知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-15
(45)【発行日】2024-01-23
(54)【発明の名称】情報処理装置、情報処理方法およびプログラム
(51)【国際特許分類】
G06N 20/00 20190101AFI20240116BHJP
G06N 3/094 20230101ALI20240116BHJP
【FI】
G06N20/00
G06N3/094
【請求項の数】
10
(21)【出願番号】P 2022543212
(86)(22)【出願日】2020-08-20
(86)【国際出願番号】 JP2020031403
(87)【国際公開番号】W WO2022038733
(87)【国際公開日】2022-02-24
【審査請求日】2023-02-03
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100134544
【弁理士】
【氏名又は名称】森 隆一郎
(74)【代理人】
【識別番号】100149548
【弁理士】
【氏名又は名称】松沼 泰史
(74)【代理人】
【識別番号】100162868
【弁理士】
【氏名又は名称】伊藤 英輔
(72)【発明者】
【氏名】柿崎 和也
(72)【発明者】
【氏名】シング インダージート
【審査官】坂庭 剛史
(56)【参考文献】
【文献】柿崎和也 ほか,"特徴量抽出器を用いた個人照合に対する敵対的サンプル生成法",第11回データ工学と情報マネジメントに関するフォーラム(第17回日本データベース学会年次大会),2019年03月04日,DEIM Forum 2019 A2-1
【文献】ATHALYE, Anish et al.,"Synthesizing Robust Adversarial Examples",arXiv [online],2018年06月07日,[2023年12月07日検索],インターネット<URL:https://arxiv.org/abs/1707.07397v3>,1707.07397v3
【文献】MOOSAVI-DEZFOOLI, Seyed-Mohsen et al.,"Universal adversarial perturbations",arXiv [online],2017年03月09日,[2023年12月07日検索],インターネット<URL:https://arxiv.org/abs/1610.08401v3>,1610.08401v3
(58)【調査した分野】(Int.Cl.,DB名)
G06N 3/02- 3/10
G06N 20/00-99/00
(57)【特許請求の範囲】
【請求項1】
1つのターゲットクラスに分類される複数のガイドデータを取得するガイドデータ取得部と、前記複数のガイドデータを用いて1つの敵対的サンプルを生成する敵対的サンプル生成部と、
を備える情報処理装置。
【請求項2】
前記敵対的サンプル生成部は、敵対的サンプル候補の特徴量と前記ガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて前記敵対的サンプルを生成する請求項1に記載の情報処理装置。
【請求項3】
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、敵対的サンプルを検知する検知モデルの学習を行う検知モデル学習部をさらに備える、請求項1または請求項2に記載の情報処理装置。
【請求項4】
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、データのクラス分類用の特徴量抽出モデルの学習を行う特徴量抽出モデル学習部をさらに備える、請求項1から3の何れか一項に記載の情報処理装置。
【請求項5】
前記敵対的サンプル生成部が生成した敵対的サンプルの特徴量と、前記ターゲットクラスのデータの特徴量との類似度を、前記敵対的サンプルによる誤認識のリスクの評価値として計算するリスク評価部をさらに備える、請求項1から4の何れか一項に記載の情報処理装置。
【請求項6】
敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成する敵対的サンプル生成部を備える情報処理装置。
【請求項7】
1つのターゲットクラスに分類される複数のガイドデータを取得することと、前記複数のガイドデータを用いて1つの敵対的サンプルを生成することと、
を含む情報処理方法。
【請求項8】
敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成することを含む情報処理方法。
【請求項9】
コンピュータに、1つのターゲットクラスに分類される複数のガイドデータを取得することと、
前記複数のガイドデータを用いて1つの敵対的サンプルを生成することと、
を実行させるためのプログラム。
【請求項10】
コンピュータに、敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成すること
を実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法およびプログラムに関する。
【背景技術】
【0002】
機械学習によって得られるモデルの脆弱性の1つとして敵対的サンプル(Adversarial Example)が知られている。敵対的サンプルは、例えば画像にノイズを加える等により、人間による認識とモデルによる判定とが食い違うように作られたサンプルである。
【0003】
敵対的サンプルに関連して、特許文献1には、学習データと人工的に生成される擬似データとを区別するための分類装置が記載されている。この分類装置は、例えばランダムなデータを擬似データ生成モデルで変換して擬似データを生成する。そして、この分類装置は、学習データを実在クラスに分類し、擬似データを擬似クラスに分類するように、分類モデルのパラメータを更新する学習を行う。また、この分類装置は、学習データの特徴量の平均値と擬似データの特徴量の平均値との差が小さくなるように擬似データ生成モデルのパラメータを更新する学習を行う。
【0004】
また、特許文献1では、派生する可能性のある新しいクラスのデータを擬似クラスに分類することでユーザに提示することが記載されている。そのために、分類装置が、学習データまたは擬似データをアフィン変換で変換した加工擬似データを生成し、加工擬似データを擬似クラスに分類するように、上記の分類モデルの学習を行う。
特許文献1では、手書き数字画像の「6」を回転した「9」を擬似データとして生成し、クラス9に属するような入力データが入力された場合に擬似クラスに分類してユーザに提示する例が記載されている。
特許文献1では、手書き数字画像の「6」を回転した「9」を擬似データとして生成し、クラス9に属するような入力データが入力された場合に擬似クラスに分類してユーザに提示する例が記載されている。
【0005】
また、特許文献2には、ターゲットクラス以外のクラスへの分類が誘引される可能性が比較的低い敵対的サンプルを生成できる、AX(敵対的サンプル)生成装置が記載されている。かかる敵対的サンプルを生成するために、特許文献2では、敵対的サンプル候補データの特徴量とターゲットクラスのデータの特徴量との類似度、および、敵対的サンプル候補データの特徴量とターゲットクラス以外のクラスのデータの特徴量との類似度とを考慮した最適化問題が示されている。AX生成装置は、敵対的サンプル候補データとソースデータとの差異の大きさが許容値以下であるとの制約の下で、この最適化問題を解いて敵対的サンプルを生成する。
【0006】
また、特許文献2には、制約付き最適化問題を解く方法の例として、制約付き最適化問題を目的関数の最小化問題に変換して解を探索することが記載されている。この場合の目的関数として、敵対的サンプル候補が制約を満たす場合に目的関数の値が小さくなり、かつ、最適化問題における敵対的サンプル候補の評価が高い場合に目的関数の値が小さくなる目的関数が示されている。
【先行技術文献】
【特許文献】
【0007】
【文献】日本国特開2020-046883号公報
【文献】国際公開第2020/121450号
【発明の概要】
【発明が解決しようとする課題】
【0008】
機械学習によって得られるモデルの判定で、敵対的サンプルが、ターゲットクラスの特定のデータだけでなく複数のデータに類似すると判定される場合、誤判定が誘引される可能性が高いと考えられる。
例えば、顔照合(Face Verification)システムが、予め登録されている敵対的サンプルの顔画像と、照合対象者の顔の撮影画像とを比較する場合を考える。この場合、照合対象者の顔の撮影条件によって、撮影画像がいろいろな画像になり得る。敵対的サンプルの顔画像が、ターゲットクラスのいろいろな顔画像に類似すると判定されることで、いろいろな撮影条件の場合に、照合対象者を他者と判定する誤判定が誘引され得る。
機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定される敵対的サンプルを得られれば、その敵対的サンプルに騙されにくいモデルの構築などの対策を行い得る。
例えば、顔照合(Face Verification)システムが、予め登録されている敵対的サンプルの顔画像と、照合対象者の顔の撮影画像とを比較する場合を考える。この場合、照合対象者の顔の撮影条件によって、撮影画像がいろいろな画像になり得る。敵対的サンプルの顔画像が、ターゲットクラスのいろいろな顔画像に類似すると判定されることで、いろいろな撮影条件の場合に、照合対象者を他者と判定する誤判定が誘引され得る。
機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定される敵対的サンプルを得られれば、その敵対的サンプルに騙されにくいモデルの構築などの対策を行い得る。
【0009】
本発明の目的の一例は、上記の問題を解決することができる情報処理装置、情報処理方法およびプログラムを提供することである。
【課題を解決するための手段】
【0010】
本発明の第1の態様によれば、情報処理装置は、1つのターゲットクラスに分類される複数のガイドデータを取得するガイドデータ取得部と、前記複数のガイドデータを用いて1つの敵対的サンプルを生成する敵対的サンプル生成部と、を備える。
【0011】
本発明の第2の態様によれば、情報処理装置は、敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成する敵対的サンプル生成部を備える。
【0012】
本発明の第3の態様によれば、情報処理方法は、1つのターゲットクラスに分類される複数のガイドデータを取得することと、前記複数のガイドデータを用いて1つの敵対的サンプルを生成することと、を含む。
【0013】
本発明の第4の態様によれば、情報処理方法は、敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成することを含む。
【0014】
本発明の第5の態様によれば、プログラムは、コンピュータに、1つのターゲットクラスに分類される複数のガイドデータを取得することと、前記複数のガイドデータを用いて1つの敵対的サンプルを生成することと、を実行させるためのプログラムである。
【0015】
本発明の第6の態様によれば、記録媒体は、コンピュータに、敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成することを実行させるためのプログラムである。
【発明の効果】
【0016】
上記した情報処理装置、情報処理方法およびプログラムによれば、機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定され得る敵対的サンプルを得られる。
【図面の簡単な説明】
【0017】
【図1】第一の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。
【図2】第一の実施形態に係る敵対的サンプル生成装置が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
【図3】第二の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。
【図4】第二の実施形態に係る敵対的サンプル生成装置が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
【図5】第三の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。
【図6】第三の実施形態に係る敵対的サンプル生成装置が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
【図7】第四の実施形態に係る検知モデル学習装置の機能構成の例を示す概略ブロック図である。
【図8】第四の実施形態に係る検知モデル学習装置が検知モデル学習を行う処理手順の例を示すフローチャートである。
【図9】第五の実施形態に係る特徴量抽出モデル学習装置の機能構成の例を示す概略ブロック図である。
【図10】第五の実施形態に係る特徴量抽出モデル学習装置が特徴量抽出モデルfの学習を行う処理手順の例を示すフローチャートである。
【図11】第六の実施形態に係るリスク評価装置の機能構成の例を示す概略ブロック図である。
【図12】第六の実施形態に係るリスク評価装置が類似度を計算する処理手順の例を示すフローチャートである。
【図13】第七の実施形態に係る情報処理装置の構成例を示すブロック図である。
【図14】第八の実施形態に係る情報処理装置の構成例を示すブロック図である。
【図15】第九の実施形態に係る情報処理方法における処理の手順の例を示す図である。
【図16】第十の実施形態に係る情報処理方法における処理の手順の例を示す図である。
【図17】少なくとも1つの実施形態に係るコンピュータの構成を示す概略ブロック図である。
【発明を実施するための形態】
【0018】
以下、本発明の実施形態を説明するが、以下の実施形態は請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
以下では、顔照合の場合を例に説明する。具体的には、顔照合における他者へのなりすましを目的として顔照合システムに敵対的サンプルの顔画像が事前登録される場合を想定し、敵対的サンプルの取得、および、得られる敵対的サンプルを用いた対策について説明する。
以下では、顔照合の場合を例に説明する。具体的には、顔照合における他者へのなりすましを目的として顔照合システムに敵対的サンプルの顔画像が事前登録される場合を想定し、敵対的サンプルの取得、および、得られる敵対的サンプルを用いた対策について説明する。
【0019】
この顔照合システムは、複数の人物それぞれについて事前登録された顔画像と、照合時にカメラにより撮影された顔画像とが同じ人の顔画像か否かを判定する。事前登録される顔画像を登録画像とも称する。顔照合時にカメラで撮影される顔画像を撮影画像とも称する。
【0020】
例えば、この顔照合システムは、1つの登録画像の特徴量と、1つの撮影画像の特徴量との類似度を計算する。そして、顔照合システムは、得られた類似度に基づいて登録画像と撮影画像とが同じ人物の顔画像か否かを判定する。
顔照合システムに顔画像を登録されている人物ごとのクラスが予め設定されており、顔照合システムは、判定結果に応じて撮影画像をクラス分類する。
顔照合システムに顔画像を登録されている人物ごとのクラスが予め設定されており、顔照合システムは、判定結果に応じて撮影画像をクラス分類する。
【0021】
登録画像として、撮影画像と特徴量の類似度が高い敵対的サンプルが登録されることで、他者へのなりすましが誘引される。
一方、撮影時の光の強さ、顔の角度、表情等に依存していろいろな撮影画像が顔照合システムに入力される。このことから、特定の撮影画像とだけ特徴量の類似度が高い敵対的サンプルよりも、いろいろな撮影条件下での撮影画像と特徴量の類似度が高い敵対的サンプルのほうが、なりすましを誘引し易い。
一方、撮影時の光の強さ、顔の角度、表情等に依存していろいろな撮影画像が顔照合システムに入力される。このことから、特定の撮影画像とだけ特徴量の類似度が高い敵対的サンプルよりも、いろいろな撮影条件下での撮影画像と特徴量の類似度が高い敵対的サンプルのほうが、なりすましを誘引し易い。
【0022】
ただし、以下の実施形態の適用対象は顔照合に限定されない。例えば、音声認識(Voice Recognition)、または、指紋認証(Fingerprint Authentication)など、敵対的サンプルを利用し得るいろいろな処理に実施形態を適用し得る。
【0023】
<第一の実施形態>
図1は、第一の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。図1に示す構成で、敵対的サンプル生成装置110は、敵対的サンプル生成部111と、ガイド画像取得部112と、特徴量計算部113と、類似度計算部114と、を備える。
図1は、第一の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。図1に示す構成で、敵対的サンプル生成装置110は、敵対的サンプル生成部111と、ガイド画像取得部112と、特徴量計算部113と、類似度計算部114と、を備える。
【0024】
敵対的サンプル生成装置110は、ソース画像xs
iと、特徴量抽出モデルfと、ガイド画像集合Gjと、画像変換関数集合Tと、最大摂動サイズδとを入力データとして取得して、敵対的サンプルxadvを出力する。敵対的サンプル生成装置110が他の装置と通信を行って、その装置からこれら入力データを受信するようにしてもよい。あるいは、敵対的サンプル生成装置110が画像変換関数集合Tおよび最大摂動サイズδを予め記憶しておくなど、これらの入力データの全部または一部を予め取得しておいてもよい。
敵対的サンプル生成装置110は、情報処理装置の例に該当する。
敵対的サンプル生成装置110は、情報処理装置の例に該当する。
【0025】
ソース画像xs
iは、敵対的サンプルxadvの生成元となる顔画像である。敵対的サンプルxadvは、ソース画像xs
iに敵対的摂動(Adversarial Perturbation)を付加して生成される。
ソースデータは、画像に限らず、敵対的サンプルの生成元となるデータである。
ソース画像xs iが属するクラスをクラスiと表記する。「xs i」の「i」はクラスiを示す。
ソースデータは、画像に限らず、敵対的サンプルの生成元となるデータである。
ソース画像xs iが属するクラスをクラスiと表記する。「xs i」の「i」はクラスiを示す。
【0026】
特徴量抽出モデルfは、顔画像を入力として受け付け、入力された顔画像の特徴量を出力する。特徴量抽出モデルfが出力する特徴量は、実数を要素として持つベクトルで示される。
ガイド画像集合Gjは、1つ以上のガイド画像xg jの集合である。ガイド画像xg j∈Gjは、ターゲットクラスに属する顔画像である。ターゲットクラスをクラスjと表記する。「Gj」の「j」は、クラスjを示す。「xg j」の「j」も、クラスjを示す。
ガイド画像集合Gjは、1つ以上のガイド画像xg jの集合である。ガイド画像xg j∈Gjは、ターゲットクラスに属する顔画像である。ターゲットクラスをクラスjと表記する。「Gj」の「j」は、クラスjを示す。「xg j」の「j」も、クラスjを示す。
【0027】
ガイド画像xg
jは、敵対的サンプルxadvが、ターゲットクラスであるクラスjに誤分類されるようにするためのガイドとして用いられる。具体的には、敵対的サンプル生成装置110は、敵対的サンプルxadvの特徴量が、ガイド画像xg
jの特徴量に類似するように、敵対的摂動を決定する。
ガイドデータは、画像に限らず、敵対的サンプルがターゲットクラスに誤分類されるようにするためのガイドとして用いられるデータである。
ガイドデータは、画像に限らず、敵対的サンプルがターゲットクラスに誤分類されるようにするためのガイドとして用いられるデータである。
【0028】
ガイド画像xg
jは、ガイドデータの例に該当する。ガイドデータは、ガイド画像xg
jについて上述したのと同様に、敵対的サンプルがターゲットクラスに誤分類されるようにするためのガイドとして用いられるデータである。ガイド画像集合Gjは、ガイドデータ集合の例に該当する。ガイドデータ集合は、1つ以上のガイドデータの集合である。
【0029】
画像変換関数集合Tは、1つ以上の画像変換関数tの集合である。画像変換関数t∈Tは、画像を入力として受け付け、変換後の画像を出力する関数である。画像変換関数集合Tの要素に、入力された画像をそのまま出力する恒等変換関数が含まれていてもよい。
最大摂動サイズδは、敵対的サンプル生成の際に用いられる摂動(敵対的摂動)の最大サイズである。
最大摂動サイズδは、敵対的サンプル生成の際に用いられる摂動(敵対的摂動)の最大サイズである。
【0030】
ガイド画像取得部112は、複数のガイド画像xg
jを取得する。
ガイド画像取得部112が、ターゲットクラスに分類される複数の実画像を、複数のガイドデータとして取得するようにしてもよい。ここでいう実画像は、顔照合対象を撮影した生の顔画像、すなわち、加工されていない顔画像である。実画像は、実データの例に該当する。ここでいう実データは、分類対象から得られる生のデータ、すなわち、加工されていないデータである。
ガイド画像取得部112が、ターゲットクラスに分類される複数の実画像を、複数のガイドデータとして取得するようにしてもよい。ここでいう実画像は、顔照合対象を撮影した生の顔画像、すなわち、加工されていない顔画像である。実画像は、実データの例に該当する。ここでいう実データは、分類対象から得られる生のデータ、すなわち、加工されていないデータである。
【0031】
敵対的サンプル生成装置110が取得するガイド画像集合Gjに、ターゲットクラスに分類される複数の実画像が含まれていてもよい。そして、ガイド画像取得部112が、ガイド画像集合Gjからこれら複数の実画像を読み出して、複数のガイド画像xg
jとして用いるようにしてもよい。
【0032】
ただし、敵対的サンプル生成装置110が取得するガイド画像集合Gjに含まれるガイド画像xg
jの一部または全部が、加工された顔画像であってもよい。そして、ガイド画像取得部112が、ガイド画像集合Gjからこれら複数のガイド画像xg
jを読み出すことで、これら複数のガイド画像xg
jを取得するようにしてもよい。
【0033】
ガイド画像取得部112が、1つ以上のガイド画像xg
jを画像変換関数tに入力して変換することで、新たなガイド画像t(xg
j)を生成するようにしてもよい。この場合のガイド画像取得部112による新たなガイド画像t(xg
j)の生成を、ガイド画像のかさ増しとも称する。
【0034】
ガイド画像xg
jを画像変換関数tに入力して生成される新たなガイド画像t(xg
j)を、単にガイド画像xg
jとも表記する。ガイド画像集Gjから読み出されたガイド画像xg
jと、ガイド画像xg
jを画像変換関数tに入力して生成される新たなガイド画像t(xg
j)とを総称して、単にガイド画像xg
jとも表記する。
【0035】
画像変換関数tとして、ターゲットクラスに属する画像を、ターゲットクラスに属する画像に変換すると見込まれるいろいろな関数を用いることができる。
特に、画像変換関数tとして、照合対象者の顔の撮影条件に対応する関数を用いるようにしてもよい。
特に、画像変換関数tとして、照合対象者の顔の撮影条件に対応する関数を用いるようにしてもよい。
【0036】
例えば、撮影時の照明の明るさおよび照合対象者の顔への光の当たり具合に対応して、画像の明るさ(例えば輝度値)を変化させる関数が、画像変換関数集合Tに含まれていてもよい。
照合対象者の顔の傾きに対応して、画像を回転させる関数(画像の傾きを変える関数)が、画像変換関数集合Tに含まれていてもよい。
照合対象者の顔の傾きに対応して、画像を回転させる関数(画像の傾きを変える関数)が、画像変換関数集合Tに含まれていてもよい。
【0037】
カメラと照合対象者の顔との距離に対応して、画像を拡大または縮小する関数が、画像変換関数集合Tに含まれていてもよい。
カメラに対する照合対象者の顔の向きに対応して、画像を横方向に拡大または縮小するなど、照合対象者の顔の向きを擬似的に回転させる関数が、画像変換関数集合Tに含まれていてもよい。
カメラに対する照合対象者の顔の向きに対応して、画像を横方向に拡大または縮小するなど、照合対象者の顔の向きを擬似的に回転させる関数が、画像変換関数集合Tに含まれていてもよい。
【0038】
敵対的サンプル生成装置110が取得するガイド画像集合Gjに、1つ以上のガイド画像xg
jが含まれていてもよい。そして、ガイド画像取得部112が、ガイド画像集合Gjからガイド画像xg
jを読み出し、画像変換関数tに入力して、新たなガイド画像xg
jを生成するようにしてもよい。
【0039】
ガイド画像取得部112が、1つ以上のガイド画像xg
jを新たに生成することで、元のガイド画像xg
jと合わせて複数のガイド画像xg
jを得られる。ガイド画像取得部112が、新たに生成したガイド画像xg
jを画像変換関数tに入力して、さらに新たなガイド画像xg
jを生成するようにしてもよい。
【0040】
ガイド画像取得部112が、ガイド画像集合Gjに含まれる全てのガイド画像xg
jと、画像変換関数集合Tに含まれる全ての画像変換関数集合tとの組み合わせについて、ガイド画像xg
jを新たに生成するようにしてもよい。あるいは、ガイド画像取得部112が、これらの組み合わせのうち一部のみについて、ガイド画像xg
jを新たに生成するようにしてもよい。
ガイド画像取得部112は、ガイドデータ取得部の例に該当する。
ガイド画像取得部112は、ガイドデータ取得部の例に該当する。
【0041】
敵対的サンプル生成部111は、ガイド画像取得部112が取得する複数のガイド画像xg
jを用いて1つの敵対的サンプルxadvを生成する。敵対的サンプル生成部111が、敵対的サンプルxadvの生成を繰り返し行って複数の敵対的サンプルxadvを生成するようにしてもよい。
【0042】
敵対的サンプル生成部111が、式(1)で示される最適化問題を解くことで敵対的サンプルxadvを生成するようにしてもよい。
【0043】
【数1】
【0044】
argmaxは、その右に示される式(式(1)では、「Exgj∈GjEt∈TSIM(f(xadv),f(t(xg
j)))」)の値を最大にする引数(式(1)では「xadv」)の値を出力する関数である。
Eは期待値を表す。
Eは期待値を表す。
【0045】
SIMは、類似度を計算する関数である。SIMとして、コサイン類似度を用いるようにしてもよいが、これに限定されない。引数に示される2つのベクトルが類似しているほど値が大きくなるいろいろな関数をSIMとして用いることができる。
【0046】
式(1)の「SIM(f(xadv),f(t(xg
j)))」は、敵対的サンプルxadvの特徴量f(xadv)と、ガイド画像xg
j
vを画像変換関数tで変換した画像t(xg
j)の特徴量f(t(xg
j))との類似度を示す。式(1)は、この類似度の、画像変換関数集合Tに含まれる画像変換関数tについての期待値、かつ、ガイド画像集合Gjに含まれるガイド画像xg
jについての期待値を最大にする敵対的サンプルxadvを求める最適化問題を示す。
【0047】
上記のように、ガイド画像集合Gjに含まれるガイド画像xg
jの個数は、1つ以上であればよい。画像変換関数集合Tに含まれる画像変換関数tの個数は、1つ以上であればよく、画像変換関数tが、入力された画像をそのまま出力する恒等変換関数であってもよい。
【0048】
上記のように、ガイド画像取得部112が取得する複数のガイド画像xg
jの全部または一部は、画像変換関数tを用いないものであってもよい。式(1)で、画像変換関数tを用いない場合のガイド画像xg
jを、tを恒等変換関数として「t(xg
j)」と表記するものとする。したがって、式(1)の「t(xg
j)」は、ガイド画像取得部112が画像変換関数tを用いる場合のガイド画像「t(xg
j)」と、ガイド画像取得部112が画像変換関数tを用いない場合のガイド画像「xg
j」との総称を示す。
【0049】
一方、敵対的サンプル生成部111が式(1)で扱うガイド画像xg
jの個数が複数となるための条件が課せられる。具体的には、ガイド画像集合Gjに含まれるガイド画像xg
jの個数が2つ以上であるか、または、画像変換関数集合Tに恒等変換関数以外の画像変換関数tが含まれるか、あるいはこれらの両方が成立する必要がある。
この条件の下で、敵対的サンプル生成部111は、敵対的サンプルxadvの特徴量が複数のガイド画像xg jの何れの特徴量とも類似するような、敵対的サンプルxadvを求める。
この条件の下で、敵対的サンプル生成部111は、敵対的サンプルxadvの特徴量が複数のガイド画像xg jの何れの特徴量とも類似するような、敵対的サンプルxadvを求める。
【0050】
敵対的サンプル生成部111が生成する敵対的サンプルxadvの顔画像を人が見た場合に、ソース画像xs
iと同一人物の顔画像であると認識するように、敵対的摂動の大きさについて制約条件を設けるようにしてもよい。例えば、敵対的サンプル生成部111が、式(2)で示される制約条件の下で、上記の式(1)に示される最適化問題を解くようにしてもよい。
【0051】
【数2】
【0052】
「|| ||∞」は、L∞ノルムを示す。式(2)は、ソース画像xs
iと敵対的サンプルxadvとの差で示される敵対的摂動のL∞ノルムが最大摂動サイズδよりも小さいという条件を示している。
上記の式(1)で示される最適化問題は、式(3)の目的関数J(xadv,f,Gj,T)の値を最大化する最適化問題に勾配法を適用して、近似的に解くことができる。
上記の式(1)で示される最適化問題は、式(3)の目的関数J(xadv,f,Gj,T)の値を最大化する最適化問題に勾配法を適用して、近似的に解くことができる。
【0053】
【数3】
【0054】
|Gj|は、ガイド画像集合Gjの要素の個数を示す。|T|は、画像変換関数集合Tの要素の個数を示す。
式(1)で説明したのと同様、式(3)でも、「t(xg j)」は、ガイド画像取得部112が画像変換関数tを用いる場合のガイド画像「t(xg j)」と、ガイド画像取得部112が画像変換関数tを用いない場合のガイド画像「xg j」との総称を示す。
式(1)で説明したのと同様、式(3)でも、「t(xg j)」は、ガイド画像取得部112が画像変換関数tを用いる場合のガイド画像「t(xg j)」と、ガイド画像取得部112が画像変換関数tを用いない場合のガイド画像「xg j」との総称を示す。
【0055】
敵対的サンプル生成部111が、入力されたソース画像xs
i、最大摂動サイズδ、および類似度計算部114により計算される目的関数J(xadv,f,Gj,T)を元に、式(4)に基づいて敵対的サンプル候補xadv
(h)の値を更新するようにしてもよい。
【0056】
【数4】
【0057】
xadv
(h)は、h回更新された敵対的サンプル候補を示す。lは敵対的摂動摂動の更新幅を決める学習率を表す定数係数である。
∇の添字(式(4)では「xadv」)は、添字で示される成分について微分を行うことを示す。
敵対的サンプル生成部111は、式(4)に基づいて、目的関数J(xadv,f,Gj,T)の値を最大化するように敵対的サンプル候補xadv (h)を更新する。
∇の添字(式(4)では「xadv」)は、添字で示される成分について微分を行うことを示す。
敵対的サンプル生成部111は、式(4)に基づいて、目的関数J(xadv,f,Gj,T)の値を最大化するように敵対的サンプル候補xadv (h)を更新する。
【0058】
敵対的サンプル生成部111が、更新された敵対的サンプル候補xadv
(h)が上記の式(2)の制約を満たすように、xadv
(h)の値を変更するようにしてもよい。例えば、敵対的サンプル生成部111が、xadv
(h)とxs
iとの差のL∞ノルムを計算し、L∞ノルムがδ以上となっている場合、δ以下になるようにxadv
(h)の値を変更するようにしてもよい。
【0059】
敵対的サンプル生成部111は、式(4)による敵対的サンプル候補の更新作業をM1回行う。M1はM1≧1の整数である。M1の値が予め固定値に設定されていてもよい。あるいは、ユーザがM1の値を指定するようにしてもよい。
【0060】
特徴量計算部113は、特徴量抽出モデルfを用いて顔画像の特徴量を計算する。例えば、特徴量計算部113は、式(4)の「J(xadv
(h-1),f,Gj,T)」の計算において、敵対的サンプル生成部111が更新した敵対的サンプル候補xadv
(h-1)の特徴量f(xadv
(h-1))と、ガイド画像取得部112が取得したガイド画像t(xg
j)の各々の特徴量f(t(xg
j))とを、特徴量抽出モデルfを用いて計算する。ここでも「t(xg
j)」は、「t(xg
j)」と「xg
j」との総称を示す。
【0061】
類似度計算部114は、特徴量計算部113が計算した特徴量に基づいて、2つの画像の特徴量の類似度を計算する。例えば、類似度計算部114は、式(3)の「J(xadv
(h-1),f,Gj,T)」の計算において、SIM(f(xadv
(h-1)),f(t(xg
j)))の計算を行う。
上述したように、類似度計算関数SIMとして、コサイン類似度cos(f(xadv (h-1)),f(t(xg j)))など、数値が高いほど二つの特徴量の類似度が高いことを表す関数を用いることができる。
また、類似度計算部114は、算出した類似度に基づいて、最適化問題の目的関数の値を計算する。例えば、類似度計算部114は、式(4)の計算において、目的関数J(xadv,f,Gj,T)の値を式(3)に基づいて計算する。
上述したように、類似度計算関数SIMとして、コサイン類似度cos(f(xadv (h-1)),f(t(xg j)))など、数値が高いほど二つの特徴量の類似度が高いことを表す関数を用いることができる。
また、類似度計算部114は、算出した類似度に基づいて、最適化問題の目的関数の値を計算する。例えば、類似度計算部114は、式(4)の計算において、目的関数J(xadv,f,Gj,T)の値を式(3)に基づいて計算する。
【0062】
(動作の説明)
図2は、敵対的サンプル生成装置110が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
図2の処理で、敵対的サンプル生成部111は、ソース画像xs iと、特徴量抽出モデルfと、ガイド画像集合Gjと、画像変換関数集合Tと、最大摂動サイズδとを、敵対的サンプル生成装置110の外部からの入力データとして取得する(ステップS101)。
図2は、敵対的サンプル生成装置110が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
図2の処理で、敵対的サンプル生成部111は、ソース画像xs iと、特徴量抽出モデルfと、ガイド画像集合Gjと、画像変換関数集合Tと、最大摂動サイズδとを、敵対的サンプル生成装置110の外部からの入力データとして取得する(ステップS101)。
【0063】
次に、ガイド画像取得部112は、ガイド画像xg
jを複数取得する(ステップS102)。ガイド画像集合Gjに複数のガイド画像xg
jが含まれガイド画像取得部112が、ガイド画像集合Gjから複数のガイド画像xg
jを読み出すようにしてもよい。あるいは、ガイド画像取得部112が、ガイド画像xg
jのかさ増しを行うようにしてもよい。あるいは、ガイド画像取得部112が、ガイド画像集合Gjからの複数のガイド画像xg
jの読み出しと、ガイド画像xg
jのかさ増しとの両方を行うようにしてもよい。
【0064】
次に、特徴量計算部113は、複数のガイド画像t(xg
j)それぞれを特徴抽出モデルfに入力して、ガイド画像xg
jそれぞれの特徴量を計算する(ステップS103)。
次に、敵対的サンプル生成部111は、敵対的サンプル候補の初期値xadv (0)を設定する(ステップS104)。例えば、敵対的サンプル生成部111が敵対的サンプル候補の初期値xadv (0)にソース画像xs iの値(画像データ)を代入するようにしてもよい。
次に、敵対的サンプル生成部111は、敵対的サンプル候補の初期値xadv (0)を設定する(ステップS104)。例えば、敵対的サンプル生成部111が敵対的サンプル候補の初期値xadv (0)にソース画像xs iの値(画像データ)を代入するようにしてもよい。
【0065】
次に、敵対的サンプル生成装置110は、ループL11を開始する(ステップS105)。
ループL11の処理で、特徴量計算部113は、敵対的サンプル候補xadv (h-1)の特徴量を計算する(ステップS106)。
ループL11の処理で、特徴量計算部113は、敵対的サンプル候補xadv (h-1)の特徴量を計算する(ステップS106)。
【0066】
次に、類似度計算部114は、敵対的サンプル候補xadv
(h-1)の特徴量f(xadv
(h-1))と、ガイド画像取得部112が取得した複数のガイド画像xg
jの特徴量f(xg
j)の各々との類似度を計算する(ステップS107)。
次に、類似度計算部114が、ステップS107で計算した類似度に基づいて目的関数J(xadv,f,Gj,T)の値を計算する(ステップS108)。
次に、敵対的サンプル生成部111が、式(4)に基づいて敵対的サンプル候補xadv (h)の値を更新する(ステップS109)。
次に、類似度計算部114が、ステップS107で計算した類似度に基づいて目的関数J(xadv,f,Gj,T)の値を計算する(ステップS108)。
次に、敵対的サンプル生成部111が、式(4)に基づいて敵対的サンプル候補xadv (h)の値を更新する(ステップS109)。
【0067】
次に、敵対的サンプル生成装置110は、ループL11の終端処理を行う(ステップS110)。具体的には、敵対的サンプル生成装置110は、ループL11の処理をM1回繰り返したか否かを判定する。まだループL11の処理をM1回繰り返していないと判定した場合、敵対的サンプル生成装置110は、引き続き、ループL11の処理を繰り返す。
一方、ループL11の処理をM1回繰り返したと判定した場合、敵対的サンプル生成装置110は、ループL11を終了する。
一方、ループL11の処理をM1回繰り返したと判定した場合、敵対的サンプル生成装置110は、ループL11を終了する。
【0068】
ステップS110で敵対的サンプル生成装置110がループL11を終了した場合、敵対的サンプル生成部111は、敵対的サンプルxadvの値を決定する(ステップS111)。具体的には、敵対的サンプル生成部111は、敵対的サンプル候補xadv
(M1)の値、すなわち敵対的サンプル候補の最新の値を敵対的サンプルxadvの値として採用する。
ステップS111の後、敵対的サンプル生成装置110は、図2の処理を終了する。
ステップS111の後、敵対的サンプル生成装置110は、図2の処理を終了する。
【0069】
以上のように、ガイド画像取得部112は、1つのターゲットクラスに分類される複数のガイド画像xg
jを取得する。敵対的サンプル生成部111は、複数のガイド画像xg
jを用いて1つの敵対的サンプルxadvを生成する。
これにより、敵対的サンプル生成部111は、複数のガイド画像xg jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを生成することができる。この点で、敵対的サンプル生成部111は、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvを生成することができる。
これにより、敵対的サンプル生成部111は、複数のガイド画像xg jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを生成することができる。この点で、敵対的サンプル生成部111は、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvを生成することができる。
【0070】
このように、敵対的サンプル生成装置110によれば、機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定され得る敵対的サンプルxadvを得られる。
例えば、この敵対的サンプルxadvを教師データとして用いて、この敵対的サンプルxadvに騙されにくいモデルを学習するなどの対策を行い得る。
例えば、この敵対的サンプルxadvを教師データとして用いて、この敵対的サンプルxadvに騙されにくいモデルを学習するなどの対策を行い得る。
【0071】
上記の式(1)および(2)に示される最適化問題、あるいは、式(2)から(4)に示される最適化問題は、ガイド画像xg
jを学習データとして用いる、敵対的サンプルxadvの学習モデルと捉えることができる。敵対的サンプル生成装置110では、複数のガイド画像xg
jを用いることで、特定のガイド画像xg
jに対する過学習の防止を図ることができる。
【0072】
また、ガイド画像取得部112は、ターゲットクラスに分類される複数の実画像を複数のガイド画像として取得する。具体的には、敵対的サンプル生成装置110の外部から入力されるガイド画像集合Gjに照合対象者の実画像が複数含まれる。そして、ガイド画像取得部112は、ガイド画像集合Gjから複数の実画像を読み出す。
これにより、ガイド画像取得部112は、画像変換等の処理を行う必要なしに複数のガイド画像を取得することができる。この点で、ガイド画像取得部112の負荷が小さい。
これにより、ガイド画像取得部112は、画像変換等の処理を行う必要なしに複数のガイド画像を取得することができる。この点で、ガイド画像取得部112の負荷が小さい。
【0073】
また、ガイド画像取得部112は、1つ以上のガイド画像を変換することで、新たなガイド画像を生成する。
これにより、ガイド画像取得部112は、ガイド画像集合Gjに含まれるガイド画像の個数以上に、ガイド画像を得られる。特に、ガイド画像集合Gjに含まれるガイド画像の個数が1つのみである場合でも、ガイド画像取得部112は、複数のガイド画像を取得することができる。
これにより、ガイド画像取得部112は、ガイド画像集合Gjに含まれるガイド画像の個数以上に、ガイド画像を得られる。特に、ガイド画像集合Gjに含まれるガイド画像の個数が1つのみである場合でも、ガイド画像取得部112は、複数のガイド画像を取得することができる。
【0074】
<第二の実施形態>
図3は、第二の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。図3に示す構成で、敵対的サンプル生成装置120は、敵対的サンプル生成部121と、特徴量計算部113と、制約項計算部122と、類似度計算部114と、を備える。
図3は、第二の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。図3に示す構成で、敵対的サンプル生成装置120は、敵対的サンプル生成部121と、特徴量計算部113と、制約項計算部122と、類似度計算部114と、を備える。
【0075】
図3の構成で、図1の各部に対応して同様の機能を有する部分には同一の符号(113、114)を付して、ここでは詳細な説明を省略する。
第二の実施形態に係る敵対的サンプル生成装置120は、図1のガイド画像取得部112に代えて制約項計算部122を備える点で、第一の実施形態に係る敵対的サンプル生成装置110の場合と異なる。
第二の実施形態に係る敵対的サンプル生成装置120は、図1のガイド画像取得部112に代えて制約項計算部122を備える点で、第一の実施形態に係る敵対的サンプル生成装置110の場合と異なる。
【0076】
敵対的サンプル生成装置110が複数のガイド画像xg
jを取得するのに対し、敵対的サンプル生成装置120は1つのガイド画像xg
jを取得する。また、敵対的サンプル生成装置120は、ガイド画像xg
jのかさ増しは行わない。このため、敵対的サンプル生成装置120はガイド画像取得部112を備えていない。
【0077】
また、敵対的サンプル生成装置120では、敵対的サンプル生成部121が行う処理が、敵対的サンプル生成装置110の敵対的サンプル生成部111の場合と異なる。
これら以外の点では、敵対的サンプル生成装置120は、敵対的サンプル生成装置110と同様である。
これら以外の点では、敵対的サンプル生成装置120は、敵対的サンプル生成装置110と同様である。
【0078】
上記のように、敵対的サンプル生成装置110では、複数のガイド画像xg
jを用いることで、特定のガイド画像xg
jに対する過学習を防止する。これに対し、敵対的サンプル生成装置120では、敵対的サンプルxadvの生成のための目的関数に、特定のガイド画像xg
jに対する過学習防止のための制約項を設ける。
【0079】
敵対的サンプル生成装置120は、ソース画像xs
iと、特徴量抽出モデルfと、ガイド画像xg
jと、最大摂動サイズδとを入力データとして取得して、敵対的サンプルxadvを出力する。敵対的サンプル生成装置120が他の装置と通信を行って、その装置からこれら入力データを受信するようにしてもよい。あるいは、敵対的サンプル生成装置120が最大摂動サイズδを予め記憶しておくなど、これらの入力データの全部または一部を予め取得しておいてもよい。
【0080】
敵対的サンプル生成装置120への入力データを、敵対的サンプル生成装置110への入力データと比較すると、敵対的サンプル生成装置110では、複数のガイド画像xg
jを取得し得るのに対し、敵対的サンプル生成装置120では、1つのガイド画像xg
jを取得する。また、敵対的サンプル生成装置110が画像変換関数集合Tを取得するのに対し、敵対的サンプル生成装置120は、画像変換関数集合Tは取得しない。
それ以外の点では、敵対的サンプル生成装置120への入力データは、敵対的サンプル生成装置110への入力データと同様である。
敵対的サンプル生成装置120は、情報処理装置の例に該当する。
それ以外の点では、敵対的サンプル生成装置120への入力データは、敵対的サンプル生成装置110への入力データと同様である。
敵対的サンプル生成装置120は、情報処理装置の例に該当する。
【0081】
敵対的サンプル生成部121が、式(5)に示される最適化問題を解くことで敵対的サンプルxadvを生成するようにしてもよい。
【0082】
【数5】
【0083】
式(5)の「SIM(f(xadv),f(xg
j))」の項は、ガイド画像xg
jに対する画像変換関数tの適用がない点を除いては、式(1)の「SIM(f(xadv),f(t(xg
j)))」の項と同様である。
式(5)の「c||f(xadv)-f(xg j)||p」の項は、特定のガイド画像xg jに対する過学習防止のための制約項である。
式(5)の「c||f(xadv)-f(xg j)||p」の項は、特定のガイド画像xg jに対する過学習防止のための制約項である。
【0084】
この制約項の「c」は、「SIM(f(xadv),f(xg
j))」の項に対する制約項の影響の度合いを調節するパラメータであり、c>0である。パラメータcの値が予め固定値に設定されていてもよい。あるいは、ユーザがパラメータcの値を指定するようにしてもよい。
【0085】
「|| ||p」は、Lpノルムを示す。pは、1、2、∞の何れかの値をとる。pの値が予め固定値に設定されていてもよい。あるいは、ユーザがpの値を指定するようにしてもよい。
また、この制約項にHuber損失を用いるなど、Lpノルム以外の演算を用いるようにしてもよい。
また、この制約項にHuber損失を用いるなど、Lpノルム以外の演算を用いるようにしてもよい。
【0086】
敵対的サンプル生成部121が生成する敵対的サンプルxadvの顔画像を人が見た場合に、ソース画像xs
iと同一人物の顔画像であると認識するように、敵対的摂動の大きさについて制約条件を設けるようにしてもよい。この場合の制約条件として、上記の式(2)に示される制約条件を用いることができる。例えば、敵対的サンプル生成部121が、上記の式(2)で示される制約条件の下で、上記の式(5)に示される最適化問題を解くようにしてもよい。
【0087】
上記の式(5)で示される最適化問題は、式(6)の目的関数J(xadv,f,xg
j)の値を最大化する最適化問題に勾配法を適用して、近似的に解くことができる。
【0088】
【数6】
【0089】
敵対的サンプル生成部121が、入力されたソース画像xs
i、最大摂動サイズδ、および類似度計算部114により計算される目的関数J(xadv,f,xg
j)を元に、式(7)に基づいて敵対的サンプル候補xadv
(h)を更新するようにしてもよい。
【0090】
【数7】
【0091】
式(7)では、式(6)に応じて目的関数が「J(xadv,f,xg
j)」となっている点以外は、式(4)の場合と同様である。
敵対的サンプル生成部121は、式(7)に基づいて、目的関数J(xadv,f,xg j)の値を最大化するように敵対的サンプル候補xadv (h)を更新する。
敵対的サンプル生成部121は、式(7)に基づいて、目的関数J(xadv,f,xg j)の値を最大化するように敵対的サンプル候補xadv (h)を更新する。
【0092】
敵対的サンプル生成部121が、更新された敵対的サンプル候補xadv
(h)が上記の式(2)の制約を満たすように、xadv
(h)の値を変更するようにしてもよい。例えば、敵対的サンプル生成部121が、xadv
(h)とxs
iとの差のL∞ノルムを計算し、L∞ノルムがδ以上となっている場合、δ以下になるようにxadv
(h)の値を変更するようにしてもよい。
【0093】
敵対的サンプル生成部121は、式(6)による敵対的サンプル候補の更新作業をM2回行う。M2はM2≧1の整数である。M2の値が予め固定値に設定されていてもよい。あるいは、ユーザがM2の値を指定するようにしてもよい。
【0094】
特徴量計算部113は、第一実施形態の場合と同様、特徴量抽出モデルfを用いて顔画像の特徴量を計算する。
第二実施形態では、敵対的サンプル生成装置120が1つのガイド画像xg jを取得する。これに伴い、特徴量計算部113は、例えば、式(7)の「J(xadv (h-1),f,xg j)」の計算において、敵対的サンプル生成部121が更新した敵対的サンプル候補xadv (h-1)の特徴量f(xadv (h-1))と、ガイド画像xg jの特徴量f(xg j)とを、特徴量抽出モデルfを用いて計算する。
第二実施形態では、敵対的サンプル生成装置120が1つのガイド画像xg jを取得する。これに伴い、特徴量計算部113は、例えば、式(7)の「J(xadv (h-1),f,xg j)」の計算において、敵対的サンプル生成部121が更新した敵対的サンプル候補xadv (h-1)の特徴量f(xadv (h-1))と、ガイド画像xg jの特徴量f(xg j)とを、特徴量抽出モデルfを用いて計算する。
【0095】
制約項計算部122は、特徴量計算部113で計算された特徴量を用いて制約項「c||f(xadv)-f(xg
j)||p」の計算を行う。
【0096】
類似度計算部114は、第一実施形態の場合と同様、特徴量計算部113が計算した特徴量に基づいて、2つの画像の特徴量の類似度を計算する。また、類似度計算部114は、第一実施形態の場合と同様、算出した類似度に基づいて、最適化問題の目的関数の値を計算する。
例えば、類似度計算部114は、式(7)の計算において、目的関数J(xadv,f,xg j)の値を式(6)に基づいて計算する。
例えば、類似度計算部114は、式(7)の計算において、目的関数J(xadv,f,xg j)の値を式(6)に基づいて計算する。
【0097】
(動作の説明)
図4は、敵対的サンプル生成装置120が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
図4の処理で、敵対的サンプル生成部121は、ソース画像xs iと、特徴量抽出モデルfと、ガイド画像xg jと、最大摂動サイズδとを、敵対的サンプル生成装置120の外部からの入力データとして取得する(ステップS121)。
図4は、敵対的サンプル生成装置120が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
図4の処理で、敵対的サンプル生成部121は、ソース画像xs iと、特徴量抽出モデルfと、ガイド画像xg jと、最大摂動サイズδとを、敵対的サンプル生成装置120の外部からの入力データとして取得する(ステップS121)。
【0098】
次に、特徴量計算部113は、ガイド画像xg
jを特徴抽出モデルfに入力して、ガイド画像xg
jの特徴量を計算する(ステップS122)。
次に、敵対的サンプル生成部121は、敵対的サンプル候補の初期値xadv (0)を設定する(ステップS123)。例えば、敵対的サンプル生成部121が敵対的サンプル候補の初期値xadv (0)にソース画像xs iの値(画像データ)を代入するようにしてもよい。
次に、敵対的サンプル生成部121は、敵対的サンプル候補の初期値xadv (0)を設定する(ステップS123)。例えば、敵対的サンプル生成部121が敵対的サンプル候補の初期値xadv (0)にソース画像xs iの値(画像データ)を代入するようにしてもよい。
【0099】
次に、敵対的サンプル生成装置120は、ループL12を開始する(ステップS124)。
ループL12の処理で、特徴量計算部113は、敵対的サンプル候補xadv (h-1)の特徴量を計算する(ステップS125)。
ループL12の処理で、特徴量計算部113は、敵対的サンプル候補xadv (h-1)の特徴量を計算する(ステップS125)。
【0100】
次に、制約項計算部122は、式(6)の制約項「c||f(xadv)-f(xg
j)||p」の値を計算する(ステップS126)。
次に、類似度計算部114は、敵対的サンプル候補xadv (h-1)の特徴量f(xadv (h-1))と、ガイド画像xg jの特徴量f(xg j)との類似度を計算する(ステップS127)。
次に、類似度計算部114は、敵対的サンプル候補xadv (h-1)の特徴量f(xadv (h-1))と、ガイド画像xg jの特徴量f(xg j)との類似度を計算する(ステップS127)。
【0101】
次に、類似度計算部114が、ステップS127で計算した類似度、および、ステップS126で制約項計算部122が計算した制約項の値に基づいて目的関数J(xadv,f,xg
j)の値を計算する(ステップS128)。
次に、敵対的サンプル生成部121が、式(7)に基づいて敵対的サンプル候補xadv (h)の値を更新する(ステップS129)。
次に、敵対的サンプル生成部121が、式(7)に基づいて敵対的サンプル候補xadv (h)の値を更新する(ステップS129)。
【0102】
次に、敵対的サンプル生成装置120は、ループL12の終端処理を行う(ステップS130)。具体的には、敵対的サンプル生成装置120は、ループL12の処理をM2回繰り返したか否かを判定する。まだループL12の処理をM2回繰り返していないと判定した場合、敵対的サンプル生成装置120は、引き続き、ループL12の処理を繰り返す。
一方、ループL12の処理をM2回繰り返したと判定した場合、敵対的サンプル生成装置120は、ループL12を終了する。
一方、ループL12の処理をM2回繰り返したと判定した場合、敵対的サンプル生成装置120は、ループL12を終了する。
【0103】
ステップS130で敵対的サンプル生成装置120がループL12を終了した場合、敵対的サンプル生成部121は、敵対的サンプルxadvの値を決定する(ステップS131)。具体的には、敵対的サンプル生成部121は、敵対的サンプル候補xadv
(M2)の値、すなわち敵対的サンプル候補の最新の値を敵対的サンプルxadvの値として採用する。
ステップS131の後、敵対的サンプル生成装置120は、図4の処理を終了する。
ステップS131の後、敵対的サンプル生成装置120は、図4の処理を終了する。
【0104】
以上のように、敵対的サンプル生成部121は、敵対的サンプル候補xadv
(h-1)の特徴量とガイド画像xg
jの特徴量との類似度を示す項と、敵対的サンプル候補xadv
(h-1)の特徴量とガイド画像xg
jの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成する。
【0105】
敵対的サンプル生成部121は、この制約項により、特定の1つのガイド画像xg
jだけでなく複数のガイド画像xg
jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを生成することができる。この点で、敵対的サンプル生成部121は、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvを生成することができる。
【0106】
このように、敵対的サンプル生成装置120によれば、機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定され得る敵対的サンプルxadvを得られる。
例えば、この敵対的サンプルxadvを教師データとして用いて、この敵対的サンプルxadvに騙されにくいモデルを学習するなどの対策を行い得る。
例えば、この敵対的サンプルxadvを教師データとして用いて、この敵対的サンプルxadvに騙されにくいモデルを学習するなどの対策を行い得る。
【0107】
上記の式(2)および(5)に示される最適化問題、あるいは、式(2)、(6)および(7)に示される最適化問題は、ガイド画像xg
jを学習データとして用いる、敵対的サンプルxadvの学習モデルと捉えることができる。敵対的サンプル生成装置120では、最適化問題の目的関数に制約項を設けることで、特定のガイド画像xg
jに対する過学習の防止を図ることができる。
【0108】
<第三の実施形態>
第三の実施形態では、第一の実施形態と第二の実施形態とを合わせて実施する場合について説明する。
図5は、第三の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。図5に示す構成で、敵対的サンプル生成装置130は、敵対的サンプル生成部131と、ガイド画像取得部112と、特徴量計算部113と、制約項計算部122と、類似度計算部114と、を備える。
第三の実施形態では、第一の実施形態と第二の実施形態とを合わせて実施する場合について説明する。
図5は、第三の実施形態に係る敵対的サンプル生成装置の機能構成の例を示す概略ブロック図である。図5に示す構成で、敵対的サンプル生成装置130は、敵対的サンプル生成部131と、ガイド画像取得部112と、特徴量計算部113と、制約項計算部122と、類似度計算部114と、を備える。
【0109】
第三の実施形態に係る敵対的サンプル生成装置130は、第一の実施形態に係る敵対的サンプル生成装置110(図1参照)の各部に加えて制約項計算部122を備える。これに伴い、敵対的サンプル生成装置120の敵対的サンプル生成部131の動作が、敵対的サンプル生成装置110の敵対的サンプル生成部111の場合と異なる。
これら以外の点では、敵対的サンプル生成装置130は、敵対的サンプル生成装置110と同様である。
敵対的サンプル生成装置130は、情報処理装置の例に該当する。
これら以外の点では、敵対的サンプル生成装置130は、敵対的サンプル生成装置110と同様である。
敵対的サンプル生成装置130は、情報処理装置の例に該当する。
【0110】
敵対的サンプル生成装置130のガイド画像取得部112、特徴量計算部113および類似度計算部114は、第一の実施形態で説明したのと同様であり、ここでは詳細な説明を省略する。
敵対的サンプル生成装置130の制約項計算部122は、第二の実施形態で説明したのと同様であり、ここでは詳細な説明を省略する。
敵対的サンプル生成装置130の制約項計算部122は、第二の実施形態で説明したのと同様であり、ここでは詳細な説明を省略する。
【0111】
敵対的サンプル生成部131は、第一の実施形態における敵対的サンプル生成部111が行う処理と同様の処理を行う。さらに、敵対的サンプル生成部131は、第二の実施形態における敵対的サンプル生成部121と同様、制約項を含む目的関数を用いて敵対的サンプルxadvを生成する。
敵対的サンプル生成部131が、上記の式(1)に代えて式(8)で示される最適化問題を解くことで敵対的サンプルxadvを生成するようにしてもよい。
敵対的サンプル生成部131が、上記の式(1)に代えて式(8)で示される最適化問題を解くことで敵対的サンプルxadvを生成するようにしてもよい。
【0112】
【数8】
【0113】
式(8)では、式(1)に加えて制約項「c||f(xadv)-f(t(xg
j))||p」が設けられている。制約項「c||f(xadv)-f(t(xg
j))||p」は、式(5)における制約項「c||f(xadv)-f(xg
j)||p」の「f(xg
j)」を「f(t(xg
j))」に置き換えたものである。
【0114】
第三実施形態では、第一実施形態の場合と同様、ガイド画像取得部112がガイド画像xg
jに画像変換関数tを適用し得ることを、制約項に反映させている。
式(8)でも、「t(xg j)」は、ガイド画像取得部112が画像変換関数tを用いる場合のガイド画像「t(xg j)」と、ガイド画像取得部112が画像変換関数tを用いない場合のガイド画像「xg j」との総称を示す。
式(8)でも、「t(xg j)」は、ガイド画像取得部112が画像変換関数tを用いる場合のガイド画像「t(xg j)」と、ガイド画像取得部112が画像変換関数tを用いない場合のガイド画像「xg j」との総称を示す。
【0115】
敵対的サンプル生成部131が生成する敵対的サンプルxadvの顔画像を人が見た場合に、ソース画像xs
iと同一人物の顔画像であると認識するように、敵対的摂動の大きさについて制約条件を設けるようにしてもよい。この場合の制約条件として、上記の式(2)に示される制約条件を用いることができる。例えば、敵対的サンプル生成部131が、上記の式(2)で示される制約条件の下で、上記の式(8)に示される最適化問題を解くようにしてもよい。
【0116】
上記の式(8)で示される最適化問題は、式(9)の目的関数J(xadv,f,Gj,T)の値を最大化する最適化問題に勾配法を適用して、近似的に解くことができる。
【0117】
【数9】
【0118】
式(9)では、式(3)に加えて、式(8)の場合と同様の制約項「c||f(xadv)-f(t(xg
j))||p」が設けられている。
式(9)でも、「t(xg j)」は、ガイド画像取得部112が画像変換関数tを用いる場合のガイド画像「t(xg j)」と、ガイド画像取得部112が画像変換関数tを用いない場合のガイド画像「xg j」との総称を示す。
式(9)でも、「t(xg j)」は、ガイド画像取得部112が画像変換関数tを用いる場合のガイド画像「t(xg j)」と、ガイド画像取得部112が画像変換関数tを用いない場合のガイド画像「xg j」との総称を示す。
【0119】
敵対的サンプル生成部131が、入力されたソース画像xs
i、最大摂動サイズδ、および類似度計算部114により計算される目的関数J(xadv,f,Gj,T)を元に、上記の式(4)に基づいて敵対的サンプル候補xadv
(h)の値を更新するようにしてもよい。
【0120】
敵対的サンプル生成部131は、式(4)に基づいて、目的関数J(xadv,f,Gj,T)の値を最大化するように敵対的サンプル候補xadv
(h)を更新する。
第三実施形態では、類似度計算部114は、式(3)に代えて式(9)を用いて、式(4)の目的関数「J(xadv,f,Gj,T)」の値を計算する。
第三実施形態では、類似度計算部114は、式(3)に代えて式(9)を用いて、式(4)の目的関数「J(xadv,f,Gj,T)」の値を計算する。
【0121】
敵対的サンプル生成部131が、更新された敵対的サンプル候補xadv
(h)が上記の式(2)の制約を満たすように、xadv
(h)の値を変更するようにしてもよい。例えば、敵対的サンプル生成部131が、xadv
(h)とxs
iとの差のL∞ノルムを計算し、L∞ノルムがδ以上となっている場合、δ以下になるようにxadv
(h)の値を変更するようにしてもよい。
【0122】
敵対的サンプル生成部131は、式(4)による敵対的サンプル候補の更新作業をM3回行う。M3はM3≧1の整数である。M3の値が予め固定値に設定されていてもよい。あるいは、ユーザがM3の値を指定するようにしてもよい。
【0123】
(動作の説明)
図6は、敵対的サンプル生成装置130が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
ステップS141からS146までは、図2のステップS101からS106までと同様である。
図6では、図2の場合の敵対的サンプル生成装置110を敵対的サンプル生成装置130と読み替え、敵対的サンプル生成部111を敵対的サンプル生成部131と読み替える。
図6は、敵対的サンプル生成装置130が敵対的サンプルを生成する処理手順の例を示すフローチャートである。
ステップS141からS146までは、図2のステップS101からS106までと同様である。
図6では、図2の場合の敵対的サンプル生成装置110を敵対的サンプル生成装置130と読み替え、敵対的サンプル生成部111を敵対的サンプル生成部131と読み替える。
【0124】
ステップS146の後、制約項計算部122は、式(9)の制約項「c||f(xadv)-f(t(xg
j))||p」の値を計算する(ステップS147)。
ステップS148は、図2のステップS107と同様である。
次に、類似度計算部114が、ステップS148で計算した類似度、および、ステップS146で制約項計算部122が計算した制約項の値に基づいて目的関数J(xadv,f,Gj,T)の値を計算する(ステップS149)。
次に、敵対的サンプル生成部131は、式(4)に基づいて敵対的サンプル候補xadv (h)の値を更新する(ステップS150)。
ステップS148は、図2のステップS107と同様である。
次に、類似度計算部114が、ステップS148で計算した類似度、および、ステップS146で制約項計算部122が計算した制約項の値に基づいて目的関数J(xadv,f,Gj,T)の値を計算する(ステップS149)。
次に、敵対的サンプル生成部131は、式(4)に基づいて敵対的サンプル候補xadv (h)の値を更新する(ステップS150)。
【0125】
次に、敵対的サンプル生成装置130は、ループL13の終端処理を行う(ステップS151)。具体的には、敵対的サンプル生成装置130は、ループL13の処理をM3回繰り返したか否かを判定する。まだループL13の処理をM3回繰り返していないと判定した場合、敵対的サンプル生成装置130は、引き続き、ループL13の処理を繰り返す。
一方、ループL13の処理をM3回繰り返したと判定した場合、敵対的サンプル生成装置130は、ループL13を終了する。
一方、ループL13の処理をM3回繰り返したと判定した場合、敵対的サンプル生成装置130は、ループL13を終了する。
【0126】
ステップS151で敵対的サンプル生成装置130がループL13を終了した場合、敵対的サンプル生成部131は、敵対的サンプルxadvの値を決定する(ステップS152)。具体的には、敵対的サンプル生成部131は、敵対的サンプル候補xadv
(M3)の値、すなわち敵対的サンプル候補の最新の値を敵対的サンプルxadvの値として採用する。
ステップS152の後、敵対的サンプル生成装置130は、図6の処理を終了する。
ステップS152の後、敵対的サンプル生成装置130は、図6の処理を終了する。
【0127】
以上のように、ガイド画像取得部112は、1つのターゲットクラスに分類される複数のガイド画像xg
jを取得する。敵対的サンプル生成部131は、複数のガイド画像xg
jを用いて、かつ、敵対的サンプル候補xadv
(h-1)の特徴量とガイド画像xg
jの特徴量との類似度を示す項と、敵対的サンプル候補xadv
(h-1)の特徴量とガイド画像xg
jの特徴量とのノルムを示す項とを含む目的関数を用いて、1つの敵対的サンプルを生成する。
【0128】
これにより、敵対的サンプル生成部131は、複数のガイド画像xg
jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを生成することができる。この点で、敵対的サンプル生成部131は、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvを生成することができる。
【0129】
また、敵対的サンプル生成部131は、目的関数の制約項により、特定の1つのガイド画像xg
jだけでなく複数のガイド画像xg
jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを生成することができる。敵対的サンプル生成部131は、この点でも、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvを生成することができる。
【0130】
このように、敵対的サンプル生成装置130によれば、機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定され得る敵対的サンプルxadvを得られる。
例えば、この敵対的サンプルxadvを教師データとして用いて、この敵対的サンプルxadvに騙されにくいモデルを学習するなどの対策を行い得る。
例えば、この敵対的サンプルxadvを教師データとして用いて、この敵対的サンプルxadvに騙されにくいモデルを学習するなどの対策を行い得る。
【0131】
上記の式(2)および(8)に示される最適化問題、あるいは、式(2)、(4)および(9)に示される最適化問題は、ガイド画像xg
jを学習データとして用いる、敵対的サンプルxadvの学習モデルと捉えることができる。敵対的サンプル生成装置130では、複数のガイド画像xg
jを用いること、および、最適化問題の目的関数に制約項を設けることで、特定のガイド画像xg
jに対する過学習の防止を図ることができる。
【0132】
<第四の実施形態>
図7は、第四の実施形態に係る検知モデル学習装置の機能構成の例を示す概略ブロック図である。図7に示す構成で、検知モデル学習装置200は、敵対的サンプル生成部111と、ガイド画像取得部112と、特徴量計算部113と、類似度計算部114と、訓練データ集合生成部211と、検知モデル学習部212と、を備える。
図7は、第四の実施形態に係る検知モデル学習装置の機能構成の例を示す概略ブロック図である。図7に示す構成で、検知モデル学習装置200は、敵対的サンプル生成部111と、ガイド画像取得部112と、特徴量計算部113と、類似度計算部114と、訓練データ集合生成部211と、検知モデル学習部212と、を備える。
【0133】
図7の構成で、図1の各部に対応して同様の機能を有する部分には同一の符号(111、112、113、114)を付して、ここでは詳細な説明を省略する。
検知モデル学習装置200は、図1の敵対的サンプル生成装置110が備える各部に加えて、さらに訓練データ集合生成部211と、検知モデル学習部212と、を備える。
検知モデル学習装置200は、図1の敵対的サンプル生成装置110が備える各部に加えて、さらに訓練データ集合生成部211と、検知モデル学習部212と、を備える。
【0134】
検知モデル学習装置200は、敵対的サンプル生成部111が生成する敵対的サンプルを訓練データとして用いて、敵対的サンプルを検知するためのモデルの学習を行う。敵対的サンプルを検知するためのモデルを検知モデルとも称する。
検知モデルは、入力データを敵対的サンプルのクラス、または、正常データのクラスの何れかに分類する。ここでは、正常データは敵対的サンプル以外のデータである。
この分類により、検知モデルは、敵対的サンプルと正常データとを識別する。すなわち、検知モデルは、入力されるデータが敵対的サンプルであるか正常データであるかを予測する。
検知モデルは、入力データを敵対的サンプルのクラス、または、正常データのクラスの何れかに分類する。ここでは、正常データは敵対的サンプル以外のデータである。
この分類により、検知モデルは、敵対的サンプルと正常データとを識別する。すなわち、検知モデルは、入力されるデータが敵対的サンプルであるか正常データであるかを予測する。
【0135】
第四の実施形態では、第一の実施形態で得られる敵対的サンプルを用いて検知モデルの学習を行う場合について説明する。
ただし、第一の実施形態に代えて、第二の実施形態で得られる敵対的サンプルを用いて検知モデルの学習を行うようにしてもよい。あるいは、第一の実施形態と第二の実施形態との組み合わせに該当する第三の実施形態で得られる敵対的サンプルを用いて検知モデルの学習を行うようにしてもよい。
ただし、第一の実施形態に代えて、第二の実施形態で得られる敵対的サンプルを用いて検知モデルの学習を行うようにしてもよい。あるいは、第一の実施形態と第二の実施形態との組み合わせに該当する第三の実施形態で得られる敵対的サンプルを用いて検知モデルの学習を行うようにしてもよい。
【0136】
第二の実施形態で得られる敵対的サンプルを用いて検知モデルの学習を行う場合、検知モデル学習装置200が、図1の敵対的サンプル生成部111およびガイド画像取得部112に代えて、図3の敵対的サンプル生成部121および制約項計算部122を備えるようにしてもよい。
第三の実施形態で得られる敵対的サンプルを用いて検知モデルの学習を行う場合、検知モデル学習装置200が、図7に示す各部に加えて、さらに制約項計算部122を備えるようにしてもよい。
第三の実施形態で得られる敵対的サンプルを用いて検知モデルの学習を行う場合、検知モデル学習装置200が、図7に示す各部に加えて、さらに制約項計算部122を備えるようにしてもよい。
【0137】
検知モデル学習装置200は、データ集合Xと、特徴量抽出モデルfと、画像変換関数集合Tと、最大摂動サイズδとを入力データとして取得して、検知モデルdを出力する。例えば、検知モデル学習装置200が、検知モデルdの学習で得られた検知モデルdのパラメータの値を出力するようにしてもよい。
【0138】
データ集合Xは、ソース画像xs
iとガイド画像集合Gjとのペア(xs
i,Gj)を要素とする集合である。
上述したように、特徴量抽出モデルfは顔画像を入力として受け付け、実数を要素として持つ多次元ベクトルを出力する。
上述したように、画像変換関数集合Tは1つ以上の画像処理関数tの集合である。
上述したように、特徴量抽出モデルfは顔画像を入力として受け付け、実数を要素として持つ多次元ベクトルを出力する。
上述したように、画像変換関数集合Tは1つ以上の画像処理関数tの集合である。
【0139】
検知モデル学習装置200が他の装置と通信を行って、その装置からこれら入力データを受信するようにしてもよい。あるいは、検知モデル学習装置200が画像変換関数集合Tおよび最大摂動サイズδを予め記憶しておくなど、これらの入力データの全部または一部を予め取得しておいてもよい。
検知モデル学習装置200は、情報処理装置の例に該当する。
検知モデル学習装置200は、情報処理装置の例に該当する。
【0140】
訓練データ集合生成部211は、検知モデルdを学習するための訓練データ集合Xtrを生成する。そのために、訓練データ集合生成部211は、まず、データ集合X内の全てのソース画像xs
iとガイド画像集合Gjとのペア(xs
i,Gj)∈X、特徴量抽出モデルf、画像変換関数集合T、および、最大摂動サイズδを敵対的サンプル生成部111に出力する。
【0141】
敵対的サンプル生成部111は、訓練データ集合生成部211からのデータを用いて、ガイド画像集合Gjとのペア(xs
i,Gj)ごとに敵対的サンプルxadvを生成する。これにより、訓練データ集合生成部211は、|X|個の敵対的サンプルxadvを生成する。|X|は集合Xの要素数を表す。
【0142】
そして、訓練データ集合生成部211は、データ集合X内のxs
iと、敵対的サンプル生成部111が生成した敵対的サンプルとで異なるラベルを付加し、訓練データ集合Xtrを構築する。訓練データ集合Xtrの要素の個数は、|Xtr|=2|X|である。
【0143】
検知モデル学習部212は、訓練データ集合生成部211が生成した訓練データ集合Xtrを用いて検知モデルdの学習を行う。
例えば、検知モデルdが、二値分類を行うニューラルネットワークを用いて構成されていてもよい。この場合、例えばクロスエントロピー損失関数を用いて、このニューラルネットワークの学習を行うことができる。
例えば、検知モデルdが、二値分類を行うニューラルネットワークを用いて構成されていてもよい。この場合、例えばクロスエントロピー損失関数を用いて、このニューラルネットワークの学習を行うことができる。
【0144】
検知モデル学習部212が、訓練データ集合XtrからB個の要素をランダムに選択してミニバッチを生成するようにしてもよい。Bは、B≧1の整数である。Bの値が予め固定値に設定されていてもよい。あるいは、ユーザがBの値を指定するようにしてもよい。
【0145】
そして、検知モデル学習部212が、ミニバッチを用いて計算された損失関数に勾配法を適用することで、ニューラルネットのパラメータ更新を行うようにしてもよい。
検知モデル学習部212が、ミニバッチの生成および検知モデルdの学習をM4回繰り返して行うようにしてもよい。M4は、M4≧1の整数である。M4の値が予め固定値に設定されていてもよい。あるいは、ユーザがM4の値を指定するようにしてもよい。
検知モデル学習部212が、ミニバッチの生成および検知モデルdの学習をM4回繰り返して行うようにしてもよい。M4は、M4≧1の整数である。M4の値が予め固定値に設定されていてもよい。あるいは、ユーザがM4の値を指定するようにしてもよい。
【0146】
ただし、検知モデルdの学習アルゴリズムは、特定のものに限定されない。検知モデルdの学習アルゴリズムとして、二値分類を行うニューラルネットワークを学習可能な、いろいろなアルゴリズムを用いることができる。
【0147】
(動作の説明)
図8は、検知モデル学習装置200が検知モデル学習を行う処理手順の例を示すフローチャートである。
図8の処理で、訓練データ集合生成部211は、データ集合Xと、特徴量抽出モデルfと、画像変換関数集合Tと、最大摂動サイズδとを、検知モデル学習装置200の外部からの入力データとして取得する(ステップS201)。
図8は、検知モデル学習装置200が検知モデル学習を行う処理手順の例を示すフローチャートである。
図8の処理で、訓練データ集合生成部211は、データ集合Xと、特徴量抽出モデルfと、画像変換関数集合Tと、最大摂動サイズδとを、検知モデル学習装置200の外部からの入力データとして取得する(ステップS201)。
【0148】
次に、検知モデル学習装置200は、ループL21を開始する(ステップS202)。
ループL21の処理で、検知モデル学習装置200は、データ集合Xに含まれるデータ(xs i,Gj)ごとに、敵対的サンプルxadvを生成する(ステップS203)。ステップS203で、検知モデル学習装置200は、図2のステップS102およびそれ以降の処理を行って敵対的サンプルxadvを生成する。
ループL21の処理で、検知モデル学習装置200は、データ集合Xに含まれるデータ(xs i,Gj)ごとに、敵対的サンプルxadvを生成する(ステップS203)。ステップS203で、検知モデル学習装置200は、図2のステップS102およびそれ以降の処理を行って敵対的サンプルxadvを生成する。
【0149】
次に、検知モデル学習装置200は、ループL21の終端処理を行う(ステップS204)。具体的には、検知モデル学習装置200は、データ集合Xに含まれる全てのデータ(xs
i,Gj)に対してステップS203での敵対的サンプルxadvの生成を行ったか否かを判定する。ステップS203の処理を行っていないデータ(xs
i,Gj)があると判定した場合、検知モデル学習装置200は、引き続き、ステップS203の処理を行っていないデータ(xs
i,Gj)に対してステップS203の処理を行う。
一方、データ集合Xに含まれる全てのデータ(xs i,Gj)に対してステップS203での敵対的サンプルxadvの生成を行ったと判定した場合、検知モデル学習装置200は、ループL21を終了する。
一方、データ集合Xに含まれる全てのデータ(xs i,Gj)に対してステップS203での敵対的サンプルxadvの生成を行ったと判定した場合、検知モデル学習装置200は、ループL21を終了する。
【0150】
ステップS204で検知モデル学習装置200がループL21を終了した場合、訓練データ集合生成部211は、データ集合Xに含まれるガイド画像xs
iと、敵対的サンプル生成部111がデータ集合Xに含まれるデータ(xs
i,Gj)ごとに生成した敵対的サンプルxadvとを用いて、訓練データ集合Xtrを生成する(ステップS205)。
【0151】
次に、検知モデル学習装置200は、ループL22を開始する(ステップS206)。
ステップS206の処理で、検知モデル学習部212は、訓練データ集合XtrからB個の要素を選択してミニバッチを生成する(ステップS207)。
次に、検知モデル学習部212は、生成したミニバッチを用いて検知モデルdの学習を行う。
ステップS206の処理で、検知モデル学習部212は、訓練データ集合XtrからB個の要素を選択してミニバッチを生成する(ステップS207)。
次に、検知モデル学習部212は、生成したミニバッチを用いて検知モデルdの学習を行う。
【0152】
次に、検知モデル学習装置200は、ループL22の終端処理を行う(ステップS209)。具体的には、検知モデル学習装置200は、ループL22の処理をM4回繰り返したか否かを判定する。まだループL22の処理をM4回繰り返していないと判定した場合、検知モデル学習装置200は、引き続き、ループL22の処理を繰り返す。
一方、ループL22の処理をM4回繰り返したと判定した場合、検知モデル学習装置200は、ループL22を終了する。
一方、ループL22の処理をM4回繰り返したと判定した場合、検知モデル学習装置200は、ループL22を終了する。
【0153】
ステップS209でループL22を終了した場合、検知モデル学習装置200は、図8の処理を終了する。
【0154】
以上のように、検知モデル学習部212は、敵対的サンプル生成部111が生成した敵対的サンプルを用いて、敵対的サンプルを検知する検知モデルの学習を行う。
これにより、検知モデル学習部212は、複数のガイド画像xg jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを用いて検知モデルの学習を行うことができる。この点で、検知モデル学習装置200で得られる検知モデルによれば、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvなど、誤照合が生じるリスクが高い敵対的サンプルを高精度に検知できると期待される。
これにより、検知モデル学習部212は、複数のガイド画像xg jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを用いて検知モデルの学習を行うことができる。この点で、検知モデル学習装置200で得られる検知モデルによれば、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvなど、誤照合が生じるリスクが高い敵対的サンプルを高精度に検知できると期待される。
【0155】
<第五の実施形態>
図9は、第五の実施形態に係る特徴量抽出モデル学習装置の機能構成の例を示す概略ブロック図である。図9に示す構成で、特徴量抽出モデル学習装置300は、敵対的サンプル生成部111と、ガイド画像取得部112と、特徴量計算部113と、類似度計算部114と、ミニバッチ生成部311と、特徴量抽出モデル学習部312と、を備える。
図9は、第五の実施形態に係る特徴量抽出モデル学習装置の機能構成の例を示す概略ブロック図である。図9に示す構成で、特徴量抽出モデル学習装置300は、敵対的サンプル生成部111と、ガイド画像取得部112と、特徴量計算部113と、類似度計算部114と、ミニバッチ生成部311と、特徴量抽出モデル学習部312と、を備える。
【0156】
図9の構成で、図1の各部に対応して同様の機能を有する部分には同一の符号(111、112、113、114)を付して、ここでは詳細な説明を省略する。
特徴量抽出モデル学習装置300は、図1の敵対的サンプル生成装置110が備える各部に加えて、さらにミニバッチ生成部311と、特徴量抽出モデル学習部312と、を備える。
特徴量抽出モデル学習装置300は、図1の敵対的サンプル生成装置110が備える各部に加えて、さらにミニバッチ生成部311と、特徴量抽出モデル学習部312と、を備える。
【0157】
特徴量抽出モデル学習装置300は、敵対的サンプル生成部111が生成する敵対的サンプルxadvを訓練データとして用いて、顔照合用の顔画像などの入力データの特徴量を抽出する特徴量抽出モデルfの学習を行う。
【0158】
第五の実施形態では、第一の実施形態で得られる敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行う場合について説明する。
ただし、第一の実施形態に代えて、第二の実施形態で得られる敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行うようにしてもよい。あるいは、第一の実施形態と第二の実施形態との組み合わせに該当する第三の実施形態で得られる敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行うようにしてもよい。
ただし、第一の実施形態に代えて、第二の実施形態で得られる敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行うようにしてもよい。あるいは、第一の実施形態と第二の実施形態との組み合わせに該当する第三の実施形態で得られる敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行うようにしてもよい。
【0159】
第二の実施形態で得られる敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行う場合、特徴量抽出モデル学習装置300が、図1の敵対的サンプル生成部111およびガイド画像取得部112に代えて、図3の敵対的サンプル生成部121および制約項計算部122を備えるようにしてもよい。
第三の実施形態で得られる敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行う場合、特徴量抽出モデル学習装置300が、図9に示す各部に加えて、さらに制約項計算部122を備えるようにしてもよい。
第三の実施形態で得られる敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行う場合、特徴量抽出モデル学習装置300が、図9に示す各部に加えて、さらに制約項計算部122を備えるようにしてもよい。
【0160】
さらに、第四の実施形態と第五の実施形態とを合わせて実施するようにしてもよい。この場合、特徴量抽出モデル学習装置300が、図7の訓練データ集合生成部211および検知モデル学習部212をさらに備えるようにしてもよい。
【0161】
特徴量抽出モデル学習装置300は、データ集合X2と、画像変換関数集合Tと、最大摂動サイズδとを入力データとして取得して、特徴量抽出モデルfを出力する。例えば、特徴量抽出モデル学習装置300が、特徴量抽出モデルfの学習で得られた特徴量抽出モデルfのパラメータの値を出力するようにしてもよい。
特徴量抽出モデル学習装置300は、情報処理装置の例に該当する。
特徴量抽出モデル学習装置300は、情報処理装置の例に該当する。
【0162】
データ集合X2は、ソース画像xs
iと、ソース画像xs
iのクラスラベルyと、ガイド画像集合Gjとの組み合わせ(xs
i,y,Gj)を要素とする集合である。
クラスラベルyは、ソース画像xs iが分類される正解クラスを示すラベルである。すなわち、クラスラベルyはクラスiを示す。例えば、ソース画像xs iとして顔画像が事前登録されている人と、クラスとが一対一に対応付けられる場合、クラスラベルyは、ソース画像xs iに顔が写っている人を識別する識別情報を示す。クラスラベルyは、例えばワンホットベクトルまたは整数で示されていてもよい。
上述したように、画像変換関数集合Tは1つ以上の画像処理関数tの集合である。
クラスラベルyは、ソース画像xs iが分類される正解クラスを示すラベルである。すなわち、クラスラベルyはクラスiを示す。例えば、ソース画像xs iとして顔画像が事前登録されている人と、クラスとが一対一に対応付けられる場合、クラスラベルyは、ソース画像xs iに顔が写っている人を識別する識別情報を示す。クラスラベルyは、例えばワンホットベクトルまたは整数で示されていてもよい。
上述したように、画像変換関数集合Tは1つ以上の画像処理関数tの集合である。
【0163】
ミニバッチ生成部311は、特徴量抽出モデルfの学習のためのミニバッチを生成する。特徴量抽出モデル学習部312が、特徴量抽出モデルfの更新を繰り返し、特徴量抽出モデルfが更新されるごとに、ミニバッチ生成部311がミニバッチを生成して特徴量抽出モデル学習部312に出力するようにしてもよい。
ミニバッチ生成部311は、画像とラベルのペアを要素とし、C個の要素を有するミニバッチを生成する。Cは、C≧2の整数である。Cの値が予め固定値に設定されていてもよい。あるいは、ユーザがCの値を指定するようにしてもよい。
ミニバッチ生成部311は、画像とラベルのペアを要素とし、C個の要素を有するミニバッチを生成する。Cは、C≧2の整数である。Cの値が予め固定値に設定されていてもよい。あるいは、ユーザがCの値を指定するようにしてもよい。
【0164】
具体的には、ミニバッチ生成部311は、データ集合X2からC個の要素を選択し、選択した要素ごとに、ソース画像xs
iとクラスラベルyとのペア(xs
i,y)を取得する。そして、ミニバッチ生成部311は、得られたC個のペアのうちD個を選択し、選択したD個のペアのソース画像xs
iを敵対的サンプル生成部111に出力する。Dは、1≦D<Cの整数である。Dの値が予め固定値に設定されていてもよい。あるいは、ユーザがDの値を指定するようにしてもよい。
【0165】
敵対的サンプル生成部111は、ミニバッチ生成部311からのC個のソース画像xs
iのそれぞれについて敵対的サンプルxadvを生成してミニバッチ生成部311へ出力する。
敵対的サンプル生成部111が敵対的サンプルxadvを生成するための特徴量抽出モデルfとして、特徴量抽出モデル学習部312が更新した最新の特徴量抽出モデルfを用いるようにしてもよい。
敵対的サンプル生成部111が敵対的サンプルxadvを生成するための特徴量抽出モデルfとして、特徴量抽出モデル学習部312が更新した最新の特徴量抽出モデルfを用いるようにしてもよい。
【0166】
ガイド画像集合Gjについては、ミニバッチ生成部311がソース画像xs
iと共に、敵対的サンプル生成部111に出力するようにしてもよい。ミニバッチ生成部311が、ソース画像xs
iごとに、データ集合X2でそのソース画像xs
iと組み合わせられているガイド画像集合Gjを敵対的サンプル生成部111に出力するようにしてもよい。
【0167】
画像変換関数集合Tおよび最大摂動サイズδについては、敵対的サンプル生成部111が、特徴量抽出モデル学習装置300への入力データに含まれる画像変換関数集合Tおよび最大摂動サイズδを用いるようにしてもよい。この場合、ミニバッチ生成部311が、特徴量抽出モデル学習装置300への入力データに含まれる画像変換関数集合Tおよび最大摂動サイズδを、敵対的サンプル生成部111に出力するようにしてもよい。
【0168】
ミニバッチ生成部311は、C個のペア(xs
i,y)のうち、敵対的サンプル生成部111が敵対的サンプルxadvを生成したD個について、ソース画像xs
iを敵対的サンプルxadvに置き換える。
ミニバッチ生成部311は、D個のソース画像xs iを敵対的サンプルxadvに置き換え後のC個のペアを学習データのミニバッチとして特徴量抽出モデル学習部312に出力する。このミニバッチの各要素では、ソース画像xs iまたは敵対的サンプルxadvの何れか一方と、正解のクラスを示すクラスラベルyとが紐付けられている。
ミニバッチ生成部311は、D個のソース画像xs iを敵対的サンプルxadvに置き換え後のC個のペアを学習データのミニバッチとして特徴量抽出モデル学習部312に出力する。このミニバッチの各要素では、ソース画像xs iまたは敵対的サンプルxadvの何れか一方と、正解のクラスを示すクラスラベルyとが紐付けられている。
【0169】
特徴量抽出モデル学習部312は、ミニバッチ生成部311が生成するミニバッチを用いて特徴量抽出モデルfの学習を行う。例えば、特徴量抽出モデル学習部312は、学習対象の特徴量抽出モデルfの評価を示す損失関数を用いた最適化問題を解くことで、その特徴量抽出モデルfの学習を行う。
【0170】
この場合の損失関数として、例えば、ソース画像xs
iまたは敵対的サンプルxadvを、学習対象の特徴量抽出モデルfを用いてクラス分類した場合の分類結果を、正解か否かに応じて評価する損失関数を用いることができる。
特徴量抽出モデル学習部312は、ミニバッチを用いて損失関数の計算を行い、損失関数の値が示す損失を最小化する最適化問題に勾配法を適用して解くことで、特徴量抽出モデルfのパラメータを更新する。
特徴量抽出モデル学習部312は、ミニバッチを用いて損失関数の計算を行い、損失関数の値が示す損失を最小化する最適化問題に勾配法を適用して解くことで、特徴量抽出モデルfのパラメータを更新する。
【0171】
特徴量抽出モデル学習部312は、特徴量抽出モデルfのパラメータの更新をM5回繰り返す。M5は、M5≧1の整数である。M5の値が予め固定値に設定されていてもよい。あるいは、ユーザがM5の値を指定するようにしてもよい。
ただし、特徴量抽出モデルfの学習のための損失関数、特徴量抽出モデルのアーキテクチャ、学習アルゴリズム、および、学習率等のメタパラメータは特定のものに限定されず、いろいろなものを用いることができる。
ただし、特徴量抽出モデルfの学習のための損失関数、特徴量抽出モデルのアーキテクチャ、学習アルゴリズム、および、学習率等のメタパラメータは特定のものに限定されず、いろいろなものを用いることができる。
【0172】
(動作の説明)
図10は、特徴量抽出モデル学習装置300が特徴量抽出モデルfの学習を行う処理手順の例を示すフローチャートである。
図10の処理で、ミニバッチ生成部311は、データ集合X2と、画像変換関数集合Tと、最大摂動サイズδとを、特徴量抽出モデル学習装置300の外部からの入力データとして取得する(ステップS301)。
図10は、特徴量抽出モデル学習装置300が特徴量抽出モデルfの学習を行う処理手順の例を示すフローチャートである。
図10の処理で、ミニバッチ生成部311は、データ集合X2と、画像変換関数集合Tと、最大摂動サイズδとを、特徴量抽出モデル学習装置300の外部からの入力データとして取得する(ステップS301)。
【0173】
次に、特徴量抽出モデル学習装置300は、ループL31を開始する(ステップS302)。
ループL31の処理で、ミニバッチ生成部311は、C個の要素を持つミニバッチを生成する(ステップS303)。具体的には、ミニバッチ生成部311は、データ集合X2からC個の要素を選択し、選択した要素の各々からソース画像xs iとクラスラベルyとを取得して、ペア(xs i,y)をミニバッチの要素として用いる。
ループL31の処理で、ミニバッチ生成部311は、C個の要素を持つミニバッチを生成する(ステップS303)。具体的には、ミニバッチ生成部311は、データ集合X2からC個の要素を選択し、選択した要素の各々からソース画像xs iとクラスラベルyとを取得して、ペア(xs i,y)をミニバッチの要素として用いる。
【0174】
次に、特徴量抽出モデル学習装置300は、ループL32を開始する(ステップS304)。
ループL32の処理で、ミニバッチ生成部311は、ミニバッチに含まれる1つのソース画像xs iを敵対的サンプル生成部111に出力する(ステップS305)。
ループL32の処理で、ミニバッチ生成部311は、ミニバッチに含まれる1つのソース画像xs iを敵対的サンプル生成部111に出力する(ステップS305)。
【0175】
次に、特徴量抽出モデル学習装置300は、ミニバッチ生成部311からのソース画像xs
iを用いて敵対的サンプルxadvを生成する(ステップS206)。特徴量抽出モデル学習装置300は、ステップS305で選択したソース画像xs
iと、データ集合X2でそのソース画像xs
iと組み合わせられているガイド画像集合Gjと、入力データに含まれる画像変換関数集合Tおよび最大摂動サイズδとを用いて、敵対的サンプルxadvを生成する。
ステップS306で、特徴量抽出モデル学習装置300は、図2のステップS102およびそれ以降の処理を行って敵対的サンプルxadvを生成する。
ステップS306で、特徴量抽出モデル学習装置300は、図2のステップS102およびそれ以降の処理を行って敵対的サンプルxadvを生成する。
【0176】
次に、ミニバッチ生成部311は、ミニバッチに含まれるソース画像xs
iのうちステップS305で選択したソース画像xs
iを、ステップS306で得られた敵対的サンプルxadvに置き換える(ステップS307)。
【0177】
次に、特徴量抽出モデル学習装置300は、ループL32の終端処理を行う(ステップS308)。具体的には、特徴量抽出モデル学習装置300は、ループL32の処理をD回繰り返したか否かを判定する。まだループL32の処理をD回繰り返していないと判定した場合、特徴量抽出モデル学習装置300は、引き続き、ループL32の処理を繰り返す。
一方、ループL32の処理をD回繰り返したと判定した場合、特徴量抽出モデル学習装置300は、ループL32を終了する。
一方、ループL32の処理をD回繰り返したと判定した場合、特徴量抽出モデル学習装置300は、ループL32を終了する。
【0178】
ステップS308で特徴量抽出モデル学習装置300がループL32を終了した場合、特徴量抽出モデル学習部312は、特徴量抽出モデルfの学習を行う(ステップS309)。特徴量抽出モデル学習部312は、D個のソース画像xs
iを敵対的サンプルxadvに置き換え後のミニバッチを用いて特徴量抽出モデルfの学習を行い、特徴量抽出モデルfのパラメータを更新する。
【0179】
次に、特徴量抽出モデル学習装置300は、ループL31の終端処理を行う(ステップS310)。具体的には、特徴量抽出モデル学習装置300は、ループL31の処理をM5回繰り返したか否かを判定する。まだループL31の処理をM5回繰り返していないと判定した場合、特徴量抽出モデル学習装置300は、引き続き、ループL31の処理を繰り返す。
一方、ループL31の処理をM5回繰り返したと判定した場合、特徴量抽出モデル学習装置300は、ループL31を終了する。
一方、ループL31の処理をM5回繰り返したと判定した場合、特徴量抽出モデル学習装置300は、ループL31を終了する。
【0180】
ステップS310でループL31を終了した場合、特徴量抽出モデル学習装置300は、図10の処理を終了する。
【0181】
以上のように、特徴量抽出モデル学習部312は、敵対的サンプル生成部111が生成した敵対的サンプルxadvを用いて、特徴量抽出モデルfの学習を行う。
これにより、特徴量抽出モデル学習部312は、複数のガイド画像xg jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行うことができる。この点で、特徴量抽出モデル学習装置300で得られる検知モデルによれば、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvなど、誤照合が生じるリスクが高い顔画像についても、高精度に顔照合できると期待される。
これにより、特徴量抽出モデル学習部312は、複数のガイド画像xg jそれぞれの特徴量に類似する特徴量を有する敵対的サンプルxadvを用いて特徴量抽出モデルfの学習を行うことができる。この点で、特徴量抽出モデル学習装置300で得られる検知モデルによれば、照合時に撮影される多様な撮影画像と特徴量の類似度が高い敵対的サンプルxadvなど、誤照合が生じるリスクが高い顔画像についても、高精度に顔照合できると期待される。
【0182】
<第六の実施形態>
図11は、第六の実施形態に係るリスク評価装置の機能構成の例を示す概略ブロック図である。図11に示す構成でリスク評価装置400は、敵対的サンプル生成部111と、ガイド画像取得部112と、特徴量計算部113と、類似度計算部114と、リスク評価部411と、を備える。
図11は、第六の実施形態に係るリスク評価装置の機能構成の例を示す概略ブロック図である。図11に示す構成でリスク評価装置400は、敵対的サンプル生成部111と、ガイド画像取得部112と、特徴量計算部113と、類似度計算部114と、リスク評価部411と、を備える。
【0183】
図11の構成で、図1の各部に対応して同様の機能を有する部分には同一の符号(111、112、113、114)を付して、ここでは詳細な説明を省略する。
リスク評価装置400は、図1の敵対的サンプル生成装置110が備える各部に加えて、さらにリスク評価部411を備える。
リスク評価装置400は、図1の敵対的サンプル生成装置110が備える各部に加えて、さらにリスク評価部411を備える。
【0184】
リスク評価装置400は、評価用特徴量抽出モデルfeを用いた際の、敵対的サンプル生成部111が生成する敵対的サンプルxadvの特徴量と、評価用撮影画像xe
jの特徴量との類似度を計算する。評価用特徴量抽出モデルfeおよび評価用撮影画像xe
jは、リスク評価装置400の外部からリスク評価装置400に入力される。
【0185】
この類似度を、敵対的サンプルxadvによる誤照合誘引のリスクの評価指標として用いることができる。類似度が高いほど、誤照合が誘引されるリスクが高いと評価できる。
あるいは、この類似度を、評価用特徴量抽出モデルfeについての誤照合誘引のリスクの評価指標として用いることができる。類似度が高いほど、誤照合が誘引されるリスクが高いと評価できる。
あるいは、この類似度を、評価用特徴量抽出モデルfeについての誤照合誘引のリスクの評価指標として用いることができる。類似度が高いほど、誤照合が誘引されるリスクが高いと評価できる。
【0186】
第六の実施形態では、第一の実施形態で得られる敵対的サンプルxadvを用いリスク評価を行う場合について説明する。
ただし、第一の実施形態に代えて、第二の実施形態で得られる敵対的サンプルxadvを用いてリスク評価を行うようにしてもよい。あるいは、第一の実施形態と第二の実施形態との組み合わせに該当する第三の実施形態で得られる敵対的サンプルxadvを用いてリスク評価を行うようにしてもよい。
ただし、第一の実施形態に代えて、第二の実施形態で得られる敵対的サンプルxadvを用いてリスク評価を行うようにしてもよい。あるいは、第一の実施形態と第二の実施形態との組み合わせに該当する第三の実施形態で得られる敵対的サンプルxadvを用いてリスク評価を行うようにしてもよい。
【0187】
第二の実施形態で得られる敵対的サンプルxadvを用いてリスク評価を行う場合、リスク評価装置400が、図1の敵対的サンプル生成部111およびガイド画像取得部112に代えて、図3の敵対的サンプル生成部121および制約項計算部122を備えるようにしてもよい。
第三の実施形態で得られる敵対的サンプルxadvを用いてリスク評価を行う場合、リスク評価装置400が、図11に示す各部に加えて、さらに制約項計算部122を備えるようにしてもよい。
第三の実施形態で得られる敵対的サンプルxadvを用いてリスク評価を行う場合、リスク評価装置400が、図11に示す各部に加えて、さらに制約項計算部122を備えるようにしてもよい。
【0188】
さらに、第四の実施形態および第五の実施形態のうち何れか一方またはこれら両方と、第六の実施形態とを合わせて実施するようにしてもよい。
第四の実施形態と第六の実施形態とを合わせて実施する場合、リスク評価装置400が、図7の訓練データ集合生成部211および検知モデル学習部212をさらに備えるようにしてもよい。
第五の実施形態と第六の実施形態とを合わせて実施する場合、リスク評価装置400が、図9のミニバッチ生成部311および特徴量抽出モデル学習部312をさらに備えるようにしてもよい。
第四の実施形態と第六の実施形態とを合わせて実施する場合、リスク評価装置400が、図7の訓練データ集合生成部211および検知モデル学習部212をさらに備えるようにしてもよい。
第五の実施形態と第六の実施形態とを合わせて実施する場合、リスク評価装置400が、図9のミニバッチ生成部311および特徴量抽出モデル学習部312をさらに備えるようにしてもよい。
【0189】
リスク評価装置400は、ソース画像xs
iと、特徴量抽出モデルfと、ガイド画像集合Gと、画像変換関数集合Tと、最大摂動サイズδと、評価用特徴量抽出モデルfeと、評価用撮影画像集合Xe
jとを入力データとして取得して、敵対的サンプルxadvの特徴量と、評価用撮影画像集合Xe
jに含まれる評価用撮影画像xe
jの特徴量との類似度を出力する。
リスク評価装置400は、情報処理装置の例に該当する。
リスク評価装置400は、情報処理装置の例に該当する。
【0190】
上述したように、ソース画像xs
iは、敵対的サンプルxadvの生成元となる顔画像である。敵対的サンプルxadvは、ソース画像xs
iに敵対的摂動(Adversarial Perturbation)を付加して生成される。ソース画像xs
iが属するクラスをクラスiと表記する。
【0191】
上述したように、特徴量抽出モデルfは、顔画像を入力として受け付け、入力された顔画像の特徴量を出力する。特徴量抽出モデルfが出力する特徴量は、実数を要素として持つベクトルで示される。
上述したように、ガイド画像集合Gjは、1つ以上のガイド画像xg jの集合である。ガイド画像xg j∈Gjは、ターゲットクラスに属する顔画像である。ターゲットクラスをクラスjと表記する。「Gj」の「j」は、クラスjを示す。「xg j」の「j」も、クラスjを示す。
上述したように、ガイド画像集合Gjは、1つ以上のガイド画像xg jの集合である。ガイド画像xg j∈Gjは、ターゲットクラスに属する顔画像である。ターゲットクラスをクラスjと表記する。「Gj」の「j」は、クラスjを示す。「xg j」の「j」も、クラスjを示す。
【0192】
上述したように、画像変換関数集合Tは、1つ以上の画像変換関数tの集合である。画像変換関数t∈Tは、画像を入力として受け付け、変換後の画像を出力する関数である。画像変換関数集合Tの要素に、入力された画像をそのまま出力する恒等変換関数が含まれていてもよい。
上述したように、最大摂動サイズδは、敵対的サンプル生成の際に用いられる摂動(敵対的摂動)の最大サイズである。
上述したように、最大摂動サイズδは、敵対的サンプル生成の際に用いられる摂動(敵対的摂動)の最大サイズである。
【0193】
評価用特徴量抽出モデルfeは、評価に用いられる特徴量抽出モデルである。特徴量抽出モデルfと同様、評価用特徴量抽出モデルfeは、顔画像を入力として受け付け、入力された顔画像の特徴量を出力する。評価用特徴量抽出モデルfeが出力する特徴量は、実数を要素として持つベクトルで示される。
【0194】
評価用撮影画像集合Xe
jは、1つ以上の評価用撮影画像xe
jの集合である。評価用撮影画像xe
jは、評価用の顔画像データ集合である。
評価用撮影画像xe jは、典型的にはターゲットクラスであるクラスjに属する。「xe j」の「j」は、ターゲットクラスを示す。
評価用撮影画像xe jは、典型的にはターゲットクラスであるクラスjに属する。「xe j」の「j」は、ターゲットクラスを示す。
【0195】
ただし、評価用撮影画像が、ターゲットクラス以外のクラスに属していてもよい。ここで、敵対的サンプルxadvは、典型的にはターゲットクラスへの誤分類を誘引するが、ターゲットクラス以外のクラスへの誤分類を誘引する可能性もある。評価用撮影画像集合が、ターゲットクラス以外のクラスに属する評価用撮影画像を含むことで、リスク評価装置400は、ターゲットクラス以外のクラスへの誤分類のリスクを評価し得る。
ターゲットクラス以外のクラスに属する場合も含めて、評価用撮影画像を「xe *」と表記する。ターゲットクラス以外のクラスに属する評価用撮影画像を含む場合も含めて、評価用撮影画像集合を「Xe *」と表記する。
ターゲットクラス以外のクラスに属する場合も含めて、評価用撮影画像を「xe *」と表記する。ターゲットクラス以外のクラスに属する評価用撮影画像を含む場合も含めて、評価用撮影画像集合を「Xe *」と表記する。
【0196】
リスク評価部411は、敵対的サンプル生成部111が生成する敵対的サンプルxadvの特徴量と、評価用撮影画像xe
*の特徴量との類似度rを、評価用特徴量抽出モデルfeを用いて計算する。
リスク評価部411は、例えば式(10)に基づいて類似度rを計算する。
リスク評価部411は、例えば式(10)に基づいて類似度rを計算する。
【0197】
【数10】
【0198】
上述したように、類似度計算関数SIMとして、コサイン類似度cos(fe(xadv),fe(xe
*))など、数値が高いほど二つの特徴量の類似度が高いことを表す関数を用いることができる。
評価用撮影画像集合Xe *が複数の評価用撮影画像xe *を含む場合、リスク評価部411が、評価用撮影画像集合Xe *に含まれる評価用撮影画像xe *ごとに類似度rを計算するようにしてもよい。
評価用撮影画像集合Xe *が複数の評価用撮影画像xe *を含む場合、リスク評価部411が、評価用撮影画像集合Xe *に含まれる評価用撮影画像xe *ごとに類似度rを計算するようにしてもよい。
【0199】
(動作の説明)
図12は、リスク評価装置400が類似度rを計算する処理手順の例を示すフローチャートである。
図12の処理で、敵対的サンプル生成部111は、ソース画像xs iと、特徴量抽出モデルfと、ガイド画像集合Gjと、画像変換関数集合Tと、最大摂動サイズδと、評価用特徴量抽出モデルfeと、評価用撮影画像集合Xe jとを、リスク評価装置400の外部からの入力データとして取得する(ステップS401)。
図12は、リスク評価装置400が類似度rを計算する処理手順の例を示すフローチャートである。
図12の処理で、敵対的サンプル生成部111は、ソース画像xs iと、特徴量抽出モデルfと、ガイド画像集合Gjと、画像変換関数集合Tと、最大摂動サイズδと、評価用特徴量抽出モデルfeと、評価用撮影画像集合Xe jとを、リスク評価装置400の外部からの入力データとして取得する(ステップS401)。
【0200】
次に、リスク評価装置400は、敵対的サンプルxadvを生成する(ステップS402)。リスク評価装置400は、入力データに含まれるソース画像xs
i、特徴量抽出モデルf、ガイド画像集合Gj、画像変換関数集合Tおよび最大摂動サイズδを用いて、敵対的サンプルxadvを生成する。
ステップS402で、リスク評価装置400は、図2のステップS102およびそれ以降の処理を行って敵対的サンプルxadvを生成する。
評価用撮影画像集合Xe *が複数の評価用撮影画像xe *を含む場合、リスク評価装置400は、評価用撮影画像集合Xe *に含まれる評価用撮影画像xe *ごとに、敵対的サンプルxadvを生成する
ステップS402で、リスク評価装置400は、図2のステップS102およびそれ以降の処理を行って敵対的サンプルxadvを生成する。
評価用撮影画像集合Xe *が複数の評価用撮影画像xe *を含む場合、リスク評価装置400は、評価用撮影画像集合Xe *に含まれる評価用撮影画像xe *ごとに、敵対的サンプルxadvを生成する
【0201】
次に、リスク評価部411は、ステップS402で得られた敵対的サンプルxadvと、評価用特徴量抽出モデルfeと、評価用撮影画像xe
*とを用いて類似度rを計算する(ステップS403)。
ステップS402でリスク評価装置400が複数の敵対的サンプルxadvを生成した場合、リスク評価部411は、敵対的サンプルxadvのそれぞれについて類似度rを計算する。
ステップS403の後、リスク評価装置400は、図12の処理を終了する。
ステップS402でリスク評価装置400が複数の敵対的サンプルxadvを生成した場合、リスク評価部411は、敵対的サンプルxadvのそれぞれについて類似度rを計算する。
ステップS403の後、リスク評価装置400は、図12の処理を終了する。
【0202】
以上のように、リスク評価部411は、敵対的サンプル生成部111が生成した敵対的サンプルxadvの特徴量と、ターゲットクラスの顔画像の特徴量との類似度rを、敵対的サンプルxadvによる誤認識のリスクの評価値として計算する。
これにより、リスク評価装置400は、敵対的サンプルxadvによる誤認識のリスクの評価値をユーザに提示できる。
これにより、リスク評価装置400は、敵対的サンプルxadvによる誤認識のリスクの評価値をユーザに提示できる。
【0203】
あるいは、類似度rを、評価用特徴量抽出モデルfeを用いる場合の誤認識のリスクの評価値として用いるようにしてもよい。この場合、リスク評価装置400は、評価用特徴量抽出モデルfeを用いる場合の誤認識のリスクの評価値をユーザに提示できる。
【0204】
<第七の実施形態>
図13は、第七の実施形態に係る情報処理装置の構成例を示すブロック図である。図13に示す構成で、情報処理装置610は、ガイドデータ取得部611と、敵対的サンプル生成部612とを備える。
かかる構成で、ガイドデータ取得部611は、1つのターゲットクラスに分類される複数のガイドデータを取得する。敵対的サンプル生成部612は、複数のガイドデータを用いて1つの敵対的サンプルを生成する。
図13は、第七の実施形態に係る情報処理装置の構成例を示すブロック図である。図13に示す構成で、情報処理装置610は、ガイドデータ取得部611と、敵対的サンプル生成部612とを備える。
かかる構成で、ガイドデータ取得部611は、1つのターゲットクラスに分類される複数のガイドデータを取得する。敵対的サンプル生成部612は、複数のガイドデータを用いて1つの敵対的サンプルを生成する。
【0205】
これにより、敵対的サンプル生成部612は、複数のガイド画像それぞれの特徴量に類似する特徴量を有する敵対的サンプルを生成することができる。この点で、敵対的サンプル生成部612は、クラス分類対象から得られる多様なデータと特徴量の類似度が高い敵対的サンプルを生成することができる。
【0206】
このように、情報処理装置610によれば、機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定され得る敵対的サンプルを得られる。
例えば、この敵対的サンプルを教師データとして用いて、この敵対的サンプルに騙されにくいモデルを学習するなどの対策を行い得る。
例えば、この敵対的サンプルを教師データとして用いて、この敵対的サンプルに騙されにくいモデルを学習するなどの対策を行い得る。
【0207】
【0208】
かかる構成で、敵対的サンプル生成部621は、敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、敵対的サンプル候補の特徴量とガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成する。
【0209】
敵対的サンプル生成部621は、ノルムを示す項により、特定の1つのガイド画像だけでなく複数のガイド画像それぞれの特徴量に類似する特徴量を有する敵対的サンプルを生成することができる。この点で、敵対的サンプル生成部621は、クラス分類対象から得られる多様なデータと特徴量の類似度が高い敵対的サンプルを生成することができる。
【0210】
このように、情報処理装置620によれば、機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定され得る敵対的サンプルを得られる。
例えば、この敵対的サンプルを教師データとして用いて、この敵対的サンプルに騙されにくいモデルを学習するなどの対策を行い得る。
例えば、この敵対的サンプルを教師データとして用いて、この敵対的サンプルに騙されにくいモデルを学習するなどの対策を行い得る。
【0211】
<第九の実施形態>
図15は、第九の実施形態に係る情報処理方法における処理の手順の例を示す図である。図15に示す情報処理方法は、ガイドデータを取得する工程(ステップS611)と、敵対的サンプルを生成する工程(ステップS612)とを含む。
ガイドデータを取得する工程(ステップS611)では、1つのターゲットクラスに分類される複数のガイドデータを取得する。敵対的サンプルを生成する工程(ステップS612)では、複数のガイドデータを用いて1つの敵対的サンプルを生成する。
図15は、第九の実施形態に係る情報処理方法における処理の手順の例を示す図である。図15に示す情報処理方法は、ガイドデータを取得する工程(ステップS611)と、敵対的サンプルを生成する工程(ステップS612)とを含む。
ガイドデータを取得する工程(ステップS611)では、1つのターゲットクラスに分類される複数のガイドデータを取得する。敵対的サンプルを生成する工程(ステップS612)では、複数のガイドデータを用いて1つの敵対的サンプルを生成する。
【0212】
図15に示される情報処理方法によれば、複数のガイドデータそれぞれの特徴量に類似する特徴量を有する敵対的サンプルを生成することができる。図15に示される情報処理方法によれば、この点で、クラス分類対象から得られる多様なデータと特徴量の類似度が高い敵対的サンプルを生成することができる。
【0213】
このように、図15に示される情報処理方法によれば、機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定され得る敵対的サンプルを得られる。
例えば、この敵対的サンプルを教師データとして用いて、この敵対的サンプルに騙されにくいモデルを学習するなどの対策を行い得る。
例えば、この敵対的サンプルを教師データとして用いて、この敵対的サンプルに騙されにくいモデルを学習するなどの対策を行い得る。
【0214】
<第十の実施形態>
図16は、第十の実施形態に係る情報処理方法における処理の手順の例を示す図である。図16に示す情報処理方法は、敵対的サンプルを生成する工程(ステップS621)を含む。
敵対的サンプルを生成する工程(ステップS621)では、敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、敵対的サンプル候補の特徴量とガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成する。
図16は、第十の実施形態に係る情報処理方法における処理の手順の例を示す図である。図16に示す情報処理方法は、敵対的サンプルを生成する工程(ステップS621)を含む。
敵対的サンプルを生成する工程(ステップS621)では、敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、敵対的サンプル候補の特徴量とガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成する。
【0215】
図16に示される情報処理方法によれば、ノルムを示す項により、特定の1つのガイドデータだけでなく複数のガイドデータそれぞれの特徴量に類似する特徴量を有する敵対的サンプルを生成することができる。図16に示される情報処理方法によれば、この点で、クラス分類対象から得られる多様なデータと特徴量の類似度が高い敵対的サンプルを生成することができる。
【0216】
このように、図16に示される情報処理方法によれば、機械学習によって得られるモデルの判定で、ターゲットクラスの複数のデータに類似すると判定され得る敵対的サンプルを得られる。
例えば、この敵対的サンプルを教師データとして用いて、この敵対的サンプルに騙されにくいモデルを学習するなどの対策を行い得る。
例えば、この敵対的サンプルを教師データとして用いて、この敵対的サンプルに騙されにくいモデルを学習するなどの対策を行い得る。
【0217】
図17は、少なくとも1つの実施形態に係るコンピュータの構成を示す概略ブロック図である。
図17に示す構成で、コンピュータ700は、CPU710と、主記憶装置720と、補助記憶装置730と、インタフェース740とを備える。
上記の敵対的サンプル生成装置110、敵対的サンプル生成装置120、敵対的サンプル生成装置130、検知モデル学習装置200、特徴量抽出モデル学習装置300、リスク評価装置400、情報処理装置610、および、情報処理装置620のうち何れか1つ以上が、コンピュータ700に実装されてもよい。その場合、上述した各処理部の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。また、CPU710は、プログラムに従って、処理に用いられる記憶領域を主記憶装置720に確保する。各装置と他の装置との通信は、インタフェース740が通信機能を有し、CPU710の制御に従って通信を行うことで実行される。
図17に示す構成で、コンピュータ700は、CPU710と、主記憶装置720と、補助記憶装置730と、インタフェース740とを備える。
上記の敵対的サンプル生成装置110、敵対的サンプル生成装置120、敵対的サンプル生成装置130、検知モデル学習装置200、特徴量抽出モデル学習装置300、リスク評価装置400、情報処理装置610、および、情報処理装置620のうち何れか1つ以上が、コンピュータ700に実装されてもよい。その場合、上述した各処理部の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。また、CPU710は、プログラムに従って、処理に用いられる記憶領域を主記憶装置720に確保する。各装置と他の装置との通信は、インタフェース740が通信機能を有し、CPU710の制御に従って通信を行うことで実行される。
【0218】
敵対的サンプル生成装置110がコンピュータ700に実装される場合、敵対的サンプル生成部111、ガイド画像取得部112、特徴量計算部113、および、類似度計算部114の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。
また、CPU710は、プログラムに従って、敵対的サンプル生成装置110が用いる記憶領域を主記憶装置720に確保する。
また、CPU710は、プログラムに従って、敵対的サンプル生成装置110が用いる記憶領域を主記憶装置720に確保する。
【0219】
敵対的サンプル生成装置110が行う通信は、インタフェース740が通信装置を備え、CPU710の制御に従って通信を行うことで実行される。敵対的サンプル生成装置110が行う画像の表示は、インタフェース740が表示装置を備え、CPU710の制御に従って画像を表示することで実行される。敵対的サンプル生成装置110へのユーザ操作の受付は、インタフェース740が入力デバイスを備えてユーザ操作を受け付けることで実行される。
【0220】
敵対的サンプル生成装置120がコンピュータ700に実装される場合、敵対的サンプル生成部121、特徴量計算部113、制約項計算部122、および、類似度計算部114の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。
また、CPU710は、プログラムに従って、敵対的サンプル生成装置120が用いる記憶領域を主記憶装置720に確保する。
また、CPU710は、プログラムに従って、敵対的サンプル生成装置120が用いる記憶領域を主記憶装置720に確保する。
【0221】
敵対的サンプル生成装置120が行う通信は、インタフェース740が通信装置を備え、CPU710の制御に従って通信を行うことで実行される。敵対的サンプル生成装置120が行う画像の表示は、インタフェース740が表示装置を備え、CPU710の制御に従って画像を表示することで実行される。敵対的サンプル生成装置120へのユーザ操作の受付は、インタフェース740が入力デバイスを備えてユーザ操作を受け付けることで実行される。
【0222】
敵対的サンプル生成装置130がコンピュータ700に実装される場合、敵対的サンプル生成部131、ガイド画像取得部112、特徴量計算部113、制約項計算部122、および、類似度計算部114の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。
また、CPU710は、プログラムに従って、敵対的サンプル生成装置130が用いる記憶領域を主記憶装置720に確保する。
また、CPU710は、プログラムに従って、敵対的サンプル生成装置130が用いる記憶領域を主記憶装置720に確保する。
【0223】
敵対的サンプル生成装置130が行う通信は、インタフェース740が通信装置を備え、CPU710の制御に従って通信を行うことで実行される。敵対的サンプル生成装置130が行う画像の表示は、インタフェース740が表示装置を備え、CPU710の制御に従って画像を表示することで実行される。敵対的サンプル生成装置130へのユーザ操作の受付は、インタフェース740が入力デバイスを備えてユーザ操作を受け付けることで実行される。
【0224】
検知モデル学習装置200がコンピュータ700に実装される場合、敵対的サンプル生成部111、ガイド画像取得部112、特徴量計算部113、類似度計算部114、訓練データ集合生成部211、および、検知モデル学習部212の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。
また、CPU710は、プログラムに従って、検知モデル学習装置200が用いる記憶領域を主記憶装置720に確保する。
また、CPU710は、プログラムに従って、検知モデル学習装置200が用いる記憶領域を主記憶装置720に確保する。
【0225】
検知モデル学習装置200が行う通信は、インタフェース740が通信装置を備え、CPU710の制御に従って通信を行うことで実行される。検知モデル学習装置200が行う画像の表示は、インタフェース740が表示装置を備え、CPU710の制御に従って画像を表示することで実行される。検知モデル学習装置200へのユーザ操作の受付は、インタフェース740が入力デバイスを備えてユーザ操作を受け付けることで実行される。
【0226】
特徴量抽出モデル学習装置300がコンピュータ700に実装される場合、敵対的サンプル生成部111、ガイド画像取得部112、特徴量計算部113、類似度計算部114、ミニバッチ生成部311、および、特徴量抽出モデル学習部312の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。
また、CPU710は、プログラムに従って、特徴量抽出モデル学習装置300が用いる記憶領域を主記憶装置720に確保する。
また、CPU710は、プログラムに従って、特徴量抽出モデル学習装置300が用いる記憶領域を主記憶装置720に確保する。
【0227】
特徴量抽出モデル学習装置300が行う通信は、インタフェース740が通信装置を備え、CPU710の制御に従って通信を行うことで実行される。特徴量抽出モデル学習装置300が行う画像の表示は、インタフェース740が表示装置を備え、CPU710の制御に従って画像を表示することで実行される。特徴量抽出モデル学習装置300へのユーザ操作の受付は、インタフェース740が入力デバイスを備えてユーザ操作を受け付けることで実行される。
【0228】
リスク評価装置400がコンピュータ700に実装される場合、敵対的サンプル生成部111、ガイド画像取得部112、特徴量計算部113、類似度計算部114、および、リスク評価部411の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。
また、CPU710は、プログラムに従って、リスク評価装置400が用いる記憶領域を主記憶装置720に確保する。
また、CPU710は、プログラムに従って、リスク評価装置400が用いる記憶領域を主記憶装置720に確保する。
【0229】
リスク評価装置400が行う通信は、インタフェース740が通信装置を備え、CPU710の制御に従って通信を行うことで実行される。リスク評価装置400が行う画像の表示は、インタフェース740が表示装置を備え、CPU710の制御に従って画像を表示することで実行される。リスク評価装置400へのユーザ操作の受付は、インタフェース740が入力デバイスを備えてユーザ操作を受け付けることで実行される。
【0230】
情報処理装置610がコンピュータ700に実装される場合、ガイドデータ取得部611、および、敵対的サンプル生成部612の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。
また、CPU710は、プログラムに従って、情報処理装置610が用いる記憶領域を主記憶装置720に確保する。
また、CPU710は、プログラムに従って、情報処理装置610が用いる記憶領域を主記憶装置720に確保する。
【0231】
情報処理装置610が行う通信は、インタフェース740が通信装置を備え、CPU710の制御に従って通信を行うことで実行される。情報処理装置610が行う画像の表示は、インタフェース740が表示装置を備え、CPU710の制御に従って画像を表示することで実行される。情報処理装置610へのユーザ操作の受付は、インタフェース740が入力デバイスを備えてユーザ操作を受け付けることで実行される。
【0232】
情報処理装置620がコンピュータ700に実装される場合、敵対的サンプル生成部621の動作は、プログラムの形式で補助記憶装置730に記憶されている。CPU710は、プログラムを補助記憶装置730から読み出して主記憶装置720に展開し、当該プログラムに従って上記処理を実行する。
また、CPU710は、プログラムに従って、情報処理装置620が用いる記憶領域を主記憶装置720に確保する。
また、CPU710は、プログラムに従って、情報処理装置620が用いる記憶領域を主記憶装置720に確保する。
【0233】
情報処理装置620が行う通信は、インタフェース740が通信装置を備え、CPU710の制御に従って通信を行うことで実行される。情報処理装置620が行う画像の表示は、インタフェース740が表示装置を備え、CPU710の制御に従って画像を表示することで実行される。情報処理装置620へのユーザ操作の受付は、インタフェース740が入力デバイスを備えてユーザ操作を受け付けることで実行される。
【0234】
なお、敵対的サンプル生成装置110、敵対的サンプル生成装置120、敵対的サンプル生成装置130、検知モデル学習装置200、特徴量抽出モデル学習装置300、リスク評価装置400、情報処理装置610、および、情報処理装置620が行う処理の全部または一部を実行するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより各部の処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、CD-ROM(Compact Disc Read Only Memory)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、CD-ROM(Compact Disc Read Only Memory)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
【0235】
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
また、上記の実施形態の一部又は全部は、以下の付記のようにも記述され得るが、以下に限定されるものではない。
また、上記の実施形態の一部又は全部は、以下の付記のようにも記述され得るが、以下に限定されるものではない。
【0236】
(付記1)
1つのターゲットクラスに分類される複数のガイドデータを取得するガイドデータ取得部と、
前記複数のガイドデータを用いて1つの敵対的サンプルを生成する敵対的サンプル生成部と、
を備える情報処理装置。
1つのターゲットクラスに分類される複数のガイドデータを取得するガイドデータ取得部と、
前記複数のガイドデータを用いて1つの敵対的サンプルを生成する敵対的サンプル生成部と、
を備える情報処理装置。
【0237】
(付記2)
前記ガイドデータ取得部は、前記ターゲットクラスに分類される複数の実データを前記複数のガイドデータとして取得する、
付記1に記載の情報処理装置。
前記ガイドデータ取得部は、前記ターゲットクラスに分類される複数の実データを前記複数のガイドデータとして取得する、
付記1に記載の情報処理装置。
【0238】
(付記3)
前記ガイドデータ取得部は、1つ以上の前記ガイドデータを変換することで、新たなガイドデータを生成する、
付記1または付記2に記載の情報処理装置。
前記ガイドデータ取得部は、1つ以上の前記ガイドデータを変換することで、新たなガイドデータを生成する、
付記1または付記2に記載の情報処理装置。
【0239】
(付記4)
前記敵対的サンプル生成部は、敵対的サンプル候補の特徴量と前記ガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて前記敵対的サンプルを生成する
付記1から3の何れか一つに記載の情報処理装置。
前記敵対的サンプル生成部は、敵対的サンプル候補の特徴量と前記ガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて前記敵対的サンプルを生成する
付記1から3の何れか一つに記載の情報処理装置。
【0240】
(付記5)
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、敵対的サンプルを検知する検知モデルの学習を行う検知モデル学習部
をさらに備える、付記1から4の何れか一つに記載の情報処理装置。
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、敵対的サンプルを検知する検知モデルの学習を行う検知モデル学習部
をさらに備える、付記1から4の何れか一つに記載の情報処理装置。
【0241】
(付記6)
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、データのクラス分類用の特徴量抽出モデルの学習を行う特徴量抽出モデル学習部
をさらに備える、付記1から5の何れか一つに記載の情報処理装置。
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、データのクラス分類用の特徴量抽出モデルの学習を行う特徴量抽出モデル学習部
をさらに備える、付記1から5の何れか一つに記載の情報処理装置。
【0242】
(付記7)
前記敵対的サンプル生成部が生成した敵対的サンプルの特徴量と、前記ターゲットクラスのデータの特徴量との類似度を、前記敵対的サンプルによる誤認識のリスクの評価値として計算するリスク評価部
をさらに備える、付記1から6の何れか一つに記載の情報処理装置。
前記敵対的サンプル生成部が生成した敵対的サンプルの特徴量と、前記ターゲットクラスのデータの特徴量との類似度を、前記敵対的サンプルによる誤認識のリスクの評価値として計算するリスク評価部
をさらに備える、付記1から6の何れか一つに記載の情報処理装置。
【0243】
(付記8)
敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成する敵対的サンプル生成部
を備える情報処理装置。
敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成する敵対的サンプル生成部
を備える情報処理装置。
【0244】
(付記9)
1つのターゲットクラスに分類される複数のガイドデータを取得するガイドデータ取得部をさらに備え、
前記敵対的サンプル生成部は、前記複数のガイドデータを用いて1つの敵対的サンプルを生成する、
付記8に記載の情報処理装置。
1つのターゲットクラスに分類される複数のガイドデータを取得するガイドデータ取得部をさらに備え、
前記敵対的サンプル生成部は、前記複数のガイドデータを用いて1つの敵対的サンプルを生成する、
付記8に記載の情報処理装置。
【0245】
(付記10)
前記ガイドデータ取得部は、前記ターゲットクラスに分類される複数の実データを前記複数のガイドデータとして取得する、
付記9に記載の情報処理装置。
前記ガイドデータ取得部は、前記ターゲットクラスに分類される複数の実データを前記複数のガイドデータとして取得する、
付記9に記載の情報処理装置。
【0246】
(付記11)
前記ガイドデータ取得部は、前記ターゲットクラスに分類される実データを変換することで前記ガイドデータを生成する、
付記9または付記10に記載の情報処理装置。
前記ガイドデータ取得部は、前記ターゲットクラスに分類される実データを変換することで前記ガイドデータを生成する、
付記9または付記10に記載の情報処理装置。
【0247】
(付記12)
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、敵対的サンプルを検知する検知モデルの学習を行う検知モデル学習部
をさらに備える、付記8から11の何れか一つに記載の情報処理装置。
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、敵対的サンプルを検知する検知モデルの学習を行う検知モデル学習部
をさらに備える、付記8から11の何れか一つに記載の情報処理装置。
【0248】
(付記13)
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、データのクラス分類用の特徴量抽出モデルの学習を行う特徴量抽出モデル学習部
をさらに備える、付記8から12の何れか一つに記載の情報処理装置。
前記敵対的サンプル生成部が生成した敵対的サンプルを用いて、データのクラス分類用の特徴量抽出モデルの学習を行う特徴量抽出モデル学習部
をさらに備える、付記8から12の何れか一つに記載の情報処理装置。
【0249】
(付記14)
前記敵対的サンプル生成部が生成した敵対的サンプルの特徴量と、前記ターゲットクラスのデータの特徴量との類似度を、前記敵対的サンプルによる誤認識のリスクの評価値として計算するリスク評価部
をさらに備える、付記8から15の何れか一つに記載の情報処理装置。
前記敵対的サンプル生成部が生成した敵対的サンプルの特徴量と、前記ターゲットクラスのデータの特徴量との類似度を、前記敵対的サンプルによる誤認識のリスクの評価値として計算するリスク評価部
をさらに備える、付記8から15の何れか一つに記載の情報処理装置。
【0250】
(付記15)
1つのターゲットクラスに分類される複数のガイドデータを取得することと、
前記複数のガイドデータを用いて1つの敵対的サンプルを生成することと、
を含む情報処理方法。
1つのターゲットクラスに分類される複数のガイドデータを取得することと、
前記複数のガイドデータを用いて1つの敵対的サンプルを生成することと、
を含む情報処理方法。
【0251】
(付記16)
敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成すること
を含む情報処理方法。
敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成すること
を含む情報処理方法。
【0252】
(付記17)
コンピュータに、
1つのターゲットクラスに分類される複数のガイドデータを取得することと、
前記複数のガイドデータを用いて1つの敵対的サンプルを生成することと、
を実行させるためのプログラムを記録する記録媒体。
コンピュータに、
1つのターゲットクラスに分類される複数のガイドデータを取得することと、
前記複数のガイドデータを用いて1つの敵対的サンプルを生成することと、
を実行させるためのプログラムを記録する記録媒体。
【0253】
(付記18)
コンピュータに、
敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成すること
を実行させるためのプログラムを記録する記録媒体。
コンピュータに、
敵対的サンプル候補の特徴量と、ターゲットクラスに分類されるガイドデータの特徴量との類似度を示す項と、前記敵対的サンプル候補の特徴量と前記ガイドデータの特徴量とのノルムを示す項とを含む目的関数を用いて敵対的サンプルを生成すること
を実行させるためのプログラムを記録する記録媒体。
【産業上の利用可能性】
【0254】
本発明の実施形態は、情報処理装置、情報処理方法および記録媒体に適用してもよい。
【符号の説明】
【0255】
110、120、130 敵対的サンプル生成装置
111、121、131、612、621 敵対的サンプル生成部
112 ガイド画像取得部
113 特徴量計算部
114 類似度計算部
122 制約項計算部
200 検知モデル学習装置
211 訓練データ集合生成部
212 検知モデル学習部
300 特徴量抽出モデル学習装置
311 ミニバッチ生成部
312 特徴量抽出モデル学習部
400 リスク評価装置
411 リスク評価部
610、620 情報処理装置
611 ガイドデータ取得部
111、121、131、612、621 敵対的サンプル生成部
112 ガイド画像取得部
113 特徴量計算部
114 類似度計算部
122 制約項計算部
200 検知モデル学習装置
211 訓練データ集合生成部
212 検知モデル学習部
300 特徴量抽出モデル学習装置
311 ミニバッチ生成部
312 特徴量抽出モデル学習部
400 リスク評価装置
411 リスク評価部
610、620 情報処理装置
611 ガイドデータ取得部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】