JP7564074B2 - Adversarial data detection device and adversarial data detection method - Google Patents
Adversarial data detection device and adversarial data detection method Download PDFInfo
- Publication number
- JP7564074B2 JP7564074B2 JP2021165477A JP2021165477A JP7564074B2 JP 7564074 B2 JP7564074 B2 JP 7564074B2 JP 2021165477 A JP2021165477 A JP 2021165477A JP 2021165477 A JP2021165477 A JP 2021165477A JP 7564074 B2 JP7564074 B2 JP 7564074B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- target data
- evaluation target
- evaluation
- adversarial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、敵対的データ検知装置及び敵対的データ検知方法に関する。 The present invention relates to an adversarial data detection device and an adversarial data detection method.
金融、医療、及び製造などの様々な分野でAI(Artificial Intelligence)の普及が進み、AIが機微情報を扱う場面が増加している。一方、AIに特有の脆弱性をついた攻撃が報告されている。 AI (Artificial Intelligence) is becoming more widespread in various fields such as finance, medicine, and manufacturing, and there are an increasing number of situations where AI handles sensitive information. Meanwhile, attacks that exploit vulnerabilities specific to AI have been reported.
AI特有の脆弱性をついた攻撃の一例として、人が気づかない程の微小のノイズがデータに加えられ、AIに誤判定を引き起こさせるAE(Adversarial Example)攻撃がある。以下では、微小のノイズが加えられたデータを敵対的(Adversarial)データ、敵対的データをAIへ投じることをAE攻撃とも呼ぶ。 One example of an attack that exploits vulnerabilities specific to AI is the Adversarial Example (AE) attack, in which minute noise that is unnoticeable to humans is added to data, causing the AI to make a false judgment. In what follows, data with minute noise added will be referred to as adversarial data, and throwing adversarial data at an AI will be referred to as an AE attack.
AE攻撃への対策として、敵対的データを生成するまでの過程や敵対的データの持つ特徴を捉えることでAE攻撃を検知する技術が提案されている。AE攻撃を検知する背景技術として、非特許文献1がある。非特許文献1に記載の技術は、入力データにランダムな微小ノイズを加えた際の、出力結果の変化を利用してAE攻撃を検知する。
As a countermeasure against AE attacks, technology has been proposed that detects AE attacks by capturing the process leading up to the generation of adversarial data and the characteristics of the adversarial data.
非特許文献1のAE攻撃を検知する技術は、攻撃者が敵対的データの検知手法についての情報を知っている状況下では、安全性が十分でなく、攻撃者は非特許文献1に記載の検知をすり抜ける敵対的データを意図的に生成できる。そこで、本発明の一態様は、攻撃者が敵対的データの検知手法についての情報を知っている状況下においても高精度に敵対的データを検知して、ひいては安全性を保つ。
The technology for detecting AE attacks in Non-Patent
上記課題を解決するために、本発明の一態様は以下の構成を採用する。敵対的データ検知装置は、プロセッサとメモリとを有し、前記メモリは、評価対象データと、データが入力されると評価値を出力するモデルと、を保持し、前記プロセッサは、前記評価対象データを前記モデルに入力して、前記評価対象データの評価値を算出し、前記評価対象データに異なるノイズを付加して、複数の拡張評価対象データを生成し、前記複数の拡張評価対象データに基づいて、第1の判定処理を実行し、前記第1の判定処理において、前記複数の拡張評価対象データそれぞれに対して、当該拡張評価対象データの評価値が、前記評価対象データの評価値と一致しないようになるまで、ノイズを加えて当該拡張評価対象データを更新し、更新後の拡張評価対象データそれぞれの評価値の偏りに基づいて、前記評価対象データが敵対的データであるかを判定する。 In order to solve the above problem, one aspect of the present invention employs the following configuration. The adversarial data detection device has a processor and a memory, and the memory holds evaluation target data and a model that outputs an evaluation value when data is input. The processor inputs the evaluation target data to the model, calculates an evaluation value of the evaluation target data, adds different noises to the evaluation target data to generate multiple extended evaluation target data, and executes a first judgment process based on the multiple extended evaluation target data. In the first judgment process, for each of the multiple extended evaluation target data, noise is added to the extended evaluation target data until the evaluation value of the extended evaluation target data does not match the evaluation value of the evaluation target data, and judges whether the evaluation target data is adversarial data based on the bias of the evaluation value of each of the updated extended evaluation target data.
本発明の一態様によれば、攻攻撃者が敵対的データの検知手法についての情報を知っている状況下においても高精度に敵対的データを検知することができ、ひいては安全性を保つことができる。 According to one aspect of the present invention, it is possible to detect adversarial data with high accuracy even in a situation where an attacker knows information about methods for detecting adversarial data, thereby maintaining security.
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 Issues, configurations, and advantages other than those described above will become clear from the description of the embodiments below.
以下、添付図面を参照して本発明の実施形態を説明する。本実施形態において、同一の構成には原則として同一の符号を付け、繰り返しの説明は省略する。なお、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。本実施形態は、データ送信者から受信したデータが、AE(Adversarial Example)攻撃により生成されたデータであるか否かを判定し、判定結果に応じてデータ受信者に処理結果を送信するシステムを説明する。 Below, an embodiment of the present invention will be described with reference to the attached drawings. In this embodiment, the same components are generally given the same reference numerals, and repeated description will be omitted. It should be noted that this embodiment is merely one example for realizing the present invention, and does not limit the technical scope of the present invention. This embodiment describes a system that determines whether data received from a data sender is data generated by an AE (Adversarial Example) attack, and transmits a processing result to the data receiver according to the determination result.
図1は、敵対的データ検知システムの構成例を示すブロック図である。敵対的データ検知システムは、例えば、評価対象データを保持するデータ送信端末400、評価対象データにノイズを付加するノイズ付加サーバ100、評価対象データに対する評価値を計算する評価サーバ200、評価対象データがAE攻撃を受けたデータであるかを判定する検知サーバ300、及び評価対象データに対する評価値を受信するデータ受信端末500を含む。
Figure 1 is a block diagram showing an example of the configuration of an adversarial data detection system. The adversarial data detection system includes, for example, a
データ送信端末400、ノイズ付加サーバ100、評価サーバ200、検知サーバ300、及びデータ受信端末500の詳細な構成については後述する。データ送信端末400とノイズ付加サーバ100と評価サーバ200と検知サーバ300とデータ受信端末500は、インターネット等のネットワーク600を介して相互に情報を送受信する。
Detailed configurations of the
なお、敵対的データ検知システムに含まれる装置の一部又は全部が一体化していてもよい。例えば、ノイズ付加サーバ100、評価サーバ200、及び検知サーバ300の少なくとも一部が一体化していてもよいし、データ送信端末400とデータ受信端末500とが一体化していてもよい。
In addition, some or all of the devices included in the adversarial data detection system may be integrated. For example, at least some of the
図2は、ノイズ付加サーバ100のハードウェア構成例を示すブロック図である。ノイズ付加サーバ100は、例えば、互いにバス等の内部信号線104で接続された、プロセッサ(CPU)101、補助記憶装置102、メモリ103、表示装置105、入出力インターフェース106、及び通信インターフェース107を有する計算機によって構成される。
Figure 2 is a block diagram showing an example of the hardware configuration of the
プロセッサ101は、メモリ103に格納されたプログラムを実行する。メモリ103は、不揮発性の非一時的な記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変なプログラム(たとえばBIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、プロセッサ101が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
The
補助記憶装置102は、例えば、磁気記憶装置(HDD)、フラッシュメモリ(SSD)等の大容量かつ不揮発性の非一時的な記憶装置であり、プロセッサ101が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。すなわち、プログラムは、補助記憶装置102から読み出されて、メモリ103にロードされて、プロセッサ101によって実行される。
The
入出力インターフェース106は、キーボードやマウスなどが接続され、オペレータからの入力を受けるインターフェースである。また、入出力インターフェース106は、表示装置105やプリンタなどが接続され、プログラムの実行結果をオペレータが視認可能な形式で出力するインターフェースでもある。表示装置105は、入出力インターフェース106から出力されたプログラムの実行結果を表示する。
The input/
通信インターフェース107は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインターフェース装置である。また、通信インターフェース107は、例えば、USB(Universal Serial Bus)等のシリアルインターフェースを含んでもよい。
The
プロセッサ101が実行するプログラムの一部又は全部は、計算機が読み取り可能な非一時的記憶媒体であるリムーバブルメディア(CD-ROM、フラッシュメモリなど)から、又はネットワーク600を介して接続された非一時的記憶装置を備える外部計算機から、ノイズ付加サーバ100に提供され、非一時的記憶媒体である不揮発性の補助記憶装置102に格納されてもよい。このため、ノイズ付加サーバ100は、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。これは、評価サーバ200、検知サーバ300、データ送信端末400、及びデータ受信端末500についても同様である。
A part or all of the program executed by the
ノイズ付加サーバ100は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。これは、評価サーバ200、検知サーバ300、データ送信端末400、及びデータ受信端末500についても同様である。
The
プロセッサ101は、例えば、データ拡張部111、及びノイズ付加部112を含む。例えば、プロセッサ101はメモリ103にロードされたデータ拡張プログラムに従って動作することで、データ拡張部111として機能し、メモリ103にロードされたノイズ付加プログラムに従って動作することで、ノイズ付加部112として機能する。
The
データ拡張部111は、例えば、評価対象データにノイズを付加して拡張評価対象データを生成する。ノイズ付加部112は、拡張評価対象データにノイズを付加することで拡張評価対象データを更新する。
The
図3は、評価サーバ200のハードウェア構成例を示すブロック図である。評価サーバ200は例えば、互いにバス等の内部信号線204で接続された、プロセッサ(CPU)201、補助記憶装置202、メモリ203、表示装置205、入出力インターフェース206、及び通信インターフェース207を有する計算機によって構成される。
Figure 3 is a block diagram showing an example of the hardware configuration of the
プロセッサ201、補助記憶装置202、メモリ203、内部信号線204、表示装置205、入出力インターフェース206、及び通信インターフェース207のハードウェアとしての説明は、プロセッサ101、補助記憶装置102、メモリ103、内部信号線104、表示装置105、入出力インターフェース106、及び通信インターフェース107のハードウェアとしての説明と同様であるため説明を省略する。
The hardware description of the
プロセッサ201は評価部211を含む。例えば、プロセッサ201は、メモリ203にロードされた評価プログラムに従って動作することで、評価部211として機能する。
評価部211は、評価対象データ及び拡張評価対象データに対する評価値を計算する。
The
The
図4は、検知サーバ300のハードウェア構成例を示すブロック図である。検知サーバ300は、例えば、互いにバス等の内部信号線304で接続された、プロセッサ(CPU)301、補助記憶装置302、メモリ303、表示装置305、入出力インターフェース306、及び通信インターフェース307を有する計算機によって構成される。
Figure 4 is a block diagram showing an example of the hardware configuration of the
プロセッサ301、補助記憶装置302、メモリ303、内部信号線304、表示装置305、入出力インターフェース306、及び通信インターフェース307のハードウェアとしての説明は、プロセッサ101、補助記憶装置102、メモリ103、内部信号線104、表示装置105、入出力インターフェース106、及び通信インターフェース107のハードウェアとしての説明と同様であるため説明を省略する。
The hardware description of the
プロセッサ301は第1検知部311と第2検知部312を含む。例えば、プロセッサ301は、メモリ303にロードされた第1検知プログラムに従って動作することで、第1検知部311として機能し、メモリ303にロードされた第2検知プログラムに従って動作することで、第2検知部312として機能する。
The
第1検知部311は、評価対象データが敵対的データ(AE攻撃を受けたデータであるか)であるかの最終判定を行う。第2検知部312は、評価対象データが敵対的データであるか敵対的データである可能性があるかを判定し、敵対的データである可能性があるかを判定した場合に、第1検知部311に最終判定を依頼する。なお、実施例1のプロセッサ301は第2検知部312を含まなくてもよい。
The
図5は、データ送信端末400のハードウェア構成例を示すブロック図である。データ送信端末400は例えば、互いにバス等の内部信号線404で連結された、プロセッサ(CPU)401、補助記憶装置402、メモリ403、表示装置405、入出力インターフェース406、及び通信インターフェース407を有する計算機によって構成される。
Figure 5 is a block diagram showing an example of the hardware configuration of the
プロセッサ401、補助記憶装置402、メモリ403、内部信号線404、表示装置405、入出力インターフェース406、及び通信インターフェース407のハードウェアとしての説明は、プロセッサ101、補助記憶装置102、メモリ103、内部信号線104、表示装置105、入出力インターフェース106、及び通信インターフェース107のハードウェアとしての説明と同様であるため説明を省略する。
The hardware description of the
データ送信端末400の補助記憶装置402は、評価対象データ421を保持する。なお、評価対象データ421は、データ送信端末400のメモリ403に格納されていてもよい。
The
データ受信端末500のハードウェア構成例は、図5のデータ送信端末400のハードウェア構成例と同様であるため説明を省略する。
The hardware configuration example of the
図6は、敵対的データ検知処理の一例を示すシーケンス図である。まず、データ送信端末400は、評価対象データをノイズ付加サーバ100へ送信する(S601)。画像データは、評価対象データの一例である。
Figure 6 is a sequence diagram showing an example of the hostile data detection process. First, the
データ拡張部111は、受信した評価対象データに対してデータ拡張を行うことで複数の拡張評価対象データを生成する(S602)。ステップS602の処理の一例について説明する。例えば、拡張評価対象データの生成数を示すパラメータnが予め設定されてメモリ103に格納されている。データ拡張部111は、例えば、n種類の異なるノイズを生成し、1つの評価対象データにn種類のノイズそれぞれを付加することで、n個の拡張評価対象データを生成する。データ拡張部111が生成するノイズは、例えば、評価対象データと同じ次元数の数値ベクトルである。また、データ拡張部111は、例えば、ガウス分布等の所定の確率分布に従って、ノイズを生成する。
The
ノイズ付加部112と評価部211は相互に通信して、評価対象データに対する評価値の計算と、拡張評価対象データに対する評価値の計算と、ステップS602で生成された拡張評価対象データに対するノイズ付加と、ノイズが付加された拡張評価対象データに対する評価値の計算と、を行う(S603)。
The
例えば、ノイズ付加部112はn個の拡張評価対象データそれぞれに対し異なるノイズを生成し付加することでn個の拡張評価対象データそれぞれを更新し、評価部211は更新後のn個の拡張データそれぞれについて評価値を算出する。なお、ノイズ付加部112は、例えば、ガウス分布、一様分布、又はラプラス分布等の所定の確率分布に従ってノイズを生成してもよいし、評価部211により計算される評価値を意図的に変化させるようなノイズを生成してもよい。評価値を意図的に変化させるノイズとして、例えば、敵対的データ作成時に生成されるノイズと同様の手法で生成されるノイズが使用される。
For example, the
本実施形態において、評価部211は、例えば、深層学習を用いて生成された学習済みモデルに更新後のn個の拡張評価対象データを入力して得られたクラスを評価値として算出する。なお、当該学習済みモデルは、深層学習を行う際に訓練データに対しリサイズやパディング等の処理を施したデータを学習させることで、ロバスト性を向上させた学習済みモデルであってもよい。なお、この学習済みモデルは、例えば、メモリ203に予め格納されている。
In this embodiment, the
なお、ステップS603におけるn個の拡張評価対象データそれぞれの更新処理と更新後のn個の拡張評価対象データそれぞれの評価値算出処理は、所定条件が満たされるまで繰り返し実行される。評価部211は、ステップS603で最終的に算出された拡張評価対象データそれぞれの評価値を検知サーバ300へ送信する(S604)。なお、ステップS603とステップS604の処理の詳細は図7を用いて後述する。
The update process for each of the n pieces of extended evaluation target data in step S603 and the calculation process for the evaluation value for each of the n pieces of extended evaluation target data after the update are repeated until a predetermined condition is satisfied. The
第1検知部311は、ステップS604で受信した評価値を用いて、ステップS601で送信された評価対象データが、敵対的データであるか否か判定する(S605)。ステップS605の処理の詳細は図8を用いて後述する。
The
第1検知部311は、評価対象データが敵対的データであると判定した場合(S605:Yes)、評価対象データの評価値をデータ送信端末400に送信せず、当該評価値の送信を拒否することを示す通知(判定結果:reject)をデータ送信端末400に送信する(S606)。第1検知部311は、評価対象データが敵対的データでないと判定した場合(S605:No)、評価対象データの評価値を、データ受信端末500に送信して(S607)、敵対的データ検知処理が終了する。
When the
なお、第1検知部311は、ステップS803において評価対象データが敵対的データであると判定した場合に、ステップS606において、当該評価値の送信を拒否することを示す通知(判定結果:reject)をデータ送信端末400に送信せずに、ステップS603で最終的に算出された拡張評価対象データそれぞれの評価値をデータ受信端末500に送信してもよい。
If the
図7は、ステップS603及びステップS604における、拡張評価対象データ更新処理の一例を示すフローチャートである。評価部211は、ステップS601で受け取った評価対象データDの評価値Evalを計算する(S701)。つまり、評価部211は、評価対象データDを上記した学習済みモデルに入力して得られた評価対象データDのクラスを評価値Evalとして計算する。
Figure 7 is a flowchart showing an example of the extended evaluation target data update process in steps S603 and S604. The
評価部211は、i=1,・・・,nそれぞれについてi=1から順に、下記のステップS702~ステップS705の処理を実行する。評価部211は、n個の拡張評価対象データ{D1,・・・,Dn}に含まれるDiの評価値AEEvaliを計算する(S702)。評価部211は、Eval=AEEvaliであるかを判定する(S703)。
The
評価部211は、Eval=AEEvaliであると判定した場合(S703:Yes)、ノイズ付加部112はDiにノイズを付加することでDiを更新し(S704)、ステップS702に戻って更新後のDiに対して評価値を再度計算する。なお、ステップS704におけるノイズ付加の方法は、ステップS602におけるノイズ付加の方法と同じであっても異なってもよい。
When the
評価部211は、Eval=AEEvaliでないと判定した場合(S703:No)、直近のステップS902で算出した評価値AEEvaliを、例えば、メモリ203に保存して(S705)、iの値をインクリメントしてステップS902に戻る。
If the
なお、Eval=AEEvaliであることは、評価対象データDのクラスとDiのクラスとが一致していること、即ちDにノイズが付加されて生成されたにも関わらずクラスが変化していないことを示す。一方、Eval=AEEvaliでないことは、評価対象データDのクラスとDiのクラスとが一致していないこと、即ちDにノイズが付加されてクラスが変化したことを示す。 Note that Eval=AEEval i indicates that the class of the evaluation target data D and the class of Di match, that is, the class has not changed even though noise has been added to D when it was generated. On the other hand, if Eval=AEEval i is not true, the class of the evaluation target data D and the class of Di do not match, that is, noise has been added to D and the class has changed.
なお、評価部211は、Diに対して所定回数以上のステップS704の処理が行われてもステップS705においてEval=AEEvaliであると判定した場合には、このDiに対するステップS702~ステップS704の処理を終了して(即ちこのDiに対する最終的な評価値を算出することなく)、iをインクリメントしてもよいし、データ送信端末400にエラーを送信して敵対的データ検知処理を終了してもよい。
In addition, if the
i=1,・・・,nそれぞれに対してステップS705の処理が完了したら、評価部211は、メモリ203に保存されたAEEval1,・・・,AEEvalnを検知サーバ300に送信して(S604)、拡張評価対象データ更新処理が終了する。
When the process of step S705 is completed for each of i=1, . . . , n, the
図8は、ステップS604及びステップS605における敵対的データ判定処理の一例を示すフローチャートである。第1検知部311は、評価値{AEEval1,…,AEEvaln}を受け取る(S604)。第1検知部311は、AEEval1,・・・,AEEvalnからなる評価値群における最頻値の度数Numを求める(S801)。
8 is a flowchart showing an example of the hostile data determination process in steps S604 and S605. The
第1検知部311は、Numをデータ数nで割った値が、予め定められた閾値qより大きいかを判定する(S802)。なお、閾値qは、例えば、メモリ303に予め格納されている。第1検知部311は、Numをデータ数nで割った値が、予め定められた閾値qより大きいと判定した場合(S802:Yes)、評価対象データが敵対的データであると判定して(S803)、敵対的データ判定処理を終了する。
The
第1検知部311は、Numをデータ数nで割った値が、予め定められた閾値q以下であると判定した場合(S802:No)、評価対象データが敵対的データでないと判定して(S804)、敵対的データ判定処理を終了する。
If the
図8の例では、第1検知部311は、AEEval1,・・・,AEEvalnからなる評価値群における最頻値の度数Numを敵対的データの検知に用いているが、Numは敵対的データを検知するための指標の一例に過ぎず、AEEval1,・・・,AEEvalnの偏りを示す指標であれば上記したNumと異なる指標を用いてもよい。第1検知部311は、例えば、AEEval1,・・・,AEEvalnからなる評価値群において度数が上位n位までの評価値の度数の合計をNumとして用いてもよいし、AEEval1,・・・,AEEvalnそれぞれを出力したデータ数に関する分散を敵対的データの検知に用いてもよい。
8, the
上記した分散の一例について説明する。第1検知部311は、AEEval1,・・・,AEEvalnのからなる評価値群に含まれる評価値の度数を算出し、算出した度数の分散を算出する。例えば、拡張評価対象データの個数が10個であり、拡張評価対象データの評価値として取り得る値が、0又は1のいずれかであるとする。さらに、AEEval1~AEEval10の値がいずれも1であるとする。この場合、評価値0の度数が0であり、評価値1の度数が10である。このとき第1検知部311は、例えば、(平均)=(拡張評価対象データの個数)/(評価値として取り得る値の個数)を算出し(つまり10/2=5を算出し)、評価値として取り得る各値について(平均-度数)2-を算出して(つまり、(5-0)2=25と、(5-10)2=25と、を算出して)、算出した((平均)-度数))2の総和を拡張評価対象データの個数で割った値(つまり、(25+25)/10=5)を分散として算出する。第1検知部311は、算出した分散が予め定められた閾値r以下であると判定した場合、評価対象データが敵対的データでないと判定し、算出した分散が予め定められた閾値rより大きいと判定した場合、評価対象データが敵対的データであると判定する。
An example of the above-mentioned variance will be described. The
図9は、敵対的データ検知処理の概要の一例を示す説明図である。図9の例では、評価対象データが画像である例を説明する。人間が当該画像を見ると当該画像が猫の画像であると認識するが、評価部211がモデルに当該画像を入力すると当該画像が馬の画像であると誤認識する。つまり図9の評価対象データは敵対的データである。
Figure 9 is an explanatory diagram showing an example of an overview of the adversarial data detection process. In the example of Figure 9, an example is described in which the data to be evaluated is an image. When a human looks at the image, he or she recognizes it as an image of a cat, but when the
この場合、評価対象データである画像は人間からの見た目は猫の画像であるため、評価対象データである画像にノイズが付加されれば、当該ノイズが付加された画像が当該モデルに入力された分類結果は猫の画像である可能性が高い。 In this case, the image data to be evaluated looks like an image of a cat to humans, so if noise is added to the image data to be evaluated, the classification result when the image with the added noise is input into the model is likely to be an image of a cat.
データ拡張部111は、画像に異なるノイズを付加することで、複数の画像(拡張評価対象データ)を生成する(S602)。ノイズ付加部112は、複数の画像それぞれに対して、評価部211による評価値(即ち画像をモデルに入力したときに出力される分類結果)が変化するまでノイズを付加する(S603)。
The
第1検知部311は、変化後の評価値の偏りを示す指標(Num)を計算し、偏りが大きいと判定した場合、(敵対的データである馬の画像に様々なノイズが付加されると、元画像である猫の画像に変化すると考えられるため)、評価対象データが敵対的データであると判定する。
The
図9の例において、閾値qを0.5とすれば、変化後の4つの評価値のうち3つの評価値が猫の画像であるため、Num/n=3/4>0.5であるため、第1検知部311は、評価対象データが敵対的データであると判定する。
In the example of Figure 9, if the threshold value q is 0.5, three of the four evaluation values after the change are images of a cat, and therefore Num/n = 3/4 > 0.5, so the
以上、本実施例の敵対的データ検知システムは、前述の処理により敵対的データを高精度かつ少ない計算量で検知することができる。なお、敵対的データがモデルに入力されると正常なデータと異なる評価値を出力するが、敵対的データは、正常なデータに作為的な微小ノイズを加えて作成されたデータである可能性が高い。従って、敵対的データにノイズ付加し続けると元の正常データの評価値を出力するデータに戻りやすい傾向があると期待できる。つまり、変化後の拡張評価対象データの評価値が同じ値になる割合が大きい場合には、当該同じ評価値を有する拡張評価対象データは正常なデータに戻っていると考えられ、本実施例の敵対的データ検知システムはこの性質を利用して評価対象データが敵対的データであるかを判定している。 As described above, the adversarial data detection system of this embodiment can detect adversarial data with high accuracy and small computational complexity through the above-mentioned processing. When adversarial data is input to the model, it outputs an evaluation value different from that of normal data, but it is highly likely that the adversarial data is data created by adding artificially small noise to normal data. Therefore, it can be expected that if noise is continued to be added to the adversarial data, it will tend to return to data that outputs the evaluation value of the original normal data. In other words, if the evaluation value of the expanded evaluation target data after the change is the same value at a high rate, it is considered that the expanded evaluation target data having the same evaluation value has returned to normal data, and the adversarial data detection system of this embodiment uses this property to determine whether the evaluation target data is adversarial data.
具体的には、前述したように、本実施例の敵対的データ検知システムは、拡張評価対象データの評価値が変化するまで拡張評価対象データにノイズを加え続け、変化後の評価値の偏りに基づいて評価対象データが敵対的データであるかを判定する。従って、攻撃者が本実施例の検知手法についての情報を有している場合であっても、モデルの情報を有していて微小なノイズを少ない回数加えても当該モデルによる出力結果が変わらない敵対的データを生成した場合であっても、評価対象データが敵対的データであるかを高精度に検知することができ、ひいては安全性を保つことができる。 Specifically, as described above, the adversarial data detection system of this embodiment continues to add noise to the extended evaluation target data until the evaluation value of the extended evaluation target data changes, and determines whether the evaluation target data is adversarial data based on the bias of the evaluation value after the change. Therefore, even if an attacker has information about the detection method of this embodiment, or has information about a model and generates adversarial data in which the output result of the model does not change even if a small amount of noise is added a small number of times, it is possible to detect with high accuracy whether the evaluation target data is adversarial data, and thus security can be maintained.
また、ノイズ付加部112は、ステップS603において、毎回ガウス分布に従ってノイズを生成する等のように各拡張評価対象データに対して同一のアルゴリズムから生成したノイズを付加してもよいし、D1にはガウス分布に従うノイズを付加し、D2には一様分布に従うノイズを付加する等のように、異なる拡張評価対象データに異なるアルゴリズムから生成したノイズを付加してもよい。また、ステップS603において、検知サーバ300からデータ受信端末500へ送信される評価対象データの評価値の計算は、ステップS602において事前に実行されてもよいし、ステップS613の直前に実行されてもよい(ステップS601より後かつステップS613より前の任意のタイミングで行われればよい)。
In addition, in step S603, the
本実施例では、敵対的データ検知処理の別例を説明する。本実施例の敵対的データ検知処理では、敵対的データ検知システムは、評価対象データにノイズを付加して最初に生成した拡張評価対象データに対する評価値に基づいて評価対象データが敵対的データであるかを判定し(第1の判定)、評価対象データが敵対的データであると判定した場合、さらに実施例1で説明したステップS603~ステップS607の判定処理(第2の判定)を実行する。 In this embodiment, another example of the adversarial data detection process will be described. In the adversarial data detection process of this embodiment, the adversarial data detection system determines whether the evaluation target data is adversarial data based on the evaluation value for the extended evaluation target data that is first generated by adding noise to the evaluation target data (first determination), and if it determines that the evaluation target data is adversarial data, it further executes the determination process (second determination) of steps S603 to S607 described in the first embodiment.
図10は、敵対的データ検知処理の一例を示すシーケンス図である。図6との相違点を主に説明する。ステップS602に続いて、データ拡張部111は、生成した拡張評価対象データと評価対象データとを、評価サーバ200に送信する(S1001)。
Figure 10 is a sequence diagram showing an example of the adversarial data detection process. The differences from Figure 6 will be mainly explained. Following step S602, the
評価部211は、ステップS1001で受信した評価対象データ及び拡張評価対象データそれぞれの評価値を計算する(S1002)。評価部211は、ステップS1002で計算した評価値を、検知サーバ300に送信する(S1003)。第2検知部312は、ステップS1003で受信した評価値を用いて、評価対象データが敵対的データであるか敵対的データでない可能性があるかを判定する(S1004)。ステップS1004の処理の詳細は、図11を用いて後述する。
The
第2検知部312は、評価対象データが敵対的データであると判定した場合(S1004:Yes)、評価対象データの評価値をデータ送信端末400に送信せず、当該評価値の送信を拒否することを示す通知(判定結果:reject)をデータ送信端末400に送信して(S1005)、敵対的データ検知処理が終了する。第2検知部312は、敵対的データでない可能性があると判定した場合(S1004:No)、第2の判定に移行すること(及び/又は評価対象データが敵対的データでない可能性があること)を示す通知(判定結果:accept)をノイズ付加サーバ100に送信し(S1006)、ステップS603~ステップS607の処理(第2の判定)が行われて、敵対的データ検知処理が終了する。
If the
なお、Di(i=1,・・・,n)それぞれに対する初回のステップS702において算出されるDiの評価値は、ステップS1002で算出される拡張評価対象データそれぞれの評価値と同一であるため、Di(i=1,・・・,n)それぞれに対する初回のステップS702の処理は省略されてもよい。 In addition, since the evaluation value of Di calculated in the first step S702 for each Di (i = 1, ..., n) is the same as the evaluation value of each extended evaluation target data calculated in step S1002, the processing of the first step S702 for each Di (i = 1, ..., n) may be omitted.
図11はステップS1004における敵対的データ判定処理(第2の判定)の一例を示すフローチャートである。第2検知部312は、評価対象データに対する評価値Evalと拡張評価対象データに対する評価値{Eval1,…,Evaln}を受け取る(S1003)。第2検知部312は、Eval≠Evali(i=1,…n)となる拡張評価対象データの個数Numを求める(S1101)。第2検知部312は、Numを拡張評価対象データの個数nで割った値が予め定められた閾値pより小さいと判定する(S1102)。なお、閾値pは、例えば、メモリ303に予め格納されている。
11 is a flowchart showing an example of the adversarial data determination process (second determination) in step S1004. The
第2検知部312は、Numを拡張評価対象データの個数nで割った値が予め定められた閾値pより小さいと判定した場合(S1102:Yes)、評価対象データは敵対的データであると判定して(S1103)、敵対的データ判定処理を終了する。第2検知部312は、Numを拡張評価対象データの個数nで割った値が予め定められた閾値p以上であると判定した場合(S1102:No)、評価対象データが敵対的データでない可能性があると判定して(S1104)、敵対的データ判定処理を終了する。
When the
なお、第2検知部312は、ステップS1102において、評価値が異なる拡張評価対象データの個数の割合を検知に用いているが、他の指標を検知に用いてもよい。第2検知部312は、例えば、ステップS1102において、拡張評価対象データそれぞれの評価値の、評価対象データの評価値からの変化量をカウントし、当該変化量の平均値をNumの代わりに用いてもよい。
Note that in step S1102, the
敵対的データは、正常なデータに作為的な微小ノイズを加えて作成されたデータである可能性が高いため、モデルが出力される評価値が変化する境界に近いデータである可能性が高い。つまり、評価対象データが敵対的データである場合には、評価対象データにノイズが付加された拡張評価対象データの評価値は、評価対象データの評価値と異なる可能性が高い。従って、本実施例の敵対的データ検知システムは、図11の処理で評価対象データと評価値が異なる拡張評価対象データの割合に基づいて、評価対象データが敵対的データであるかを判定することにより、効率的に敵対的データを検知することができる。 Since hostile data is likely to be data created by adding artificial minute noise to normal data, it is likely to be data close to the boundary where the evaluation value output by the model changes. In other words, when the evaluation target data is hostile data, the evaluation value of the extended evaluation target data in which noise has been added to the evaluation target data is likely to be different from the evaluation value of the evaluation target data. Therefore, the adversarial data detection system of this embodiment can efficiently detect adversarial data by determining whether the evaluation target data is adversarial data based on the proportion of extended evaluation target data whose evaluation value differs from that of the evaluation target data in the process of FIG. 11.
なお、上記した例では、敵対的データ検知システムは、第1の判定において評価対象データが敵対的データであると判定した場合に第2の判定により評価対象データが敵対的データであるかの最終的な判定を行うが、第2の判定において評価対象データが敵対的データであると判定した場合に第1の判定による評価対象データが敵対的データであるかの最終的な判定を行ってもよい。 In the above example, if the first judgment determines that the data to be evaluated is adversarial data, the adversarial data detection system makes a final judgment as to whether the data to be evaluated is adversarial data by the second judgment. However, if the second judgment determines that the data to be evaluated is adversarial data, the adversarial data detection system may make a final judgment as to whether the data to be evaluated is adversarial data by the first judgment.
以上、本実施例の敵対的データ検知システムは、本実施例の敵対的データ検知システムは、評価対象データに対して、異なる性質を捉えるための2つの検知手法を用いることにより、より安全性が高くかつ高精度に敵対的データを検知することができる。 As described above, the adversarial data detection system of this embodiment can detect adversarial data more safely and with higher accuracy by using two detection methods to capture different properties of the data to be evaluated.
本実施例は、敵対的データ検知システムのユースケースの一例を説明する。図12は、敵対的データ検知システムの入出力データの一例を示す説明図である。図12の例では、評価対象データが医療画像であり、敵対的データ検知システムは当該医療画像に基づいて、医療画像の被写体の人間が病気であるか、及び病気である場合には被写体の人間がり患している病気の種類を判定する。 This embodiment describes an example of a use case of the adversarial data detection system. FIG. 12 is an explanatory diagram showing an example of input/output data of the adversarial data detection system. In the example of FIG. 12, the data to be evaluated is a medical image, and the adversarial data detection system determines, based on the medical image, whether the human subject of the medical image is sick, and if so, the type of illness the human subject is suffering from.
データ送信端末400は、ステップS601において、医療画像をノイズ付加サーバ100に送信する。ステップS605において、検知サーバ300は、医療画像が敵対的データであると判定した場合、ステップS606において、その旨を示す報告をデータ送信端末400へ送信する。
In step S601, the
検知サーバ300は、ステップS605において、医療画像が敵対的データではないと判定した場合、ステップS607において、医療画像に対する評価結果(被写体の人間が病気であるか否か、及び病気である場合には病気の種類を示す分類結果)をデータ受信端末500へ送信する。
If the
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることも可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加や削除、置換をすることが可能である。 The present invention is not limited to the above-described embodiments, but includes various modified examples. For example, the above-described embodiments have been described in detail to clearly explain the present invention, and are not necessarily limited to those having all of the configurations described. It is also possible to replace part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. It is also possible to add, delete, or replace part of the configuration of each embodiment with other configurations.
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。 The above configurations, functions, processing units, processing means, etc. may be realized in part or in whole in hardware, for example by designing them as integrated circuits. The above configurations, functions, etc. may be realized in software by a processor interpreting and executing a program that realizes each function. Information such as the programs, tables, files, etc. that realize each function can be stored in a memory, a recording device such as a hard disk or SSD (Solid State Drive), or a recording medium such as an IC card, SD card, or DVD.
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。 In addition, the control lines and information lines shown are those considered necessary for the explanation, and not all control lines and information lines on the product are necessarily shown. In reality, it can be assumed that almost all components are interconnected.
100 ノイズ付加サーバ、200 評価サーバ、300 検知サーバ、400 データ送信端末、500 データ受信端末、101 プロセッサ、102 補助記憶装置、103 メモリ、107 通信インターフェース、111 データ拡張部、112 ノイズ付加部、201 プロセッサ、202 補助記憶装置、203 メモリ、207 通信インターフェース、211 評価部、301 プロセッサ、302 補助記憶装置、303 メモリ、307 通信インターフェース、311 第1検知部、312 第2検知部、401 プロセッサ、402 補助記憶装置、403 メモリ、407 通信インターフェース 100 Noise addition server, 200 Evaluation server, 300 Detection server, 400 Data transmission terminal, 500 Data reception terminal, 101 Processor, 102 Auxiliary storage device, 103 Memory, 107 Communication interface, 111 Data expansion unit, 112 Noise addition unit, 201 Processor, 202 Auxiliary storage device, 203 Memory, 207 Communication interface, 211 Evaluation unit, 301 Processor, 302 Auxiliary storage device, 303 Memory, 307 Communication interface, 311 First detection unit, 312 Second detection unit, 401 Processor, 402 Auxiliary storage device, 403 Memory, 407 Communication interface
Claims (12)
プロセッサとメモリとを有し、
前記メモリは、評価対象データと、データが入力されると評価値を出力するモデルと、を保持し、
前記プロセッサは、
前記評価対象データを前記モデルに入力して、前記評価対象データの評価値を算出し、
前記評価対象データに異なるノイズを付加して、複数の拡張評価対象データを生成し、
前記複数の拡張評価対象データに基づいて、第1の判定処理を実行し、
前記第1の判定処理において、
前記複数の拡張評価対象データそれぞれに対して、当該拡張評価対象データの評価値が、前記評価対象データの評価値と一致しないようになるまで、ノイズを加えて当該拡張評価対象データを更新し、
更新後の拡張評価対象データそれぞれの評価値の偏りに基づいて、前記評価対象データが敵対的データであるかを判定する、敵対的データ検知装置。 1. An adversarial data detection device, comprising:
A processor and a memory,
The memory holds evaluation target data and a model that outputs an evaluation value when the data is input,
The processor,
inputting the evaluation target data into the model to calculate an evaluation value of the evaluation target data;
Adding different noises to the evaluation target data to generate a plurality of extended evaluation target data;
Executing a first determination process based on the plurality of extended evaluation target data;
In the first determination process,
updating the extended evaluation target data by adding noise to each of the plurality of extended evaluation target data until the evaluation value of the extended evaluation target data does not match the evaluation value of the evaluation target data;
An adversarial data detection device that determines whether the evaluation target data is adversarial data based on the bias of the evaluation values of each of the updated extended evaluation target data.
前記プロセッサは、前記複数の拡張評価対象データの個数に占める前記更新後の拡張評価対象データそれぞれの評価値の最頻値の度数が所定の閾値より大きい場合、前記評価対象データが敵対的データであると判定する、敵対的データ検知装置。 2. The adversarial data detection apparatus of claim 1,
The processor determines that the evaluation target data is hostile data when the frequency of the most frequent evaluation value of each of the updated extended evaluation target data among the number of the multiple extended evaluation target data is greater than a predetermined threshold.
前記プロセッサは、
前記複数の拡張評価対象データそれぞれを前記モデルに入力して、前記複数の拡張評価対象データそれぞれの評価値を算出し、
前記複数の拡張評価対象データそれぞれの評価値と、前記評価対象データの評価値と、が一致する割合に基づいて、前記評価対象データが敵対的データでない可能性があるかを判定する第2の判定処理を実行し、
前記評価対象データが敵対的データでない可能性があると判定した場合、前記第1の判定処理を実行する、敵対的データ検知装置。 2. The adversarial data detection apparatus of claim 1,
The processor,
inputting each of the plurality of extended evaluation target data into the model, and calculating an evaluation value for each of the plurality of extended evaluation target data;
execute a second determination process for determining whether the evaluation target data is likely to be non-hostile data based on a rate of agreement between the evaluation value of each of the plurality of extended evaluation target data and the evaluation value of the evaluation target data;
The adversarial data detection device executes the first determination process when it determines that the evaluation target data is likely not adversarial data.
前記プロセッサは、前記複数の拡張評価対象データそれぞれの評価値と、前記評価対象データの評価値と、が一致する割合が所定の閾値より小さいときに、前記評価対象データが敵対的データでない可能性があると判定する、敵対的データ検知装置。 4. The adversarial data detection apparatus of claim 3,
The processor determines that the evaluation target data is likely not hostile data when the rate at which the evaluation values of each of the multiple extended evaluation target data match the evaluation value of the evaluation target data is less than a predetermined threshold.
前記複数の拡張評価対象データの生成において付加されるノイズ、及び前記複数の拡張評価対象データの更新において付加されるノイズは、所定の確率分布に従うノイズ、及び評価値を操作するために生成されたノイズの少なくとも1つを含む、敵対的データ検知装置。 2. The adversarial data detection apparatus of claim 1,
An adversarial data detection device, wherein the noise added in generating the plurality of extended evaluation target data and the noise added in updating the plurality of extended evaluation target data include at least one of noise following a predetermined probability distribution and noise generated to manipulate the evaluation value.
前記モデルは、深層学習により生成された学習済みモデル、又は深層学習が行われる際に訓練データに対しリサイズ及びパディングの少なくとも1つを含む処理を施したデータを学習させて得られた学習済みモデルである、敵対的データ検知装置。 2. The adversarial data detection apparatus of claim 1,
The model is a trained model generated by deep learning, or a trained model obtained by training data that has been subjected to processing including at least one of resizing and padding when deep learning is performed. Adversarial data detection device.
前記敵対的データ検知装置は、プロセッサとメモリとを有し、
前記メモリは、評価対象データと、データが入力されると評価値を出力するモデルと、を保持し、
前記敵対的データ検知方法は、
前記プロセッサが、前記評価対象データを前記モデルに入力して、前記評価対象データの評価値を算出し、
前記プロセッサが、前記評価対象データに異なるノイズを付加して、複数の拡張評価対象データを生成し、
前記プロセッサが、前記複数の拡張評価対象データに基づいて、第1の判定処理を実行し、
前記第1の判定処理において、
前記プロセッサが、前記複数の拡張評価対象データそれぞれに対して、当該拡張評価対象データの評価値が、前記評価対象データの評価値と一致しないようになるまで、ノイズを加えて当該拡張評価対象データを更新し、
前記プロセッサが、更新後の拡張評価対象データそれぞれの評価値の偏りに基づいて、前記評価対象データが敵対的データであるかを判定する、敵対的データ検知方法。 An adversarial data detection method by an adversarial data detection device, comprising:
The adversarial data detection device includes a processor and a memory;
The memory holds evaluation target data and a model that outputs an evaluation value when the data is input,
The adversarial data detection method includes:
The processor inputs the evaluation target data into the model and calculates an evaluation value of the evaluation target data;
The processor adds different noises to the evaluation target data to generate a plurality of extended evaluation target data;
The processor executes a first determination process based on the plurality of extended evaluation target data;
In the first determination process,
The processor adds noise to each of the plurality of extended evaluation target data to update the extended evaluation target data until the evaluation value of the extended evaluation target data does not match the evaluation value of the evaluation target data;
The method for detecting hostile data, wherein the processor determines whether the evaluation target data is hostile data based on a bias in the evaluation value of each piece of updated extended evaluation target data.
前記プロセッサが、前記複数の拡張評価対象データの個数に占める前記更新後の拡張評価対象データそれぞれの評価値の最頻値の度数が所定の閾値より大きい場合、前記評価対象データが敵対的データであると判定する、敵対的データ検知方法。 8. The method of claim 7, further comprising:
The method for detecting adversarial data, wherein the processor determines that the evaluation target data is adversarial data if the frequency of the most frequent evaluation value of each of the updated extended evaluation target data among the number of the multiple extended evaluation target data is greater than a predetermined threshold.
前記プロセッサが、前記複数の拡張評価対象データそれぞれを前記モデルに入力して、前記複数の拡張評価対象データそれぞれの評価値を算出し、
前記プロセッサが、前記複数の拡張評価対象データそれぞれの評価値と、前記評価対象データの評価値と、が一致する割合に基づいて、前記評価対象データが敵対的データでない可能性があるかを判定する第2の判定処理を実行し、
前記プロセッサが、前記評価対象データが敵対的データでない可能性があると判定した場合、前記第1の判定処理を実行する、敵対的データ検知方法。 8. The method of claim 7, further comprising:
The processor inputs each of the plurality of extended evaluation target data into the model and calculates an evaluation value for each of the plurality of extended evaluation target data;
The processor executes a second determination process to determine whether the evaluation target data is likely to be non-adversarial data based on a rate at which the evaluation value of each of the plurality of extended evaluation target data matches the evaluation value of the evaluation target data;
The method for detecting adversarial data, wherein the processor executes the first determination process when the processor determines that the evaluation target data is likely not adversarial data.
前記プロセッサが、前記複数の拡張評価対象データそれぞれの評価値と、前記評価対象データの評価値と、が一致する割合が所定の閾値より小さいときに、前記評価対象データが敵対的データでない可能性があると判定する、敵対的データ検知方法。 10. The method of claim 9, further comprising:
The method for detecting hostile data, wherein the processor determines that the evaluation target data is likely not hostile data when the rate at which the evaluation values of each of the plurality of extended evaluation target data match the evaluation value of the evaluation target data is less than a predetermined threshold.
前記複数の拡張評価対象データの生成において付加されるノイズ、及び前記複数の拡張評価対象データの更新において付加されるノイズは、所定の確率分布に従うノイズ、及び評価値を操作するために生成されたノイズの少なくとも1つを含む、敵対的データ検知方法。 8. The method of claim 7, further comprising:
An adversarial data detection method, wherein the noise added in generating the multiple extended evaluation target data and the noise added in updating the multiple extended evaluation target data include at least one of noise following a predetermined probability distribution and noise generated to manipulate the evaluation value.
前記モデルは、深層学習により生成された学習済みモデル、又は深層学習が行われる際に訓練データに対しリサイズ及びパディングの少なくとも1つを含む処理を施したデータを学習させて得られた学習済みモデルである、敵対的データ検知方法。 8. The method of claim 7, further comprising:
The adversarial data detection method, wherein the model is a trained model generated by deep learning, or a trained model obtained by training data that has been subjected to processing including at least one of resizing and padding when deep learning is performed.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021165477A JP7564074B2 (en) | 2021-10-07 | 2021-10-07 | Adversarial data detection device and adversarial data detection method |
| PCT/JP2022/036690 WO2023058569A1 (en) | 2021-10-07 | 2022-09-30 | Adversarial data detection device and adversarial data detection method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021165477A JP7564074B2 (en) | 2021-10-07 | 2021-10-07 | Adversarial data detection device and adversarial data detection method |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2023056241A JP2023056241A (en) | 2023-04-19 |
| JP2023056241A5 JP2023056241A5 (en) | 2024-03-27 |
| JP7564074B2 true JP7564074B2 (en) | 2024-10-08 |
Family
ID=85803412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021165477A Active JP7564074B2 (en) | 2021-10-07 | 2021-10-07 | Adversarial data detection device and adversarial data detection method |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7564074B2 (en) |
| WO (1) | WO2023058569A1 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021131029A1 (en) | 2019-12-27 | 2021-07-01 | 日本電気株式会社 | Filter generation device, estimation device, facial authentication system, filter generation method, and recording medium |
| WO2021161423A1 (en) | 2020-02-12 | 2021-08-19 | 日本電信電話株式会社 | Detection device, detection method, and detection program |
-
2021
- 2021-10-07 JP JP2021165477A patent/JP7564074B2/en active Active
-
2022
- 2022-09-30 WO PCT/JP2022/036690 patent/WO2023058569A1/en not_active Ceased
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021131029A1 (en) | 2019-12-27 | 2021-07-01 | 日本電気株式会社 | Filter generation device, estimation device, facial authentication system, filter generation method, and recording medium |
| WO2021161423A1 (en) | 2020-02-12 | 2021-08-19 | 日本電信電話株式会社 | Detection device, detection method, and detection program |
Non-Patent Citations (1)
| Title |
|---|
| ROTH,K et al.,The Odds are Odd:A Statistical Test for Detecting Adversarial Examples,Proceedings of the 36th International Conference on Machine Learning[online],2019年,http://proceedings.mlr.press/v97/roth19a/roth19a.pdf |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023056241A (en) | 2023-04-19 |
| WO2023058569A1 (en) | 2023-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6530786B2 (en) | System and method for detecting malicious elements of web pages | |
| EP3602369B1 (en) | Anomaly detection for computer systems | |
| JP7112475B2 (en) | Duplicate document detection method and system using vector quantization | |
| KR20220107302A (en) | Distance Metrics and Clustering in Recurrent Neural Networks | |
| JP2020505707A (en) | Continuous learning for intrusion detection | |
| WO2018179765A1 (en) | Information processing device, information processing method, and computer-readable storage medium | |
| CN112052451A (en) | Webshell detection method and device | |
| US20230138458A1 (en) | Machine learning system and method | |
| US20240338445A1 (en) | Applying diffusion models in adversarial purification and adversarial sample generation in cybersecurity | |
| Thakare et al. | [Retracted] Classification of Bioinformatics EEG Data Signals to Identify Depressed Brain State Using CNN Model | |
| Tuncer et al. | Automated malware recognition method based on local neighborhood binary pattern | |
| KR102255600B1 (en) | Malware documents detection device and method using generative adversarial networks | |
| CN121713174A (en) | Methods and systems for watermarking digital data cross-references | |
| JP2024502153A (en) | Training device, classification device, training method, classification method, and program | |
| CN109213972B (en) | Method, device, equipment and computer storage medium for determining document similarity | |
| KR102258910B1 (en) | Method and System for Effective Detection of Ransomware using Machine Learning based on Entropy of File in Backup System | |
| JP7564074B2 (en) | Adversarial data detection device and adversarial data detection method | |
| JP7548307B2 (en) | Assessment device, alternative model creation device, assessment method and program | |
| JP7492088B2 (en) | Weighted knowledge transfer apparatus, method and system | |
| CN119628878B (en) | An abnormal flow detection method, device, electronic equipment, and storage medium | |
| CN116432014A (en) | Method and device for generating an adversarial example | |
| CN113378118B (en) | Method, device, electronic device and computer storage medium for processing image data | |
| JP2022188894A (en) | Association rule generation program, device, and method | |
| CN111310176A (en) | Intrusion detection method and device based on feature selection | |
| CN115277065B (en) | Anti-attack method and device in abnormal traffic detection of Internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240318 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240318 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240910 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240926 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7564074 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |