形態の通信システムＳＹＳ３もまた、上述した第２実施形態の通信システムＳＹＳ２が享受可能な効果と同様の効果を享受することができる。つまり、第３実施形態の情報処理装置４もまた、上述した第２実施形態の情報処理装置４が享受可能な効果と同様の効果を享受することができる。

　特に、第３実施形態においても、ベクトルトリプルＸＶＴに含まれる正例ペアに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の類似性及びベクトルトリプルＸＶＴに含まれる負例ペアに夫々割り当てられた二つの属性ラベル群ＡＬＧの間の類似性に基づいて、マージンｍ_ｃが指定される。例えば、図１３に示すように、高類似ラベル群ペアＡＬＧｐが夫々付与された正例ペア及び低類似ラベル群ペアＡＬＧｎが夫々付与された負例ペアを含むベクトルトリプルＸＶＴに対応するマージンｍ_ｃが、中間類似ラベル群ペアＡＬＧｉが夫々付与された正例ペア及び負例ペアの少なくとも一つを含むベクトルトリプルＸＶＴに対応するマージンｍ_ｃよりも大きくなるように、マージンｍ_ｃが指定される。この場合、情報処理装置４は、高類似ラベル群ペアＡＬＧｐが夫々付与された正例ペアの間の距離が、中間類似ラベル群ペアＡＬＧｉが夫々付与された正例ペアの間の距離よりも優先的に短くなるように、計量学習を行うことができる。同様に、情報処理装置４は、低類似ラベル群ペアＡＬＧｎが夫々付与された負例ペアの間の距離が、中間類似ラベル群ペアＡＬＧｉが夫々付与された負例ペアの間の距離よりも優先的に長くなるように、計量学習を行うことができる。

　（４）付記
　以上説明した実施形態に関して、更に以下の付記を開示する。
［付記１］
　複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルを教師データの少なくとも一部として抽出する抽出手段と、
　前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習を行う学習手段と、
　前記抽出手段が前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データを複数格納する格納手段と
　を備え、
　前記抽出手段は、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルを前記教師データの少なくとも一部として抽出し、
　前記学習手段は、前記損失情報に基づいて前記損失を算出し、算出した前記損失に基づいて前記計量学習を行う
　情報処理装置。
［付記２］
　前記格納手段には、
　少なくとも二つの第１の特徴ベクトルを、正例データに相当する第１の教師データの少なくとも一部として抽出するという第１の抽出条件を指定する第１の抽出指定情報と、前記第１の教師データに関する第１の損失を定義する第１の損失情報とを含む第１の定義データと、
　少なくとも二つの第２の特徴ベクトルを、負例データに相当する第２の教師データの少なくとも一部として抽出するという第２の抽出条件を指定する第２の抽出指定情報と、前記第２の教師データに関する第２の損失を定義する第２の損失情報とを含む第２の定義データと、
　少なくとも二つの第３の特徴ベクトルを、正例データ又は負例データに相当する第３の教師データの少なくとも一部として抽出するという第３の抽出条件を指定する第３の抽出指定情報と、前記第３の教師データに関する第３の損失を定義する第３の損失情報とを含む第３の定義データと
　が格納されており、
　前記少なくとも二つの第１の特徴ベクトルに夫々割り当てられた少なくとも二つの第１の属性ラベル群の類似性は、前記少なくとも二つの第２の特徴ベクトルに夫々割り当てられた少なくとも二つの第２の属性ラベル群の類似性及び前記少なくとも二つの第３の特徴ベクトルに夫々割り当てられた少なくとも二つの第３の属性ラベル群の類似性の夫々よりも高く、
　前記少なくとも二つの第２の属性ラベル群の類似性は、前記少なくとも二つの第１の属性ラベル群の類似性及び前記少なくとも二つの第３の属性ラベル群の類似性の夫々よりも低く、
　前記少なくとも二つの第３の属性ラベル群の類似性は、前記少なくとも二つの第１の属性ラベル群の類似性よりも低く、且つ、前記少なくとも二つの第２の属性ラベル群の類似性よりも高い
　付記１に記載の情報処理装置。
［付記３］
　前記抽出手段は、（ｉ）前記第１の抽出指定情報に基づいて、前記少なくとも二つの第１の特徴ベクトルを前記第１の教師データの少なくとも一部として抽出し、（ｉｉ）前記第２の抽出指定情報に基づいて、前記少なくとも二つの第１の特徴ベクトルを前記第２の教師データの少なくとも一部として抽出し、（ｉｉｉ）前記第３の抽出指定情報に基づいて、前記少なくとも二つの第３の特徴ベクトルを前記第３の教師データの少なくとも一部として抽出し、
　前記学習手段は、（ｉ）前記第１の教師データと前記第１の損失情報とに基づいて前記第１の損失を算出し、（ｉｉ）前記第２の教師データと前記第２の損失情報とに基づいて前記第２の損失を算出し、（ｉｉｉ）前記第３の教師データと前記第３の損失情報とに基づいて前記第３の損失を算出し、（ｉｖ）算出した前記第１から第３の損失に基づいて前記計量学習を行う
　付記２に記載の情報処理装置。
［付記４］
　前記第１から第３の損失情報は、夫々、前記第１から第３の損失のマージンを定義しており、
　前記第３の抽出指定情報が、前記少なくとも二つの第３の特徴ベクトルを、正例データに相当する前記第３の教師データの少なくとも一部として抽出するという前記第３の抽出条件を指定している場合には、前記第３の損失のマージンは、前記第１の損失のマージンよりも大きく、
　前記第３の抽出指定情報が、前記少なくとも二つの第３の特徴ベクトルを、負例データに相当する前記第３の教師データとして抽出するという前記第３の抽出条件を指定している場合には、前記第３の損失のマージンは、前記第２の損失のマージンよりも小さい
　付記２又は３に記載の情報処理装置。
［付記５］
　前記損失情報は、前記損失のマージンを定義する
　付記１から４のいずれか一項に記載の情報処理装置。
［付記６］
　前記損失情報は、正例データに相当する前記教師データに含まれる前記少なくとも二つの特徴ベクトルに夫々割り当てられた前記少なくとも二つの属性ラベル群の類似性が高くなるほど、当該少なくとも二つの特徴ベクトルの間の距離が前記計量学習によって近くなるように、前記マージンを定義し、前記損失情報は、負例データに相当する前記教師データに含まれる前記少なくとも二つの特徴ベクトルに夫々割り当てられた前記少なくとも二つの属性ラベル群の類似性が低くなるほど、当該少なくとも二つの特徴ベクトルの間の距離が前記計量学習によって遠くなるように、前記マージンを定義する
　付記５に記載の情報処理装置。
［付記７］
　前記損失情報は、前記損失の重みを定義する
　付記１から６のいずれか一項に記載の情報処理装置。
［付記８］
　前記損失情報は、正例データに相当する前記教師データに含まれる前記少なくとも二つの特徴ベクトルに夫々割り当てられた前記少なくとも二つの属性ラベル群の類似性が高くなるほど、当該少なくとも二つの特徴ベクトルの間の距離が前記計量学習によって近くなるように、前記重みを定義し、前記損失情報は、負例データに相当する前記教師データに含まれる前記少なくとも二つの特徴ベクトルに夫々割り当てられた前記少なくとも二つの属性ラベル群の類似性が低くなるほど、当該少なくとも二つの特徴ベクトルの間の距離が前記計量学習によって遠くなるように、前記重みを定義するする
　付記７に記載の情報処理装置。
［付記９］
　複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルが教師データの少なくとも一部として抽出される抽出工程と、
　前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習が行われる学習工程と
　を含み、
　格納手段に、前記抽出工程において前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データが複数格納されており、
　前記抽出工程では、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルが前記教師データの少なくとも一部として抽出され、
　前記学習工程では、前記損失情報に基づいて前記損失が算出され、算出された前記損失に基づいて前記計量学習が行われる
　情報処理方法。
［付記１０］
　コンピュータに、
　複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルが教師データの少なくとも一部として抽出される抽出工程と、
　前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習が行われる学習工程と
　を含み、
　格納手段に、前記抽出工程において前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データが複数格納されており、
　前記抽出工程では、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルが前記教師データの少なくとも一部として抽出され、
　前記学習工程では、前記損失情報に基づいて前記損失が算出され、算出された前記損失に基づいて前記計量学習が行われる
　情報処理方法を実行させるコンピュータプログラムが記録された記録媒体。

　本発明は、請求の範囲及び明細書全体から読み取るこのできる発明の要旨又は思想に反しない範囲で適宜変更可能であり、そのような変更を伴う情報処理装置、情報処理方法、及び、記録媒体もまた本発明の技術思想に含まれる。

　ＳＹＳ２、ＳＹＳ３　通信システム
　１　プロキシサーバ
　２　クライアント
　３　サーバ
　４　情報処理装置
　４１　記憶装置
　４１１　プロキシログＤＢ
　４１１１　プロキシログデータ
　４１２　特徴データセット
　４１３　教師データセット
　４１３０　教師データ
　４１４　抽出定義情報
　４１４０　抽出定義データ
　４１４１　定義識別子
　４１４２　抽出指定情報
　４１４３　損失情報
　４１５　条件定義テーブル
　４１５０　条件定義データ
　４１５１　条件識別子
　４１５２　属性関係情報
　４２　演算装置
　４２１　特徴抽出部
　４２２　計量学習部
　４２３　データ抽出部
　４２４　検索部
　ＴＭ　変換モデル
　ＤＱ　クエリデータ
　ＤＶ　特徴データ
　ＤＮ　近傍データ
　ＸＱ、ＸＶ　特徴ベクトル
　ＺＱ、ＺＶ　潜在ベクトル
　ＡＬ　属性ラベル
　ＡＬｃ　クライアントラベル
　ＡＬｓ　サーバラベル
　ＡＬｄ　通信日ラベル
　ＡＬＧ　属性ラベル群

Claims

　複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルを教師データの少なくとも一部として抽出する抽出手段と、
　前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習を行う学習手段と、
　前記抽出手段が前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データを複数格納する格納手段と
　を備え、
　前記抽出手段は、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルを前記教師データの少なくとも一部として抽出し、
　前記学習手段は、前記損失情報に基づいて前記損失を算出し、算出した前記損失に基づいて前記計量学習を行う
　情報処理装置。
　前記格納手段には、
　少なくとも二つの第１の特徴ベクトルを、正例データに相当する第１の教師データの少なくとも一部として抽出するという第１の抽出条件を指定する第１の抽出指定情報と、前記第１の教師データに関する第１の損失を定義する第１の損失情報とを含む第１の定義データと、
　少なくとも二つの第２の特徴ベクトルを、負例データに相当する第２の教師データの少なくとも一部として抽出するという第２の抽出条件を指定する第２の抽出指定情報と、前記第２の教師データに関する第２の損失を定義する第２の損失情報とを含む第２の定義データと、
　少なくとも二つの第３の特徴ベクトルを、正例データ又は負例データに相当する第３の教師データの少なくとも一部として抽出するという第３の抽出条件を指定する第３の抽出指定情報と、前記第３の教師データに関する第３の損失を定義する第３の損失情報とを含む第３の定義データと
　が格納されており、
　前記少なくとも二つの第１の特徴ベクトルに夫々割り当てられた少なくとも二つの第１の属性ラベル群の類似性は、前記少なくとも二つの第２の特徴ベクトルに夫々割り当てられた少なくとも二つの第２の属性ラベル群の類似性及び前記少なくとも二つの第３の特徴ベクトルに夫々割り当てられた少なくとも二つの第３の属性ラベル群の類似性の夫々よりも高く、
　前記少なくとも二つの第２の属性ラベル群の類似性は、前記少なくとも二つの第１の属性ラベル群の類似性及び前記少なくとも二つの第３の属性ラベル群の類似性の夫々よりも低く、
　前記少なくとも二つの第３の属性ラベル群の類似性は、前記少なくとも二つの第１の属性ラベル群の類似性よりも低く、且つ、前記少なくとも二つの第２の属性ラベル群の類似性よりも高い
　請求項１に記載の情報処理装置。
　前記抽出手段は、（ｉ）前記第１の抽出指定情報に基づいて、前記少なくとも二つの第１の特徴ベクトルを前記第１の教師データの少なくとも一部として抽出し、（ｉｉ）前記第２の抽出指定情報に基づいて、前記少なくとも二つの第１の特徴ベクトルを前記第２の教師データの少なくとも一部として抽出し、（ｉｉｉ）前記第３の抽出指定情報に基づいて、前記少なくとも二つの第３の特徴ベクトルを前記第３の教師データの少なくとも一部として抽出し、
　前記学習手段は、（ｉ）前記第１の教師データと前記第１の損失情報とに基づいて前記第１の損失を算出し、（ｉｉ）前記第２の教師データと前記第２の損失情報とに基づいて前記第２の損失を算出し、（ｉｉｉ）前記第３の教師データと前記第３の損失情報とに基づいて前記第３の損失を算出し、（ｉｖ）算出した前記第１から第３の損失に基づいて前記計量学習を行う
　請求項２に記載の情報処理装置。
　前記第１から第３の損失情報は、夫々、前記第１から第３の損失のマージンを定義しており、
　前記第３の抽出指定情報が、前記少なくとも二つの第３の特徴ベクトルを、正例データに相当する前記第３の教師データの少なくとも一部として抽出するという前記第３の抽出条件を指定している場合には、前記第３の損失のマージンは、前記第１の損失のマージンよりも大きく、
　前記第３の抽出指定情報が、前記少なくとも二つの第３の特徴ベクトルを、負例データに相当する前記第３の教師データとして抽出するという前記第３の抽出条件を指定している場合には、前記第３の損失のマージンは、前記第２の損失のマージンよりも小さい
　請求項２又は３に記載の情報処理装置。
　前記損失情報は、前記損失のマージンを定義する
　請求項１から４のいずれか一項に記載の情報処理装置。
　前記損失情報は、正例データに相当する前記教師データに含まれる前記少なくとも二つの特徴ベクトルに夫々割り当てられた前記少なくとも二つの属性ラベル群の類似性が高くなるほど、当該少なくとも二つの特徴ベクトルの間の距離が前記計量学習によって近くなるように、前記マージンを定義し、
　前記損失情報は、負例データに相当する前記教師データに含まれる前記少なくとも二つの特徴ベクトルに夫々割り当てられた前記少なくとも二つの属性ラベル群の類似性が低くなるほど、当該少なくとも二つの特徴ベクトルの間の距離が前記計量学習によって遠くなるように、前記マージンを定義する
　請求項５に記載の情報処理装置。
　前記損失情報は、前記損失の重みを定義する
　請求項１から６のいずれか一項に記載の情報処理装置。
　前記損失情報は、正例データに相当する前記教師データに含まれる前記少なくとも二つの特徴ベクトルに夫々割り当てられた前記少なくとも二つの属性ラベル群の類似性が高くなるほど、当該少なくとも二つの特徴ベクトルの間の距離が前記計量学習によって近くなるように、前記重みを定義し、
　前記損失情報は、負例データに相当する前記教師データに含まれる前記少なくとも二つの特徴ベクトルに夫々割り当てられた前記少なくとも二つの属性ラベル群の類似性が低くなるほど、当該少なくとも二つの特徴ベクトルの間の距離が前記計量学習によって遠くなるように、前記重みを定義する
　請求項７に記載の情報処理装置。
　複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルが教師データの少なくとも一部として抽出される抽出工程と、
　前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習が行われる学習工程と
　を含み、
　格納手段に、前記抽出工程において前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データが複数格納されており、
　前記抽出工程では、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルが前記教師データの少なくとも一部として抽出され、
　前記学習工程では、前記損失情報に基づいて前記損失が算出され、算出された前記損失に基づいて前記計量学習が行われる
　情報処理方法。
　コンピュータに、
　複数種類の属性ラベルを含む属性ラベル群が割り当てられた特徴ベクトルを複数含む特徴データセットから、少なくとも二つの特徴ベクトルが教師データの少なくとも一部として抽出される抽出工程と、
　前記教師データを用いて、前記特徴ベクトルを変換可能な変換モデルを生成するための計量学習が行われる学習工程と
　を含み、
　格納手段に、前記抽出工程において前記少なくとも二つの特徴ベクトルを抽出するための抽出条件を、前記少なくとも二つの特徴ベクトルに夫々割り当てられた少なくとも二つの前記属性ラベル群の間の関係によって指定する抽出指定情報と、前記抽出指定情報に基づいて抽出された前記教師データに関する損失を定義する損失情報とを含む定義データが複数格納されており、
　前記抽出工程では、前記抽出指定情報に基づいて、前記少なくとも二つの特徴ベクトルが前記教師データの少なくとも一部として抽出され、
　前記学習工程では、前記損失情報に基づいて前記損失が算出され、算出された前記損失に基づいて前記計量学習が行われる
　情報処理方法を実行させるコンピュータプログラムが記録された記録媒体。