知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-30
(45)【発行日】2024-10-08
(54)【発明の名称】学習装置、推論装置、学習方法、及びプログラム
(51)【国際特許分類】
G06N 20/00 20190101AFI20241001BHJP
G06F 21/62 20130101ALI20241001BHJP
【FI】
G06N20/00 130
G06F21/62 345
【請求項の数】
10
(21)【出願番号】P 2023520695
(86)(22)【出願日】2021-05-13
(86)【国際出願番号】 JP2021018265
(87)【国際公開番号】W WO2022239200
(87)【国際公開日】2022-11-17
【審査請求日】2023-11-08
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】森 隼基
(72)【発明者】
【氏名】寺西 勇
(72)【発明者】
【氏名】土田 光
(72)【発明者】
【氏名】エンケタイワン バトニヤマ
(72)【発明者】
【氏名】伊東 邦大
【審査官】千葉 久博
(56)【参考文献】
【文献】米国特許出願公開第2020/0311540(US,A1)
【文献】中国特許出願公開第111931216(CN,A)
【文献】高江洲 勲,機械学習モデルの学習データを推論する方法,三井物産セキュアディレクション [online],2020年06月18日,[検索日 2021.07.02], インターネット:<URL:https://www.mbsd.jp/blog/20200618.html>
【文献】NASR, MILAD et al.,Machine learning with membership privacy using adversarial regularization,Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security [online],2018年10月,pp.634-646,[検索日 2021.07.02], インターネット:<URL:https://dl.acm.org/doi/abs/10.1145/3243734.3243855>,<DOI: 10.1145/3243734.3243855>, ISBN: 978-1-4503-5693-0/18/10
(58)【調査した分野】(Int.Cl.,DB名)
G06N 20/00
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成するデータ分割部と、前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成する推論器生成部と、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成する学習データ生成部と、
前記第2学習データを用いた機械学習により推論器を生成する学習部と、を備えた学習装置。
【請求項2】
前記学習部が前記第1学習データを用いた機械学習により前記推論器を生成する請求項1に記載の学習装置。
【請求項3】
前記第1学習データでは、入力データと正解ラベルとが対応付けられており、前記学習部の機械学習において、前記第2学習データに対する前記第1学習データの割合が設定されている請求項2に記載の学習装置。
【請求項4】
前記第2学習データに対する前記第1学習データの割合を示すパラメータをαとし、前記第1学習データでの機械学習での損失関数をL1とし、
前記第2学習データでの機械学習での損失関数をL0とした場合、
前記学習部がパラメータα、損失関数L1、及び損失関数L0に基づいて前記推論器を生成している請求項3に記載の学習装置。
【請求項5】
前記学習部が、以下の式(3)に基づいて、損失関数Lαを算出し、
Lα=(1-α)L0+αL1 ・・・(3)
前記損失関数Lαに基づいて、前記推論器を算出している請求項4に記載の学習装置。
【請求項6】
請求項1~5のいずれか1項に記載の学習装置で生成された推論器を有する推論装置。
【請求項7】
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成し、前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成し、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成し、
前記第2学習データを用いた機械学習により推論器を生成する、学習方法。
【請求項8】
前記第1学習データを用いた機械学習により前記推論器を生成する請求項7に記載の学習方法。
【請求項9】
コンピュータに対して学習方法を実行させるためのプログラムであって、前記学習方法は、
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成し、
前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成し、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成し、
前記第2学習データを用いた機械学習により推論器を生成する、プログラム。
【請求項10】
前記学習方法では、前記第1学習データを用いた機械学習により前記推論器を生成する請求項9に記載のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、機械学習に関する。
【背景技術】
【0002】
非特許文献1、2には、機械学習の学習済みパラメータから学習に用いた秘密情報(例:顧客情報、企業秘密など)を漏洩させるMembership Inference攻撃(MI攻撃)が知られている。例えば、非特許文献1には、推論アルゴリズムへのアクセスが可能であるとの条件下で、MI攻撃の方法が開示されている。MI攻撃は、機械学習の「過学習」という現象を利用して実行する。過学習とは学習に用いたデータに対して機械学習が過剰に適合してしまう現象の事である。過学習が原因となり推論アルゴリズムの入力に学習に用いたデータを入力した場合とそうでないデータを入力した場合の出力の傾向が異なってしまう。MI攻撃の攻撃者はこの傾向の違いを悪用する事で、手元にあるデータが学習に用いられたものなのかそうでないのかを判別する。
【0003】
非特許文献4には、MemGuardという方法が開示されている。この方法では、攻撃対象の推論アルゴリズムの学習済みパラメータが知られていないとの条件下でのブラックボックス攻撃に対する対策として、攻撃者の分類器を誤解させる処理を行う。
【0004】
非特許文献5は、MI攻撃に耐性のある学習アルゴリズムを開示している。具体的には、非特許文献5では、任意の既知の機械学習の推論アルゴリズムfと、fに入力されたデータがfの学習に用いられたデータか否かを識別する識別器hを用いている。そして、それぞれのパラメータを敵対的に学習させ、推論アルゴリズムfの推論精度と、MI攻撃に対する耐性を引き上げている。
【先行技術文献】
【非特許文献】
【0005】
【文献】Reza Shokri, Marco Stronati, Congzheng Song, Vitaly Shmatikov: “Membership Inference Attacks Against Machine Learning Models ” 、IEEE Symposium on Security and Privacy 2017: 3-18、[online]、[令和3年4月19日検索]、インターネット〈URL:https://arxiv.org/pdf/1610.05820.pdf〉
【文献】Ahmed Salem, Yang Zhang, Mathias Humbert, Pascal Berrang, Mario Fritz, Michael Backes: “ML-Leaks: Model and Data Independent Membership Inference Attacks and Defenses onMachine Learning Models”、 Network and Distributed System Security Symposium 2019、[online]、[令和3年4月19日検索]、インターネット〈URL:https://arxiv.org/abs/1806.01246〉
【文献】L. Song and P. Mittal. “Systematic Evaluation of Privacy Risks of Machine Learning Models”、 USENIX Security Symposium 2021、[online]、[令和3年4月19日検索]、インターネット〈URL:https://arxiv.org/abs/2003.10595〉
【文献】Jinyuan Jia, Ahmed Salem, Michael Backes, Yang Zhang, Neil Zhenqiang Gong、“MemGuard:Defending against Black-Box Membership Inference Attacks via Adversarial Examples”、ACM SIGSAC Conference on Computer and Communications Security 2019: 259-274、[online]、[令和3年4月19日検索]、インターネット〈URL:https://arxiv.org/pdf/1909.10594.pdf〉
【文献】Milad Nasr, Reza Shokri, Amir Houmansadr、“Machine Learning with Membership Privacy using Adversarial Regularization”、ACM SIGSAC Conference on Computer and Communications Security 2018: 634-646、[online]、[令和3年4月19日検索]、インターネット〈URL:https://arxiv.org/pdf/1807.05852.pdf〉
【発明の概要】
【発明が解決しようとする課題】
【0006】
機械学習では、学習に用いられるデータ(訓練データともいう)が顧客情報や企業秘密などの秘密情報を含んでいる場合がある。MI攻撃により、機械学習の学習済みパラメータから学習に用いた秘密情報が漏洩してしまうおそれがある。例えば、学習済みパラメータを不正に入手した攻撃者が、学習データを推測してしまうおそれがある。あるいは、学習済みパラメータが漏洩していない場合でも、攻撃者が推論アルゴリズムに何度もアクセスすることで、学習済みパラメータが予想できてしまう。そして、予想された学習済みパラメータから学習データが予測されてしまうことがある。
【0007】
また、非特許文献4の方式は、推論結果にノイズを載せることで防御している。このため、防御性能に関係なく、推論結果にノイズの影響が及んでしまうという問題点がある。
【0008】
非特許文献5では、精度と攻撃耐性がトレードオフとなっている。具体的には、精度と攻撃耐性のトレードオフ度合いを決めるパラメータが設定されている。したがって、精度と攻撃耐性の両方を向上することが困難であるという問題点がある。
【0009】
本開示の目的は、MI攻撃に対する耐性が高く、かつ精度の高い推論装置、学習装置、学習方法、及び記録媒体を提供することである。
【課題を解決するための手段】
【0010】
本開示にかかる学習装置は、第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成するデータ分割部と、前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成する推論器生成部と、前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成する学習データ生成部と、前記第2学習データを用いた機械学習により推論器を生成する学習部と、を備えている。
【0011】
本開示にかかる学習方法は、第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成し、前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成し、前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成し、前記第2学習データを用いた機械学習により推論器を生成する。
【0012】
本開示にかかるコンピュータ可読媒体は、コンピュータに対して学習方法を実行させるためのプログラムが格納されたコンピュータ可読媒体であって、前記学習方法は、第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成し、前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成し、前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成し、前記第2学習データを用いた機械学習により推論器を生成する。
【発明の効果】
【0013】
本開示によれば、MI攻撃に対する耐性が高く、かつ精度の高い学習装置、推論装置、学習方法、及びコンピュータ可読媒体を提供できる。
【図面の簡単な説明】
【0014】
【図1】学習装置を備えた機械学習システムの構成を示すブロック図である。
【図2】学習装置の動作を示すフローチャートである。
【図3】推論器Hの学習部の動作を示すフローチャートである。
【図4】その他の実施形態にかかる学習装置の動作を示すブロック図である。
【図5】本実施の形態にかかる装置のハードウェア構成を示す図である。
【発明を実施するための形態】
【0015】
実施の形態1
本実施の形態にかかる機械学習(訓練)について、図1を用い説明する。図1は、学習装置100を備えた機械学習システムの構成を示すブロック図である。学習装置100は、データ生成部200と、学習部122とを備えている。推論器Hの機械学習には、予め学習データTが用意されている。学習データTをメンバデータとも称し、学習データT以外のデータをノンメンバデータとも称する。
本実施の形態にかかる機械学習(訓練)について、図1を用い説明する。図1は、学習装置100を備えた機械学習システムの構成を示すブロック図である。学習装置100は、データ生成部200と、学習部122とを備えている。推論器Hの機械学習には、予め学習データTが用意されている。学習データTをメンバデータとも称し、学習データT以外のデータをノンメンバデータとも称する。
【0016】
データ生成部200は、学習データTに基づいて、推論器Hの学習データを生成する。以下、予め用意された学習データTを第1学習データとも称し、データ生成部200で生成された学習データを第2学習データとも称する。学習部122がデータ生成部200で生成された第2学習データに基づいて、機械学習を行う。これにより、推論器Hが生成される。
【0017】
推論器Hは、入力データに対して推論を行う機械学習モデルである。つまり、推論器Hが入力データに基づいて推論を行った時の推論結果を出力する。例えば、推論器Hは、画像分類を行う分類器とすることができる。この場合、推論器Hが各クラスに該当する確率を示すスコアベクトルを出力する。
【0018】
学習データTは、第1学習データであり、複数のデータを含むデータ群となっている。教師有り学習を行う場合、学習データTは正解ラベル(教師データ)付きのデータ集合となる。学習データTでは、複数の入力データを備え、それぞれの入力データには正解ラベルが対応付けられている。もちろん、機械学習は教師有り学習に限られるものはない。
【0019】
データ生成部200は、推論器Hの機械学習に用いられる第2学習データ(訓練データ)を生成する。データ生成部200は、データ分割部220と、F1~Fnの学習部202-1~202-nと、学習データ記憶部250と、を備えている。
【0020】
データ分割部220は、学習データTをn(nは2以上の整数)分割する。ここで、n分割された学習データを分割データT1~Tnとする。つまり、データ分割部220は、学習データTをn分割することで、nセットの分割データT1~Tnを生成する。学習データTを1つのデータセットとすると、分割データT1~Tnのそれぞれがサブセットとなる。後述するように、分割データT1~Tnのそれぞれは推論器F1~Fnの入力データとなる。
【0021】
分割データT1~Tnに含まれるデータセットは互いに重複していないことが好ましい。例えば、分割データT1に含まれるデータは、分割データT2~Tnに含まれていないことが好ましい。また、分割データTnに含まれているデータは、分割データT1~Tn-1に含まれていないことが好ましい。
【0022】
分割データT1~Tnに含まれるデータ数は均等にすることが好ましい。つまり、データ分割部220は、学習データTを均等にn分割する。従って、分割データT1~Tnには同じ数のデータが含まれる。分割データT1~Tnに含まれるデータ数は均等に限らず、異なっていてもよい。データ分割部220は、学習データTから抽出された一部の分割データを、学習部202-1~202-nに出力する。
【0023】
データ生成部200は、分割データT1~Tnから学習データT\T1を抽出して、F1の学習部202-1に入力する。なお、学習データT\T1は、学習データTから分割データT1を除いた差集合となる。つまり、F1の学習データT\T1は、T2~Tnを含む。データ生成部200は、学習データTから分割データT1を取り除くことで、学習データT\T1を生成する。
【0024】
F1の学習部202-1は、学習データT\T1を用いて推論器F1を生成するための機械学習を行う。学習部202-1は学習データT\T1に基づいて、推論器F1を訓練する。学習部202-1における機械学習は、教師有り学習などの種々の手法を用いることができる。学習部202-1の機械学習については、公知の手法を用いることができるため、説明を省略する。学習部202-1は学習データT\T1に含まれる全てのデータを用いて機械学習を行う。機械学習では、例えば、ディープラーニングモデルにおける各層のパラメータの最適化を行う。これにより、推論器F1が生成される。
【0025】
データ生成部200は、分割データT1を推論器F1に入力する。推論器Hの学習データ記憶部250は、推論器F1の出力をHの学習データとして記憶する。つまり、推論器F1の推論結果が、推論器Hの学習データとして、メモリなどに格納される。推論器Hの学習データには、分割データT1を推論器F1に入力した時の推論器F1の推論結果が含まれる。このように、推論器F1の学習時に用いられる学習データと、推論時に用いられる入力データとが異なるデータとなっている。
【0026】
Fnの学習部202-nは、学習データT\Tnを用いて推論器Fnを生成するための機械学習を行う。学習部202-nは学習データT\Tnに基づいて、推論器Fnを訓練する。学習部202-nにおける機械学習は、教師有り学習などの種々の手法を用いることができる。学習部202-nの機械学習については、公知の手法を用いることができるため、説明を省略する。学習部202-nは学習データT\Tnに含まれる全てのデータを用いて機械学習を行う。機械学習では、例えば、ディープラーニングモデルにおける各層のパラメータの最適化を行う。これにより、推論器Fnが生成される。
【0027】
データ生成部200は、分割データTnを推論器Fnに入力する。推論器Hの学習データ記憶部250は、推論器Fnの出力をHの学習データとして記憶する。つまり、推論器Fnの推論結果が、推論器Hの学習データとして、メモリなどに格納される。推論器Hの学習データには、分割データTnを推論器Fnに入力した時の推論器Fnの推論結果が含まれる。このように、推論器Fnの学習時に用いられる学習データと、推論時に用いられる入力データとが異なるデータとなっている。
【0028】
なお、i(iは1以上n以下の任意の整数)を用いて、推論器F1~Fnにおける機械学習を一般化すると、以下のようになる。データ生成部200は、学習データTの全体集合を受け取る。データ分割部220は、学習データTをnセット(n個のサブセット)に分割して、分割データTiを生成する。データ生成部200の学習部は、学習データT\Tiを用いて、推論器Fiを機械学習する。推論器Fiの機械学習に用いられる学習データは、T1~Ti-1,Ti+1~Tnとなる。推論器Fiは、分割データTiに基づいて推論を行う。学習データ記憶部250は、推論器Fiの推論結果を、学習データとして記憶する。
【0029】
このように、推論器F1~Fnは第2学習データを生成する学習データ生成部となる。F1~Fnの学習部202-1~202-nは推論器F1~Fnを生成する学習データ生成用推論器生成部となる。なお、推論器F1~Fnは同様のレイヤ構成を有する機械学習モデルとすることができる。つまり、推論器F1~Fnはレイヤ、ノード、エッジ等の数が同じとなっている。そして、学習部202-1~202-nは、それぞれ異なる学習データを用いて推論器F1~Fnを生成している。つまり、推論器F1~Fnは異なる学習データを用いて生成された機械学習モデルである。推論器F1~Fnは推論器Hと同様に、画像分類などを行う機械学習モデルである。この場合、推論器F1~Fnは推論器Hと同様のスコアベクトルを出力する。
【0030】
推論器Hの学習データ記憶部250は、推論器F1、F2、・・・Fi、・・・Fn-1、Fnの推論結果を学習データとして記憶する。学習データ記憶部250は、推論器F1~Fnへの入力データとその推論結果を対応付けて記憶してもよい。推論器Hの学習データ記憶部250に記憶された学習データは、上記の通り、第2学習データとなる。よって、以下の説明では、推論器Hの学習データ記憶部250に記憶された学習データを単に第2学習データとも称する。第2学習データは以下の式(1)に示すデータ集合となる。
【数1】
【0031】
推論器Hの学習部122は、第2学習データを用いて推論器Hを生成するための機械学習を行う。学習部122は第2学習データに基づいて、推論器Hを訓練する。学習部122における機械学習は、教師有り学習などの種々の手法を用いることができる。学習部122の機械学習については、公知の手法を用いることができるため、説明を省略する。学習部122は第2学習データに含まれる全てのデータを用いて機械学習を行う。機械学習では、例えば、ディープラーニングモデルにおける各層のパラメータの最適化を行う。これにより、推論器Hが生成される。
【0032】
例えば、分割データTiに含まれる入力データxについての推論結果Fi(x)を正解ラベルとして、学習部122が、教師有り学習を行う。推論器Hに入力データxを入力した場合、推論器Hから出力される推論結果は以下の式(2)で示される。
【数2】
【0033】
このように、本実施の形態では、データ生成部200が、推論器F1~Fnの出力に基づいて、推論器Hの学習データを生成している。推論器Hは、推論器F1~Fnの出力を用いて生成された蒸留モデルとなる。つまり、推論器F1~Fnは、学習データTから一部の情報を取り出す。学習データ記憶部250は、推論器F1~Fnで取り出された情報を学習データとして用いて、推論器Hを学習させる。よって、推論器Hはシンプルなモデルで高い推定精度を得ることができる。
【0034】
【0035】
まず、データ生成部200が、推論器Hの学習データを生成する(S201)。ステップS201の処理について、図3を用いて詳細に説明する。図3は推論器Hの学習データを生成する処理を示すフローチャートである。
【0036】
データ分割部220が学習データTをn分割する(S501)。つまり、データ分割部220は分割データT1~Tnを生成する。学習部202-1~202-nが各分割データT1~Tnを除いた学習データでn個の推論器F1~Fnを学習させる(S502)。つまり、データ生成部200の学習部は、T\Tiを用いて、推論器Fiを機械学習する。
【0037】
データ生成部200は、n個の推論器F1~Fnの学習に使用しなかった分割データをそれぞれの推論器F1~Fnに入力する(S503)。つまり、データ生成部200は、分割データTiを推論器Fiに入力する。換言すると、推論器Fiの学習時の入力データと推論時の入力データが異なるように、推論器Fiに分割データTiが入力される。例えば、Fiの学習部202-1での機械学習で除かれた分割データTiを推論器Fiに入力する。
【0038】
推論器F1~Fnの出力を推論器Hの学習データとして、学習データ記憶部250が保存する(S504)。つまり、推論器Fiは、推論器Fiを生成する機械学習から除かれた分割データTiに基づいて推論を行う。学習データ記憶部250は、推論器Fiの推論結果を、推論器Hの学習データとして記憶する。これにより、学習データの生成が終了する。
【0039】
図2の説明に戻る。学習部122が第2学習データを用いて推論器Hを学習させる(S202)。学習部122は、学習データ記憶部250に記憶されている学習データを読み出して、推論器Hの機械学習に使用する。これにより、推論器Hが生成される。このようにして、データ生成部200が推論器Hを生成する。
【0040】
このようにすることで、MI攻撃に対する耐性が高く、精度の高い推論器Hを生成することが可能となる。つまり、入力データとして、学習データTに含まれるデータが推論器Hに入力されると、入力データを除いた機械学習で生成された推論器Fiが推論を行う。よって、推論器Hのみで十分な安全性を得ることができる。
推論器Hは、メンバデータに対する分類精度がノンメンバデータに対する分類精度まで低下する。よって、より高い安全性を得ることができる。また、学習部122は、推論器Fiで得られた推論結果を正解ラベルとして教師有り学習している。推論器Hにメンバデータを入力すると、あたかもメンバデータを除いたノンメンバデータで学習した推論器Fiの推論結果が出力される。よって、推論器H単体で十分な安全性を得ることができる。
推論器Hは、メンバデータに対する分類精度がノンメンバデータに対する分類精度まで低下する。よって、より高い安全性を得ることができる。また、学習部122は、推論器Fiで得られた推論結果を正解ラベルとして教師有り学習している。推論器Hにメンバデータを入力すると、あたかもメンバデータを除いたノンメンバデータで学習した推論器Fiの推論結果が出力される。よって、推論器H単体で十分な安全性を得ることができる。
【0041】
本実施の形態では、データ生成部200が、推論器F1~Fnの出力に基づいて、推論器Hの学習データを生成している。推論器Hは、推論器F1~Fnの出力を用いて生成された蒸留モデルとなる。つまり、推論器F1~Fnは、学習データTから一部の情報を取り出す。学習データ記憶部250は、推論器F1~Fnで取り出された情報を学習データとして用いて、推論器Hを学習させる。よって、推論器Hはシンプルなモデルで高い精度を得ることができる。
【0042】
変形例
変形例では、学習部122が、第2学習データだけでなく、第1学習データを用いている。つまり、学習部122が学習データTの少なくとも一部を用いて機械学習を行っている。学習データTでは、入力データxに対する真の正解ラベルyが対応付けられている。変形例では、学習部122が第2学習データに混ぜ合わせる真の正解ラベルyの割合を調整することができる。
変形例では、学習部122が、第2学習データだけでなく、第1学習データを用いている。つまり、学習部122が学習データTの少なくとも一部を用いて機械学習を行っている。学習データTでは、入力データxに対する真の正解ラベルyが対応付けられている。変形例では、学習部122が第2学習データに混ぜ合わせる真の正解ラベルyの割合を調整することができる。
【0043】
ここで、第2学習データは、上記の式(1)に示すデータ集合となる。上記の式(1)に示したデータ集合を使って学習させる際の損失関数をL0とする。また、第1学習データである学習データTを使って学習させる際の損失関数をL1とする。また、MI攻撃に対する安全性と精度を調整するパラメータをαとする。αは0以上1以下の実数である。
【0044】
例えば、パラメータαは、第2学習データに対する第1学習データの割合を示す。学習部122がパラメータα、損失関数L1、及び損失関数L0に基づいて推論器Hを生成する。例えば、学習部122は、以下の式(3)に示す損失関数Lαを算出する。
Lα=(1-α)L0+αL1 ・・・(3)
Lα=(1-α)L0+αL1 ・・・(3)
【0045】
学習部122は、損失関数Lαに基づいて、機械学習を行う。学習部122は損失関数Lαを小さくするように機械学習を行う。αが大きい場合、安全性は低下するが、精度が向上する。α=1の場合、損失関数L0が考慮されなくなるので、従来の学習と同じとなる。αの値を小さい場合、精度は低下するが、安全性が向上する。α=0の場合、実施の形態1の推論器Hの学習と同じとなる。よって、推論器Hの精度を高めたい場合、ユーザがαの値を大きくする。推論器Hの安全性を高めたい場合、ユーザがαの値を小さくする。このように、学習部122の機械学習にパラメータαを導入することで、安全性と精度を簡便に調整することができる。
【0046】
その他の実施形態
図4はその他の実施形態にかかる学習装置600を示すブロック図である。学習装置600は、データ分割部602と、推論器生成部603と、学習データ生成部604と、学習部605とを備える。
図4はその他の実施形態にかかる学習装置600を示すブロック図である。学習装置600は、データ分割部602と、推論器生成部603と、学習データ生成部604と、学習部605とを備える。
【0047】
データ分割部602は、第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成する。推論器生成部603は、第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成する。学習データ生成部604は、前記機械学習から除かれた1セットの分割データをn個の学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成する。学習部605は、第2学習データを用いた機械学習により推論器を生成する。これにより、MI攻撃に対する耐性が高く、かつ、精度の高い機械学習モデルを実現することができる。
【0048】
上記の実施形態において、機械学習システムのそれぞれの要素はそれぞれコンピュータプログラムで実現可能である。つまり、推論器H、学習部122、データ生成部200等はそれぞれコンピュータプログラムで実現可能である。また、推論器H、学習部122、データ生成部200等は、物理的に単一な装置となっていなくてもよく、複数のコンピュータに分散されていてもよい。
【0049】
次に、実施の形態にかかる機械学習システムのハードウェア構成について説明する。図5は、機械学習システム700のハードウェア構成の一例を示すブロック図である。図5に示すように、機械学習システム700は例えば、少なくとも一つのメモリ701、少なくとも一つのプロセッサ702,及びネットワークインタフェース703を含む。
【0050】
ネットワークインタフェース703は、有線又は無線のネットワークを介して他の装置と通信するために使用される。ネットワークインタフェース703は、例えば、ネットワークインタフェースカード(NIC)を含んでもよい。機械学習システム700は、ネットワークインタフェース703を介して、データの送受信を行う。機械学習システム700は、ネットワークインタフェースを介して、学習データTを取得してもよい。
【0051】
メモリ701は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ701は、プロセッサ702から離れて配置されたストレージを含んでもよい。この場合、プロセッサ702は、図示されていない入出力インタフェースを介してメモリ701にアクセスしてもよい。
【0052】
メモリ701は、プロセッサ702により実行される、1以上の命令を含むソフトウェア(コンピュータプログラム)などを格納するために使用される。また、機械学習システム700が学習装置100を有する場合、メモリ701は、推論器H,学習部121~123、データ生成部200等を格納していてもよい。
【0053】
プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、CD-ROM、digital versatile disc(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。
【0054】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成するデータ分割部と、
前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成する推論器生成部と、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成する学習データ生成部と、
前記第2学習データを用いた機械学習により推論器を生成する学習部と、を備えた学習装置。
(付記2)
前記学習部が前記第1学習データを用いた機械学習により前記推論器を生成する付記1に記載の学習装置。
(付記3)
前記第1学習データでは、入力データと正解ラベルとが対応付けられており、
前記学習部の機械学習において、前記第2学習データに対する前記第1学習データの割合が設定されている付記2に記載の学習装置。
(付記4)
前記第2学習データに対する前記第1学習データの割合を示すパラメータをαとし、
前記第1学習データでの機械学習での損失関数をL1とし、
前記第2学習データでの機械学習での損失関数をL0とした場合、
前記学習部がパラメータα、損失関数L1、及び損失関数L0に基づいて前記推論器を生成している付記3に記載の学習装置。
(付記5)
前記学習部が、
以下の式(3)に基づいて、損失関数Lαを算出し、
Lα=(1-α)L0+αL 1 ・・・(3)
前記損失関数Lαに基づいて、前記推論器を算出している付記4に記載の学習装置。
(付記6)
付記1~5のいずれか1項に記載の学習装置で生成された推論装置。
(付記7)
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成し、
前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成し、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成し、
前記第2学習データを用いた機械学習により推論器を生成する、学習方法。
(付記8)
前記第1学習データを用いた機械学習により前記推論器を生成する付記7に記載の学習方法。
(付記9)
前記第1学習データでは、入力データと正解ラベルとが対応付けられており、
前記学習部の機械学習において、前記第2学習データに対する前記第1学習データの割合が設定されている付記8に記載の学習方法。
(付記10)
前記第2学習データに対する前記第1学習データの割合を示すパラメータをαとし、
前記第1学習データでの機械学習での損失関数をL1とし、
前記第2学習データでの機械学習での損失関数をL0とした場合、
前記学習部がパラメータα、損失関数L1、及び損失関数L0に基づいて前記推論器を生成している付記9に記載の学習方法。
(付記11)
前記学習部が、
以下の式(3)に基づいて、損失関数Lαを算出し、
Lα=(1-α)L0+αL 1 ・・・(3)
前記損失関数Lαに基づいて、前記推論器を算出している付記10に記載の学習方法。
(付記12)
コンピュータに対して学習方法を実行させるためのプログラムが格納されたコンピュータ可読媒体であって、
前記学習方法は、
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成し、
前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成し、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成し、
前記第2学習データを用いた機械学習により推論器を生成する、コンピュータ可読媒体。
(付記13)
前記学習方法では、
前記第1学習データを用いた機械学習により前記推論器を生成する付記12に記載のコンピュータ可読媒体。
(付記14)
前記第1学習データでは、入力データと正解ラベルとが対応付けられており、
前記学習部の機械学習において、前記第2学習データに対する前記第1学習データの割合が設定されている付記13に記載のコンピュータ可読媒体。
(付記15)
前記第2学習データに対する前記第1学習データの割合を示すパラメータをαとし、
前記第1学習データでの機械学習での損失関数をL1とし、
前記第2学習データでの機械学習での損失関数をL0とした場合、
前記学習部がパラメータα、損失関数L1、及び損失関数L0に基づいて前記推論器を生成している付記14に記載のコンピュータ可読媒体。
(付記16)
前記学習部が、
以下の式(3)に基づいて、損失関数Lαを算出し、
Lα=(1-α)L0+αL 1 ・・・(3)
前記損失関数Lαに基づいて、前記推論器を算出している付記15に記載のコンピュータ可読媒体。
(付記1)
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成するデータ分割部と、
前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成する推論器生成部と、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成する学習データ生成部と、
前記第2学習データを用いた機械学習により推論器を生成する学習部と、を備えた学習装置。
(付記2)
前記学習部が前記第1学習データを用いた機械学習により前記推論器を生成する付記1に記載の学習装置。
(付記3)
前記第1学習データでは、入力データと正解ラベルとが対応付けられており、
前記学習部の機械学習において、前記第2学習データに対する前記第1学習データの割合が設定されている付記2に記載の学習装置。
(付記4)
前記第2学習データに対する前記第1学習データの割合を示すパラメータをαとし、
前記第1学習データでの機械学習での損失関数をL1とし、
前記第2学習データでの機械学習での損失関数をL0とした場合、
前記学習部がパラメータα、損失関数L1、及び損失関数L0に基づいて前記推論器を生成している付記3に記載の学習装置。
(付記5)
前記学習部が、
以下の式(3)に基づいて、損失関数Lαを算出し、
Lα=(1-α)L0+αL 1 ・・・(3)
前記損失関数Lαに基づいて、前記推論器を算出している付記4に記載の学習装置。
(付記6)
付記1~5のいずれか1項に記載の学習装置で生成された推論装置。
(付記7)
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成し、
前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成し、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成し、
前記第2学習データを用いた機械学習により推論器を生成する、学習方法。
(付記8)
前記第1学習データを用いた機械学習により前記推論器を生成する付記7に記載の学習方法。
(付記9)
前記第1学習データでは、入力データと正解ラベルとが対応付けられており、
前記学習部の機械学習において、前記第2学習データに対する前記第1学習データの割合が設定されている付記8に記載の学習方法。
(付記10)
前記第2学習データに対する前記第1学習データの割合を示すパラメータをαとし、
前記第1学習データでの機械学習での損失関数をL1とし、
前記第2学習データでの機械学習での損失関数をL0とした場合、
前記学習部がパラメータα、損失関数L1、及び損失関数L0に基づいて前記推論器を生成している付記9に記載の学習方法。
(付記11)
前記学習部が、
以下の式(3)に基づいて、損失関数Lαを算出し、
Lα=(1-α)L0+αL 1 ・・・(3)
前記損失関数Lαに基づいて、前記推論器を算出している付記10に記載の学習方法。
(付記12)
コンピュータに対して学習方法を実行させるためのプログラムが格納されたコンピュータ可読媒体であって、
前記学習方法は、
第1学習データをn(nは2以上の整数)分割することで、nセットの分割データを生成し、
前記第1学習データから1セットの分割データを除いたデータを用いた機械学習によりn個の学習データ生成用推論器を生成し、
前記機械学習から除かれた前記1セットの前記分割データをn個の前記学習データ生成用推論器にそれぞれ入力することで、第2学習データを生成し、
前記第2学習データを用いた機械学習により推論器を生成する、コンピュータ可読媒体。
(付記13)
前記学習方法では、
前記第1学習データを用いた機械学習により前記推論器を生成する付記12に記載のコンピュータ可読媒体。
(付記14)
前記第1学習データでは、入力データと正解ラベルとが対応付けられており、
前記学習部の機械学習において、前記第2学習データに対する前記第1学習データの割合が設定されている付記13に記載のコンピュータ可読媒体。
(付記15)
前記第2学習データに対する前記第1学習データの割合を示すパラメータをαとし、
前記第1学習データでの機械学習での損失関数をL1とし、
前記第2学習データでの機械学習での損失関数をL0とした場合、
前記学習部がパラメータα、損失関数L1、及び損失関数L0に基づいて前記推論器を生成している付記14に記載のコンピュータ可読媒体。
(付記16)
前記学習部が、
以下の式(3)に基づいて、損失関数Lαを算出し、
Lα=(1-α)L0+αL 1 ・・・(3)
前記損失関数Lαに基づいて、前記推論器を算出している付記15に記載のコンピュータ可読媒体。
【0055】
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【符号の説明】
【0056】
T 学習データ
T1~Tn 分割データ
121 学習部
122 学習部
123 学習部
200 データ生成部
220 データ分割部
202-1 F1の学習部
202-n Fnの学習部
250 学習データ記憶部
F1 推論器
Fn 推論器
H 推論器
T1~Tn 分割データ
121 学習部
122 学習部
123 学習部
200 データ生成部
220 データ分割部
202-1 F1の学習部
202-n Fnの学習部
250 学習データ記憶部
F1 推論器
Fn 推論器
H 推論器
【図1】
【図2】
【図3】
【図4】
【図5】