知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-06-05
(45)【発行日】2023-06-13
(54)【発明の名称】判定装置、判定方法及び判定プログラム
(51)【国際特許分類】
G06N 20/20 20190101AFI20230606BHJP
G06N 3/045 20230101ALI20230606BHJP
G06N 3/094 20230101ALI20230606BHJP
【FI】
G06N20/20
G06N3/045
G06N3/094
【請求項の数】
5
(21)【出願番号】P 2020057093
(22)【出願日】2020-03-27
(65)【公開番号】P2021157502
(43)【公開日】2021-10-07
【審査請求日】2022-02-08
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】清本 晋作
【審査官】多賀 実
(56)【参考文献】
【文献】Chaofeng Li et al.,"False-Positive Reduction on Lung Nodules Detection in Chest Radiographs by Ensemble of Convolutional Neural Networks",IEEE Access,IEEE,2018年,vol. 6,pp. 16060-16067,[令和4年11月10日 検索], インターネット:<URL: https://ieeexplore.ieee.org/abstract/document/8319989>
【文献】Thilo Strauss et al.,"Ensemble Methods as a Defense to Adversarial Perturbations Against Deep Neural Networks",arXiv.org [online],arXiv:1709.03423v2,米国,Cornell University,2018年,pp.1-10,[令和4年11月10日 検索], インターネット:<URL: https://arxiv.org/pdf/1709.03423v2>
【文献】Mahmood Sharif et al.,"n-ML: Mitigating Adversarial Examples via Ensembles of Topologically Manipulated Classifiers",arXiv.org [online],arXiv:1912.09059v1,米国,Cornell University,2019年,pp.1-14,[令和4年11月10日 検索], インターネット:<URL: https://arxiv.org/pdf/1912.09059v1>
(58)【調査した分野】(Int.Cl.,DB名)
G06N 3/00-99/00
G06F 21/00-21/88
(57)【特許請求の範囲】
【請求項1】
入力データに対して変換処理を行い、互いに異なる複数の変換後データを生成する変換部と、機械学習の訓練データに対して前記変換処理が行われた互いに異なる複数の変換後データを用いて、それぞれ別々の学習済みモデルを生成する学習部と、
判定対象データに対して前記変換処理が行われた互いに異なる複数の変換後データを、それぞれ対応する前記学習済みモデルに入力し、複数の個別判定結果を得る入力部と、
前記複数の個別判定結果の分布に基づいて、総合判定結果を出力する判定部と、を備え、
前記変換部は、前記入力データとしての一次元ベクトルを、複数の行列それぞれにより変換する判定装置。
【請求項2】
前記判定部は、前記個別判定結果の多数決により、総合判定結果を出力する請求項1に記載の判定装置。
【請求項3】
前記行列は、単位行列における一部の0を1に置き換えたものである請求項1又は請求項2に記載の判定装置。
【請求項4】
入力データに対して変換処理を行い、互いに異なる複数の変換後データを生成する変換ステップと、機械学習の訓練データに対して前記変換処理が行われた互いに異なる複数の変換後データを用いて、それぞれ別々の学習済みモデルを生成する学習ステップと、
判定対象データに対して前記変換処理が行われた互いに異なる複数の変換後データを、それぞれ対応する前記学習済みモデルに入力し、複数の個別判定結果を得る入力ステップと、
前記複数の個別判定結果の分布に基づいて、総合判定結果を出力する判定ステップと、をコンピュータが実行し、
前記変換ステップにおいて、前記入力データとしての一次元ベクトルを、複数の行列それぞれにより変換する判定方法。
【請求項5】
請求項1から請求項3のいずれかに記載の判定装置としてコンピュータを機能させるための判定プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機械学習を用いた判定装置、判定方法及び判定プログラムに関する。
【背景技術】
【0002】
従来、深層学習の推論における脅威の一つとして、敵対的サンプルを利用した攻撃がある。攻撃者は、意図的に誤分類を誘発することを目的として、ある入力データに微小な摂動を加え、これを学習済みモデルに投入する。教師あり学習では、訓練時に与えられたデータ、すなわち訓練データに基づき、識別境界面が形成される。識別境界面は、訓練データに依存するため、データの真の空間構造とは乖離して形成される場合がある。敵対的サンプルは、この乖離を利用することで、微小な摂動を加えるだけで、誤分類を誘発する。
【0003】
この敵対的サンプルを利用した攻撃への対策としては、敵対的学習と呼ばれる学習手法がある。敵対的学習では、訓練データに対して意図的に摂動を加えることで、敵対的サンプルに対してロバストな識別モデルが生成される。例えば、非特許文献1で提案されたアルゴリズムは、本攻撃に対して高い堅牢性を持つことが知られている。
【先行技術文献】
【非特許文献】
【0004】
【文献】A. Madry et al., “Towards Deep Learning Models Resistant to Adversarial Attacks,” ICLR 2018.
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、敵対的学習では、敵対的サンプルに相当する訓練データを入力する必要があるため、実際の攻撃手法に対して必ずしも適切とは限らなかった。また、既存の学習アルゴリズムに対して処理の改変を要し負荷も増大していた。
【0006】
本発明は、学習済モデルの誤判定を誘発する攻撃に対して容易に耐性を持たせられる判定装置、判定方法及び判定プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明に係る判定装置は、入力データに対して変換処理を行い、互いに異なる複数の変換後データを生成する変換部と、機械学習の訓練データに対して前記変換処理が行われた互いに異なる複数の変換後データを用いて、それぞれ別々の学習済みモデルを生成する学習部と、判定対象データに対して前記変換処理が行われた互いに異なる複数の変換後データを、それぞれ対応する前記学習済みモデルに入力し、複数の個別判定結果を得る入力部と、前記複数の個別判定結果の分布に基づいて、総合判定結果を出力する判定部と、を備える。
【0008】
前記判定部は、前記個別判定結果の多数決により、総合判定結果を出力してもよい。
【0009】
前記変換部は、前記入力データとしての一次元ベクトルを、複数の行列それぞれにより変換してもよい。
【0010】
前記行列は、単位行列における一部の0を1に置き換えたものであってもよい。
【0011】
本発明に係る判定方法は、入力データに対して変換処理を行い、互いに異なる複数の変換後データを生成する変換ステップと、機械学習の訓練データに対して前記変換処理が行われた互いに異なる複数の変換後データを用いて、それぞれ別々の学習済みモデルを生成する学習ステップと、判定対象データに対して前記変換処理が行われた互いに異なる複数の変換後データを、それぞれ対応する前記学習済みモデルに入力し、複数の個別判定結果を得る入力ステップと、前記複数の個別判定結果の分布に基づいて、総合判定結果を出力する判定ステップと、をコンピュータが実行する。
【0012】
本発明に係る判定プログラムは、前記判定装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0013】
本発明によれば、学習済モデルの誤判定を誘発する攻撃に対して容易に耐性を持たせられる。
【図面の簡単な説明】
【0014】
【発明を実施するための形態】
【0015】
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態における判定装置1の機能構成を示す図である。
判定装置1は、サーバ又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
図1は、本実施形態における判定装置1の機能構成を示す図である。
判定装置1は、サーバ又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
【0016】
制御部10は、判定装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
【0017】
記憶部20は、ハードウェア群を判定装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(判定プログラム)、学習モデル等を記憶する。
【0018】
制御部10は、変換部11と、学習部12と、入力部13と、判定部14とを備える。
制御部10は、これらの機能部により、入力データに対して機械学習を用いた判定結果を出力する。
制御部10は、これらの機能部により、入力データに対して機械学習を用いた判定結果を出力する。
【0019】
変換部11は、入力データ、すなわち機械学習の訓練データ又は判定対象データに対して変換処理を行い、互いに異なる複数の変換後データを生成する。
入力データは、一次元ベクトルであってよい。変換部11は、例えば、入力データとしての一次元ベクトルaを、複数の行列Hiそれぞれにより、a’i=Hi・aと変換する。
入力データは、一次元ベクトルであってよい。変換部11は、例えば、入力データとしての一次元ベクトルaを、複数の行列Hiそれぞれにより、a’i=Hi・aと変換する。
【0020】
図2は、本実施形態における行列Hiを例示する図である。
行列Hiは、例えば、単位行列における一部の0を1に置き換えたものであってよい。
この他、1を0に置き換え、行の入れ替え等が行われてもよいが、単位行列の成分が保持されることが好ましく、これにより、変換後も元の入力データの特徴が保持され、さらに、非線形項を含むことにより攻撃への耐性が強化される。
行列Hiは、例えば、単位行列における一部の0を1に置き換えたものであってよい。
この他、1を0に置き換え、行の入れ替え等が行われてもよいが、単位行列の成分が保持されることが好ましく、これにより、変換後も元の入力データの特徴が保持され、さらに、非線形項を含むことにより攻撃への耐性が強化される。
【0021】
なお、変換処理は、行列変換には限られない。所定の変換規則が学習モデル(AI)毎に定義され、訓練データ及び判定対象データに対して共通の変換処理が行われる。
【0022】
学習部12は、機械学習の訓練データに対して変換部11による変換処理が行われた互いに異なる複数の変換後データを用いて、それぞれ別々の独立したDNN(Deep Neural Network)等による学習済みモデルを生成する。
なお、学習アルゴリズムは、複数の学習モデルで共通していてもよいし、異なっていてもよい。
なお、学習アルゴリズムは、複数の学習モデルで共通していてもよいし、異なっていてもよい。
【0023】
入力部13は、判定対象データに対して変換部11による変換処理が行われた互いに異なる複数の変換後データを、それぞれ対応する学習済みモデルに入力し、複数の個別判定結果を得る。
【0024】
判定部14は、複数の個別判定結果の分布に基づいて、総合判定結果を出力する。
このとき、判定部14は、個別判定結果の多数決により、総合判定結果を出力してよい。例えば、2種類の分類を判定する場合は、個別判定結果の数が多い方の分類を、3種類以上の分類を判定する場合は、個別判定結果の数が最も多い分類を総合判定結果とする。
このとき、判定部14は、個別判定結果の多数決により、総合判定結果を出力してよい。例えば、2種類の分類を判定する場合は、個別判定結果の数が多い方の分類を、3種類以上の分類を判定する場合は、個別判定結果の数が最も多い分類を総合判定結果とする。
【0025】
図3は、本実施形態における判定方法の流れを示す図である。
まず、変換部11は、複数(例えば、3つ以上)の学習モデルAIiに対応して、同一の訓練データX(ベクトル群)を互いに異なる変換規則(例えば、行列Hi)により変換し、複数の変換後データX’iを生成する(1)。
まず、変換部11は、複数(例えば、3つ以上)の学習モデルAIiに対応して、同一の訓練データX(ベクトル群)を互いに異なる変換規則(例えば、行列Hi)により変換し、複数の変換後データX’iを生成する(1)。
【0026】
続いて、学習部12は、変換後データX’iを用いて、学習モデルAIiそれぞれに対して、独立した機械学習を行う(2)。
これにより、同一の訓練データを学習した互いに異なる複数の学習済みモデルAIiが構成される。
これにより、同一の訓練データを学習した互いに異なる複数の学習済みモデルAIiが構成される。
【0027】
その後、判定装置1に判定対象データaが入力されると、変換部11は、学習時と同一の変換規則により、複数の変換後データa’iを生成する(3)。
【0028】
次に、入力部13は、生成された変換後データa’iを、それぞれ対応する学習済みモデルAIiに入力することで、複数の個別判定結果を得る(4)。
【0029】
そして、判定部14は、これらの個別判定結果に基づいて、多数決等により総合判定結果を出力する(5)。
【0030】
本実施形態によれば、判定装置1は、機械学習の訓練データに対して前記変換処理が行われた互いに異なる複数の変換後データを用いて、それぞれ別々の学習済みモデルを生成し、判定対象データに対して同一の変換処理が行われた互いに異なる複数の変換後データを、それぞれ対応する学習済みモデルに入力する。そして、判定装置1は、複数の個別判定結果の分布に基づいて、総合判定結果を出力する。
【0031】
これにより、判定装置1は、敵対的サンプルにより、いずれかの学習済みモデルで誤判定が発生したとしても、独立した学習済みモデルの大半で誤判定させることは容易ではないため、個別判定結果を総合することにより、確度の高い判定結果を出力できる。したがって、判定装置1は、学習済モデルの誤判定を誘発する攻撃に対して容易に耐性を持たせられる。
【0032】
判定装置1は、個別判定結果の多数決により、総合判定結果を出力することで、容易に確度の高い判定を行える。
【0033】
判定装置1は、入力データとしての一次元ベクトルを、複数の行列それぞれにより変換することで、変換処理に掛かる負荷を軽量化できる。したがって、判定装置1は、軽量な前処理を行うのみで、攻撃に対する耐性を容易に高めることができる。
【0034】
変換処理に用いる行列は、単位行列における一部の0を1に置き換えたものであってよい。これにより、判定装置1は、入力データの特徴を損なうことなく、非線形項の追加によって攻撃への耐性を高めることができる。
【0035】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0036】
判定装置1による判定方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0037】
1 判定装置
10 制御部
11 変換部
12 学習部
13 入力部
14 判定部
20 記憶部
10 制御部
11 変換部
12 学習部
13 入力部
14 判定部
20 記憶部
【図1】
【図2】
【図3】