知財求人 - 知財ポータルサイト「IP Force」
特開2024-140247データ拡張生成装置、データ拡張生成方法及びデータ拡張生成プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024140247
(43)【公開日】2024-10-10
(54)【発明の名称】データ拡張生成装置、データ拡張生成方法及びデータ拡張生成プログラム
(51)【国際特許分類】
G06N 3/04 20230101AFI20241003BHJP
G06N 3/08 20230101ALI20241003BHJP
【FI】
G06N3/04 100
G06N3/08
【審査請求】未請求
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2023051297
(22)【出願日】2023-03-28
(71)【出願人】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】成定 真太郎
(72)【発明者】
【氏名】披田野 清良
(57)【要約】
【課題】バックドア攻撃に頑健なデータ拡張を生成できる装置を提供すること。
【解決手段】データ拡張生成装置1は、第1のグラフの入力を受け付ける入力部11と、第1のグラフを辺拡散した第2のグラフを取得する辺拡散部12と、第1及び第2のグラフのグローバル表現を取得するグローバル表現取得部13と、第1及び第2のグラフのデータ拡張を取得する拡張処理部14と、第1及び第2のグラフのデータ拡張のローカル及びグローバル表現を取得するローカル表現取得部15と、第1及び第2のグラフ間の類似度を計算する類似度計算部16と、類似度に基づく損失を計算する損失計算部17と、損失の勾配を計算しニューラルネットワークを更新する学習処理部18と、新たなグラフに対して、第1及び第2のグラフのデータ拡張のローカル表現及びグローバル表現を出力する出力部19と、を備える。
【選択図】図1
【解決手段】データ拡張生成装置1は、第1のグラフの入力を受け付ける入力部11と、第1のグラフを辺拡散した第2のグラフを取得する辺拡散部12と、第1及び第2のグラフのグローバル表現を取得するグローバル表現取得部13と、第1及び第2のグラフのデータ拡張を取得する拡張処理部14と、第1及び第2のグラフのデータ拡張のローカル及びグローバル表現を取得するローカル表現取得部15と、第1及び第2のグラフ間の類似度を計算する類似度計算部16と、類似度に基づく損失を計算する損失計算部17と、損失の勾配を計算しニューラルネットワークを更新する学習処理部18と、新たなグラフに対して、第1及び第2のグラフのデータ拡張のローカル表現及びグローバル表現を出力する出力部19と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
第1のグラフの集合の入力を受け付ける入力部と、
前記第1のグラフの隣接行列に対して辺拡散を実施した第2のグラフの集合を取得する辺拡散部と、
前記第1のグラフ及び前記第2のグラフを、それぞれニューラルネットワークで構成された第1のエンコーダに入力し、前記第1のグラフのグローバル表現及び前記第2のグラフのグローバル表現を取得するグローバル表現取得部と、
前記第1のグラフ及び当該第1のグラフのグローバル表現、並びに前記第2のグラフ及び当該第2のグラフのグローバル表現を、それぞれニューラルネットワークで構成されたオーグメンタに入力し、前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を取得する拡張処理部と、
前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を、それぞれニューラルネットワークで構成された第2のエンコーダに入力し、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を取得するローカル表現取得部と、
前記第1のグラフのデータ拡張のローカル表現と、前記第2のグラフのデータ拡張のグローバル表現との類似度、及び前記第2のグラフのデータ拡張のローカル表現と、前記第1のグラフのデータ拡張のグローバル表現との類似度を計算する類似度計算部と、
同一のグラフに基づく表現間の類似度が大きいほど、及び異なるグラフに基づく表現間の類似度が小さいほど、値が小さくなるように設計された第1の損失を計算する損失計算部と、
前記第1の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新する学習処理部と、
学習済みの前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダを用いて、新たなグラフを前記第1のグラフとした場合の、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を出力する出力部と、を備えるデータ拡張生成装置。
前記第1のグラフの隣接行列に対して辺拡散を実施した第2のグラフの集合を取得する辺拡散部と、
前記第1のグラフ及び前記第2のグラフを、それぞれニューラルネットワークで構成された第1のエンコーダに入力し、前記第1のグラフのグローバル表現及び前記第2のグラフのグローバル表現を取得するグローバル表現取得部と、
前記第1のグラフ及び当該第1のグラフのグローバル表現、並びに前記第2のグラフ及び当該第2のグラフのグローバル表現を、それぞれニューラルネットワークで構成されたオーグメンタに入力し、前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を取得する拡張処理部と、
前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を、それぞれニューラルネットワークで構成された第2のエンコーダに入力し、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を取得するローカル表現取得部と、
前記第1のグラフのデータ拡張のローカル表現と、前記第2のグラフのデータ拡張のグローバル表現との類似度、及び前記第2のグラフのデータ拡張のローカル表現と、前記第1のグラフのデータ拡張のグローバル表現との類似度を計算する類似度計算部と、
同一のグラフに基づく表現間の類似度が大きいほど、及び異なるグラフに基づく表現間の類似度が小さいほど、値が小さくなるように設計された第1の損失を計算する損失計算部と、
前記第1の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新する学習処理部と、
学習済みの前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダを用いて、新たなグラフを前記第1のグラフとした場合の、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を出力する出力部と、を備えるデータ拡張生成装置。
【請求項2】
前記第1のグラフのクラス情報を利用可能な場合に、
前記損失計算部は、同じクラスの表現間の類似度が大きいほど、及び異なるクラスの表現間の類似度が小さいほど、値が小さくなるように設計された第2の損失をさらに計算し、
前記学習処理部は、前記第2の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新する請求項1に記載のデータ拡張生成装置。
前記損失計算部は、同じクラスの表現間の類似度が大きいほど、及び異なるクラスの表現間の類似度が小さいほど、値が小さくなるように設計された第2の損失をさらに計算し、
前記学習処理部は、前記第2の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新する請求項1に記載のデータ拡張生成装置。
【請求項3】
第1のグラフの集合の入力を受け付ける入力ステップと、
前記第1のグラフの隣接行列に対して辺拡散を実施した第2のグラフの集合を取得する辺拡散ステップと、
前記第1のグラフ及び前記第2のグラフを、それぞれニューラルネットワークで構成された第1のエンコーダに入力し、前記第1のグラフのグローバル表現及び前記第2のグラフのグローバル表現を取得するグローバル表現取得ステップと、
前記第1のグラフ及び当該第1のグラフのグローバル表現、並びに前記第2のグラフ及び当該第2のグラフのグローバル表現を、それぞれニューラルネットワークで構成されたオーグメンタに入力し、前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を取得する拡張処理ステップと、
前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を、それぞれニューラルネットワークで構成された第2のエンコーダに入力し、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を取得するローカル表現取得ステップと、
前記第1のグラフのデータ拡張のローカル表現と、前記第2のグラフのデータ拡張のグローバル表現との類似度、及び前記第2のグラフのデータ拡張のローカル表現と、前記第1のグラフのデータ拡張のグローバル表現との類似度を計算する類似度計算ステップと、
同一のグラフに基づく表現間の類似度が大きいほど、及び異なるグラフに基づく表現間の類似度が小さいほど、値が小さくなるように設計された第1の損失を計算する損失計算ステップと、
前記第1の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新する学習処理ステップと、
学習済みの前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダを用いて、新たなグラフを前記第1のグラフとした場合の、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を出力する出力ステップと、をコンピュータが実行するデータ拡張生成方法。
前記第1のグラフの隣接行列に対して辺拡散を実施した第2のグラフの集合を取得する辺拡散ステップと、
前記第1のグラフ及び前記第2のグラフを、それぞれニューラルネットワークで構成された第1のエンコーダに入力し、前記第1のグラフのグローバル表現及び前記第2のグラフのグローバル表現を取得するグローバル表現取得ステップと、
前記第1のグラフ及び当該第1のグラフのグローバル表現、並びに前記第2のグラフ及び当該第2のグラフのグローバル表現を、それぞれニューラルネットワークで構成されたオーグメンタに入力し、前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を取得する拡張処理ステップと、
前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を、それぞれニューラルネットワークで構成された第2のエンコーダに入力し、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を取得するローカル表現取得ステップと、
前記第1のグラフのデータ拡張のローカル表現と、前記第2のグラフのデータ拡張のグローバル表現との類似度、及び前記第2のグラフのデータ拡張のローカル表現と、前記第1のグラフのデータ拡張のグローバル表現との類似度を計算する類似度計算ステップと、
同一のグラフに基づく表現間の類似度が大きいほど、及び異なるグラフに基づく表現間の類似度が小さいほど、値が小さくなるように設計された第1の損失を計算する損失計算ステップと、
前記第1の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新する学習処理ステップと、
学習済みの前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダを用いて、新たなグラフを前記第1のグラフとした場合の、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を出力する出力ステップと、をコンピュータが実行するデータ拡張生成方法。
【請求項4】
請求項1又は請求項2に記載のデータ拡張生成装置としてコンピュータを機能させるためのデータ拡張生成プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、グラフニューラルネットワーク(GNN: Graph Neural Network)に対するバックドア攻撃への対策手法に関する。
【背景技術】
【0002】
GNNは、グラフ構造のデータを高い精度で分類するために重要な技術であるが、近年、GNNに対するバックドア攻撃が可能であることが指摘されている。GNNに対するバックドア攻撃は、攻撃者がトリガと呼ばれる部分グラフを付与したグラフデータ(毒データ)を訓練データに混入させ、毒データ入りの訓練データをGNNに学習させることで、推論時にトリガが付与されたデータのみを攻撃者の目標クラスに誤分類させることを目的とする攻撃である。
【0003】
GNNに対する主なバックドア攻撃としては、非特許文献1で示された全てのグラフに対して同一のトリガを使用する固定トリガを用いたラベルフリップ攻撃(毒データを訓練データに混入させる際に、ラベルを標的クラスに変更する攻撃)に基づく手法と、非特許文献2で示されたグラフ毎にトリガを最適化する適応型トリガを用いたラベルフリップ攻撃に基づく手法がある。
【0004】
GNNに対するバックドア攻撃の対策手法はほとんど知られていないが、非特許文献3では、固定トリガに基づくバックドア攻撃に対して、AIの説明可能性(XAI: Explainable AI)におけるfidelity(忠実度)及びinfidelity(非忠実度)という指標に基づいた毒グラフの特定及びトリガの除去を行うアルゴリズムが提案された。
【0005】
また、グラフ対照学習(GCL: Graph Contrastive Learning)とは、グラフを拡張することによって、拡張されたグラフ(データ拡張)の有用性とモデルの性能を向上させることを目的としたグラフ学習の一手法である。通常のグラフを訓練した場合と比べて、データ拡張を訓練した場合にモデルがより高い分類精度を獲得する事例が非特許文献4のMVGRL及び非特許文献5のLG2AR等で報告されている。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Zaixi Zhang et al. "Backdoor Attacks to Graph Neural Networks". In: Proceedings of the 26th ACM Symposium on Access Control Models and Technologies. SACMAT '21. 2021, pp. 15-26.
【非特許文献2】Zhaohan Xi et al. "Graph Backdoor". In: 30th USENIX Security Symposium (USENIX Security 21). 2021, pp. 1523-1540.
【非特許文献3】Bingchen Jiang and Zhao Li. "Defending Against Backdoor Attack on Graph Nerual Network by Explainability". 2022.
【非特許文献4】Kaveh Hassani and Amir Hosein Khasahmadi. "Contrastive Multi-View Representation Learning on Graphs". In: Proceedings of the 37th International Conference on Machine Learning. ICML '20. 2020.
【非特許文献5】Kaveh Hassani and Amir Hosein Khasahmadi. "Learning graph augmentations to learn graph representations". In: arXiv preprint arXiv:2201.09830 (2022).
【発明の概要】
【発明が解決しようとする課題】
【0007】
従来の手法(非特許文献1)は、固定トリガを用いたバックドア攻撃の対策であり、適応型トリガを用いたより高度なバックドア攻撃に対する防御の有効性は示されていない。また、毒グラフと判定されたグラフからトリガと判定された部分グラフを取り除くため、誤判定及び誤除去によって、毒が含まれていないクリーンなグラフの分類精度が低下する場合があることが実験的に示されている。
【0008】
本発明は、バックドア攻撃に頑健なデータ拡張を生成できるデータ拡張生成装置、データ拡張生成方法及びデータ拡張生成プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係るデータ拡張生成装置は、第1のグラフの集合の入力を受け付ける入力部と、前記第1のグラフの隣接行列に対して辺拡散を実施した第2のグラフの集合を取得する辺拡散部と、前記第1のグラフ及び前記第2のグラフを、それぞれニューラルネットワークで構成された第1のエンコーダに入力し、前記第1のグラフのグローバル表現及び前記第2のグラフのグローバル表現を取得するグローバル表現取得部と、前記第1のグラフ及び当該第1のグラフのグローバル表現、並びに前記第2のグラフ及び当該第2のグラフのグローバル表現を、それぞれニューラルネットワークで構成されたオーグメンタに入力し、前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を取得する拡張処理部と、前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を、それぞれニューラルネットワークで構成された第2のエンコーダに入力し、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を取得するローカル表現取得部と、前記第1のグラフのデータ拡張のローカル表現と、前記第2のグラフのデータ拡張のグローバル表現との類似度、及び前記第2のグラフのデータ拡張のローカル表現と、前記第1のグラフのデータ拡張のグローバル表現との類似度を計算する類似度計算部と、同一のグラフに基づく表現間の類似度が大きいほど、及び異なるグラフに基づく表現間の類似度が小さいほど、値が小さくなるように設計された第1の損失を計算する損失計算部と、前記第1の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新する学習処理部と、学習済みの前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダを用いて、新たなグラフを前記第1のグラフとした場合の、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を出力する出力部と、を備える。
【0010】
前記第1のグラフのクラス情報を利用可能な場合に、前記損失計算部は、同じクラスの表現間の類似度が大きいほど、及び異なるクラスの表現間の類似度が小さいほど、値が小さくなるように設計された第2の損失をさらに計算し、前記学習処理部は、前記第2の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新してもよい。
【0011】
本発明に係るデータ拡張生成方法は、第1のグラフの集合の入力を受け付ける入力ステップと、前記第1のグラフの隣接行列に対して辺拡散を実施した第2のグラフの集合を取得する辺拡散ステップと、前記第1のグラフ及び前記第2のグラフを、それぞれニューラルネットワークで構成された第1のエンコーダに入力し、前記第1のグラフのグローバル表現及び前記第2のグラフのグローバル表現を取得するグローバル表現取得ステップと、前記第1のグラフ及び当該第1のグラフのグローバル表現、並びに前記第2のグラフ及び当該第2のグラフのグローバル表現を、それぞれニューラルネットワークで構成されたオーグメンタに入力し、前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を取得する拡張処理ステップと、前記第1のグラフのデータ拡張及び前記第2のグラフのデータ拡張を、それぞれニューラルネットワークで構成された第2のエンコーダに入力し、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を取得するローカル表現取得ステップと、前記第1のグラフのデータ拡張のローカル表現と、前記第2のグラフのデータ拡張のグローバル表現との類似度、及び前記第2のグラフのデータ拡張のローカル表現と、前記第1のグラフのデータ拡張のグローバル表現との類似度を計算する類似度計算ステップと、同一のグラフに基づく表現間の類似度が大きいほど、及び異なるグラフに基づく表現間の類似度が小さいほど、値が小さくなるように設計された第1の損失を計算する損失計算ステップと、前記第1の損失の勾配を計算し、前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダにおけるニューラルネットワークのパラメータを更新する学習処理ステップと、学習済みの前記第1のエンコーダ、前記オーグメンタ、及び前記第2のエンコーダを用いて、新たなグラフを前記第1のグラフとした場合の、前記第1のグラフのデータ拡張のローカル表現及びグローバル表現、並びに前記第2のグラフのデータ拡張のローカル表現及びグローバル表現を出力する出力ステップと、をコンピュータが実行する。
【0012】
本発明に係るデータ拡張生成プログラムは、前記データ拡張生成装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0013】
本発明によれば、バックドア攻撃に頑健なデータ拡張を生成できる。
【図面の簡単な説明】
【0014】
【図1】実施形態におけるデータ拡張生成装置の機能構成を示す図である。
【図2】実施形態におけるデータ拡張生成方法の学習アルゴリズムを示す図である。
【図3】実施形態におけるデータ拡張生成方法の手順を示す模式図である。
【発明を実施するための形態】
【0015】
以下、本発明の実施形態の一例について説明する。
本実施形態のデータ拡張生成方法は、GCLを用いることで、モデルの分類精度を向上させるとともに、GNNを用いた機械学習システムに対する攻撃手法の一種であるバックドア攻撃に耐性のあるデータ拡張(Augmentation)及びその潜在表現(representation)を生成する方法である。
MVGRL(非特許文献4)又はLG2AR(非特許文献5)といった既存のGCLを直接バックドア攻撃の対策として使用しても、攻撃成功率を低下させる効果は期待できないが、本実施形態では、GCLがトリガを学習し難くなるよう、GCLの学習過程において独自の工夫が施される。
本実施形態のデータ拡張生成方法は、GCLを用いることで、モデルの分類精度を向上させるとともに、GNNを用いた機械学習システムに対する攻撃手法の一種であるバックドア攻撃に耐性のあるデータ拡張(Augmentation)及びその潜在表現(representation)を生成する方法である。
MVGRL(非特許文献4)又はLG2AR(非特許文献5)といった既存のGCLを直接バックドア攻撃の対策として使用しても、攻撃成功率を低下させる効果は期待できないが、本実施形態では、GCLがトリガを学習し難くなるよう、GCLの学習過程において独自の工夫が施される。
【0016】
本実施形態における新たなグラフ対照学習アルゴリズムであるLG4PD(Learning Graph Augmentations for Poisoned Graph Dataset)は、グラフGを入力し、Gのデータ拡張に基づく表現Hを出力するニューラルネットワークを含む学習アルゴリズムである。
【0017】
データ拡張生成装置は、まず、毒データの混入した訓練データ全体をLG4PDに与え、LG4PDを訓練する。訓練済みのLG4PDを用いて、毒データの混入した訓練データ全体をデータ拡張に変換する。このデータ拡張又はその潜在表現、及びラベルの組をSVM(Support Vector Machine)等の下流分類モデルに与えることで、下流分類モデルを訓練できる。下流モデルによる推論時は、入力グラフを訓練済みのLG4PDを用いてデータ拡張又はその潜在表現に変換した後、下流分類モデルに与えられる。
【0018】
図1は、本実施形態におけるLG4PDを実行するデータ拡張生成装置1の機能構成を示す図である。
データ拡張生成装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えたサーバ又はパーソナルコンピュータ等の情報処理装置(コンピュータ)である。
データ拡張生成装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えたサーバ又はパーソナルコンピュータ等の情報処理装置(コンピュータ)である。
【0019】
制御部10は、データ拡張生成装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
【0020】
記憶部20は、ハードウェア群をデータ拡張生成装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(データ拡張生成プログラム)の他、ニューラルネットワークのパラメータ、グラフデータ等を記憶する。
具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(データ拡張生成プログラム)の他、ニューラルネットワークのパラメータ、グラフデータ等を記憶する。
【0021】
制御部10は、入力部11と、辺拡散部12と、グローバル表現取得部13と、拡張処理部14と、ローカル表現取得部15と、類似度計算部16と、損失計算部17と、学習処理部18と、出力部19とを備える。
データ拡張生成装置1は、これらの機能部を動作させることにより、入力グラフに対するデータ拡張の潜在表現を出力する。
データ拡張生成装置1は、これらの機能部を動作させることにより、入力グラフに対するデータ拡張の潜在表現を出力する。
【0022】
図2は、本実施形態におけるデータ拡張生成方法の学習アルゴリズム(LG4PD)を示す図である。
データ拡張生成装置1は、この学習アルゴリズムにより、グラフの集合Gを入力として、グラフの潜在表現
を出力する。
データ拡張生成装置1は、この学習アルゴリズムにより、グラフの集合Gを入力として、グラフの潜在表現
【数1】
【0023】
1行目: 制御部10は、入力部11により、N個のグラフをサンプリングする。ここで、
はノード特徴であり、ノード数はn、各ノードの特徴次元数はdxである。
は隣接行列であり、グラフのエッジに相当する。
【数2】
【数3】
【0024】
2行目: 制御部10は、各グラフGiに対して3行目から9行目を実行する。
3行目: 制御部10は、辺拡散部12により、グラフGiの隣接行列Aiに対して辺拡散(Edge Diffusion)を実施し、拡散された隣接行列^Aiを得る。この処理は、MVGRL(非特許文献4)と共通である。
3行目: 制御部10は、辺拡散部12により、グラフGiの隣接行列Aiに対して辺拡散(Edge Diffusion)を実施し、拡散された隣接行列^Aiを得る。この処理は、MVGRL(非特許文献4)と共通である。
【0025】
4行目: 制御部10は、グローバル表現取得部13により、元のグラフGiに対してエンコーダであるgωを作用させ、グローバル表現
を得る。
gωは、Giを入力としてグローバル表現z1 iを出力する1つのGNNである。ここで、mはグローバル表現の次元数、dhはグローバル表現の特徴次元数である。
【数4】
gωは、Giを入力としてグローバル表現z1 iを出力する1つのGNNである。ここで、mはグローバル表現の次元数、dhはグローバル表現の特徴次元数である。
【0026】
5行目: 制御部10は、グローバル表現取得部13により、辺拡散されたグラフ^Giに対してgωを作用させ、グローバル表現
を得る。
【数5】
【0027】
6行目: 制御部10は、拡張処理部14により、オーグメンタτφ(GNN)に元のグラフGi及びグローバル表現z1
iを入力し、Giのデータ拡張G1
iを出力する。
τφは、z1 iからGiの各ノード又はエッジの確率分布を出力するニューラルネットワークと、ニューラルネットワークの出力から確率の高いノード及びエッジをサンプリングするサンプラから成る。この方式は、LG2AR(非特許文献5)を踏襲したものだが、LG2ARの入力はグローバル表現及びローカル表現であるのに対して、本手法はグローバル表現のみとなっている。
τφは、z1 iからGiの各ノード又はエッジの確率分布を出力するニューラルネットワークと、ニューラルネットワークの出力から確率の高いノード及びエッジをサンプリングするサンプラから成る。この方式は、LG2AR(非特許文献5)を踏襲したものだが、LG2ARの入力はグローバル表現及びローカル表現であるのに対して、本手法はグローバル表現のみとなっている。
【0028】
7行目: 制御部10は、拡張処理部14により、オーグメンタτφ(GNN)に辺拡散されたグラフ^Gi及びグローバル表現z2
iを入力し、^Giのデータ拡張G2
iを出力する。
【0029】
8行目: 制御部10は、ローカル表現取得部15により、データ拡張G1
iをもう1つのエンコーダgθに入力し、G1
iのローカル表現
及びグローバル表現
を得る。
gθは、G1 iを入力としてローカル表現H1 iを出力する1つのGNNと、H1 iを集約してグローバル表現h1 iを出力する1つのread-out関数(summation)から構成される。
【数6】
【数7】
gθは、G1 iを入力としてローカル表現H1 iを出力する1つのGNNと、H1 iを集約してグローバル表現h1 iを出力する1つのread-out関数(summation)から構成される。
【0030】
9行目: 制御部10は、ローカル表現取得部15により、データ拡張G2
iをもう1つのエンコーダgθに入力し、G2
iのローカル表現
及びグローバル表現
を得る。
【数8】
【数9】
【0031】
10行目: 制御部10は、各グラフの組(Gi,Gj)に対して11行目から12行目を実行する。
11行目: 制御部10は、類似度計算部16により、1つ目のローカル表現と2つ目のグローバル表現との類似度を計算する。ローカル表現HVとグローバル表現hgとの間の類似度I(HV,hg)は、次式のように定義される。
HVはグラフgのノード集合Vに対するローカル表現であり、hvはHVからノードv∈Vに対する表現を切り取ったものであり、hgはグラフgに対するグローバル表現であり、hi
gはグラフgに対するグローバル表現のi行目のベクトルである。ここで、|V|はノード集合の次数、a・bはベクトルa,bのドット積である。
11行目: 制御部10は、類似度計算部16により、1つ目のローカル表現と2つ目のグローバル表現との類似度を計算する。ローカル表現HVとグローバル表現hgとの間の類似度I(HV,hg)は、次式のように定義される。
【数10】
【0032】
12行目: 制御部10は、類似度計算部16により、2つ目のローカル表現と1つ目のグローバル表現との類似度を計算する。
【0033】
13行目: 制御部10は、損失計算部17により、11行目で求めた全ての組(i,j)に対する類似度から、SSCL(Self-Supervised Contrastive Loss)を用いて、次式で定義される損失L1
selfを求める。
Li
selfは、同じグラフGiに基づく表現間の類似度が大きいほど損失が小さくなり(分子)、異なるグラフGi,Gj(i≠j)に基づく表現間の類似度が大きいほど損失が大きくなる(分母)ように設計されている。
【数11】
【0034】
14行目: 制御部10は、損失計算部17により、12行目で求めた全ての組(i,j)に対する類似度から、SSCLを用いて損失L2
selfを求める。
【0035】
15行目: 各グラフGiのクラス情報yi(ラベル)を利用可能な場合、制御部10は、損失計算部17により、11行目で求めた全ての組(i,j)に対する類似度から、SCL(Supervised Contrastive Loss)を用いて、次式で定義される損失L1
supを求める。
ここで、yiはグラフGiのクラスである。また、Nyiはバッチ内のクラスyiに属するグラフの個数である。
Li supは、同じクラスのデータ間の類似度が大きいほど損失が小さくなり(分子)、異なるクラスのデータ間の類似度が大きいほど損失が大きくなる(分母)ように設計されている。
【数12】
Li supは、同じクラスのデータ間の類似度が大きいほど損失が小さくなり(分子)、異なるクラスのデータ間の類似度が大きいほど損失が大きくなる(分母)ように設計されている。
【0036】
16行目: 各グラフGiのクラス情報yi(ラベル)を利用可能な場合、制御部10は、損失計算部17により、12行目で求めた全ての組(i,j)に対する類似度から、SCLを用いて損失L2
supを求める。
【0037】
17行目: 制御部10は、学習処理部18により、L1
self及びL2
selfの勾配を計算し、各ニューラルネットワークのパラメータを更新する。
18行目: 制御部10は、学習処理部18により、L1 sup及びL2 supの勾配を計算し、各ニューラルネットワークのパラメータを更新する。
18行目: 制御部10は、学習処理部18により、L1 sup及びL2 supの勾配を計算し、各ニューラルネットワークのパラメータを更新する。
【0038】
図3は、本実施形態におけるデータ拡張生成方法の手順を示す模式図である。
データ拡張生成装置1は、ノード数nのグラフGiに対して、辺拡散されたグラフ^Giを生成すると、両者に対してオーグメンタτφを適用することよりデータ拡張G1 i及びG2 iを生成する。
このとき、オーグメンタτφへの入力は、グラフ(Gi又は^Gi)の他、エンコーダgωによりm(1≦m<n)次元に圧縮されたグラフのグローバル表現(z1 i又はz2 i)である。
データ拡張生成装置1は、ノード数nのグラフGiに対して、辺拡散されたグラフ^Giを生成すると、両者に対してオーグメンタτφを適用することよりデータ拡張G1 i及びG2 iを生成する。
このとき、オーグメンタτφへの入力は、グラフ(Gi又は^Gi)の他、エンコーダgωによりm(1≦m<n)次元に圧縮されたグラフのグローバル表現(z1 i又はz2 i)である。
【0039】
次に、データ拡張生成装置1は、得られたデータ拡張G1
i及びG2
iを、それぞれエンコーダgθにより圧縮し、n次元のローカル表現及びm次元のグローバル表現を生成する。
データ拡張生成装置1は、この2組の潜在表現について、互いのローカル表現とグローバル表現とを比較した類似度に基づく対照学習により、gω、τφ、gθのニューラルネットワークを学習する。
下流の分類モデルでは、データ拡張又はその潜在表現を入力として学習及び推論が実施される。
データ拡張生成装置1は、この2組の潜在表現について、互いのローカル表現とグローバル表現とを比較した類似度に基づく対照学習により、gω、τφ、gθのニューラルネットワークを学習する。
下流の分類モデルでは、データ拡張又はその潜在表現を入力として学習及び推論が実施される。
【0040】
本実施形態によれば、データ拡張生成装置1は、オーグメンタτφによりデータ拡張を取得する際に、グラフデータとともに、GNNにより圧縮されたグローバル表現を入力とする。
ローカル表現は、各ノードの情報を含むため、トリガのノード情報も含んでしまうが、グローバル表現は、各ノードの情報を集約したものであり、通常、トリガはグラフ全体から見ればノイズと考えられるため、集約によってトリガの情報が他の情報に埋もれやすくなる。また、トリガはデータセット全体から見ると稀に出現するものであることから、トリガに相当するノード及びエッジの存在確率は小さく、オーグメンタにτφよりサンプリングされる確率も小さく抑えられる。
ローカル表現は、各ノードの情報を含むため、トリガのノード情報も含んでしまうが、グローバル表現は、各ノードの情報を集約したものであり、通常、トリガはグラフ全体から見ればノイズと考えられるため、集約によってトリガの情報が他の情報に埋もれやすくなる。また、トリガはデータセット全体から見ると稀に出現するものであることから、トリガに相当するノード及びエッジの存在確率は小さく、オーグメンタにτφよりサンプリングされる確率も小さく抑えられる。
【0041】
したがって、データ拡張生成装置1は、バックドア攻撃に頑健なデータ拡張及びその潜在表現を生成でき、さらに、対照学習を用いたことにより、攻撃成功率の低下と分類精度の向上を両立することが可能である。
このとき、データ拡張生成装置1は、グローバル表現の次元mを適宜調整することにより、実用的な分類精度を保ったうえで攻撃成功率を低下させる等、攻撃成功率の低下と分類精度の向上とのトレードオフを適切に設定することができる。
このとき、データ拡張生成装置1は、グローバル表現の次元mを適宜調整することにより、実用的な分類精度を保ったうえで攻撃成功率を低下させる等、攻撃成功率の低下と分類精度の向上とのトレードオフを適切に設定することができる。
【0042】
データ拡張生成装置1は、オーグメンタτφによりデータ拡張を取得する際にローカル表現を使用していないことから、既存手法であるLG2ARと比較して分類精度が低下する可能性があった。これを防ぐために、データ拡張生成装置1は、ラベル情報に基づいて、同じクラス間の類似度を大きくし、異なるクラス間の類似度を小さくする効果のあるSCLを使うことで、データ拡張の有用性を底上げできる。
また、ラベルフリップ攻撃によって挿入された毒データは、元々別クラスのデータであったが、SCLを用いることによって、ラベル付けされたクラスのデータに近づけることができる。
この結果、分類精度の向上により、グローバル表現の次元mをより小さく設定できることから、攻撃成功率をより低下させることができる。
また、ラベルフリップ攻撃によって挿入された毒データは、元々別クラスのデータであったが、SCLを用いることによって、ラベル付けされたクラスのデータに近づけることができる。
この結果、分類精度の向上により、グローバル表現の次元mをより小さく設定できることから、攻撃成功率をより低下させることができる。
【0043】
なお、本実施形態により、例えば、GNNに対するバックドア攻撃への汎用的な対策を実施できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
【0044】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0045】
データ拡張生成装置1によるデータ拡張生成方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0046】
1 データ拡張生成装置
10 制御部
11 入力部
12 辺拡散部
13 グローバル表現取得部
14 拡張処理部
15 ローカル表現取得部
16 類似度計算部
17 損失計算部
18 学習処理部
19 出力部
20 記憶部
10 制御部
11 入力部
12 辺拡散部
13 グローバル表現取得部
14 拡張処理部
15 ローカル表現取得部
16 類似度計算部
17 損失計算部
18 学習処理部
19 出力部
20 記憶部
【図1】
【図2】
【図3】