Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7564074B2 - Adversarial data detection device and adversarial data detection method - Google Patents
[go: Go Back, main page]

JP7564074B2 - Adversarial data detection device and adversarial data detection method - Google Patents

Adversarial data detection device and adversarial data detection method Download PDF

Info

Publication number
JP7564074B2
JP7564074B2 JP2021165477A JP2021165477A JP7564074B2 JP 7564074 B2 JP7564074 B2 JP 7564074B2 JP 2021165477 A JP2021165477 A JP 2021165477A JP 2021165477 A JP2021165477 A JP 2021165477A JP 7564074 B2 JP7564074 B2 JP 7564074B2
Authority
JP
Japan
Prior art keywords
data
target data
evaluation target
evaluation
adversarial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021165477A
Other languages
Japanese (ja)
Other versions
JP2023056241A (en
JP2023056241A5 (en
Inventor
恭平 山本
雅之 吉野
由美子 横張
のん 川名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021165477A priority Critical patent/JP7564074B2/en
Priority to PCT/JP2022/036690 priority patent/WO2023058569A1/en
Publication of JP2023056241A publication Critical patent/JP2023056241A/en
Publication of JP2023056241A5 publication Critical patent/JP2023056241A5/ja
Application granted granted Critical
Publication of JP7564074B2 publication Critical patent/JP7564074B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、敵対的データ検知装置及び敵対的データ検知方法に関する。 The present invention relates to an adversarial data detection device and an adversarial data detection method.

金融、医療、及び製造などの様々な分野でAI(Artificial Intelligence)の普及が進み、AIが機微情報を扱う場面が増加している。一方、AIに特有の脆弱性をついた攻撃が報告されている。 AI (Artificial Intelligence) is becoming more widespread in various fields such as finance, medicine, and manufacturing, and there are an increasing number of situations where AI handles sensitive information. Meanwhile, attacks that exploit vulnerabilities specific to AI have been reported.

AI特有の脆弱性をついた攻撃の一例として、人が気づかない程の微小のノイズがデータに加えられ、AIに誤判定を引き起こさせるAE(Adversarial Example)攻撃がある。以下では、微小のノイズが加えられたデータを敵対的(Adversarial)データ、敵対的データをAIへ投じることをAE攻撃とも呼ぶ。 One example of an attack that exploits vulnerabilities specific to AI is the Adversarial Example (AE) attack, in which minute noise that is unnoticeable to humans is added to data, causing the AI to make a false judgment. In what follows, data with minute noise added will be referred to as adversarial data, and throwing adversarial data at an AI will be referred to as an AE attack.

AE攻撃への対策として、敵対的データを生成するまでの過程や敵対的データの持つ特徴を捉えることでAE攻撃を検知する技術が提案されている。AE攻撃を検知する背景技術として、非特許文献1がある。非特許文献1に記載の技術は、入力データにランダムな微小ノイズを加えた際の、出力結果の変化を利用してAE攻撃を検知する。 As a countermeasure against AE attacks, technology has been proposed that detects AE attacks by capturing the process leading up to the generation of adversarial data and the characteristics of the adversarial data. Non-Patent Document 1 is a background technology for detecting AE attacks. The technology described in Non-Patent Document 1 detects AE attacks by utilizing changes in the output results when random minute noise is added to input data.

Jingyi Wang,外3名, “Detecting Adversarial Samples for Deep Neural Networks through Mutation Testing.”, [online], NIPS 2018年5月,[令和3年3月26日検索],インターネット<https://arxiv.org/pdf/1805.05010.pdf>Jingyi Wang and 3 others, “Detecting Adversarial Samples for Deep Neural Networks through Mutation Testing.”, [online], NIPS May 2018 , [Retrieved March 26, 2021], Internet <https://arxiv .org/pdf/1805.05010.pdf>

非特許文献1のAE攻撃を検知する技術は、攻撃者が敵対的データの検知手法についての情報を知っている状況下では、安全性が十分でなく、攻撃者は非特許文献1に記載の検知をすり抜ける敵対的データを意図的に生成できる。そこで、本発明の一態様は、攻撃者が敵対的データの検知手法についての情報を知っている状況下においても高精度に敵対的データを検知して、ひいては安全性を保つ。 The technology for detecting AE attacks in Non-Patent Document 1 is not sufficiently secure in a situation where an attacker knows information about a method for detecting adversarial data, and the attacker can intentionally generate adversarial data that evades the detection described in Non-Patent Document 1. Therefore, one aspect of the present invention detects adversarial data with high accuracy even in a situation where an attacker knows information about a method for detecting adversarial data, thereby maintaining security.

上記課題を解決するために、本発明の一態様は以下の構成を採用する。敵対的データ検知装置は、プロセッサとメモリとを有し、前記メモリは、評価対象データと、データが入力されると評価値を出力するモデルと、を保持し、前記プロセッサは、前記評価対象データを前記モデルに入力して、前記評価対象データの評価値を算出し、前記評価対象データに異なるノイズを付加して、複数の拡張評価対象データを生成し、前記複数の拡張評価対象データに基づいて、第1の判定処理を実行し、前記第1の判定処理において、前記複数の拡張評価対象データそれぞれに対して、当該拡張評価対象データの評価値が、前記評価対象データの評価値と一致しないようになるまで、ノイズを加えて当該拡張評価対象データを更新し、更新後の拡張評価対象データそれぞれの評価値の偏りに基づいて、前記評価対象データが敵対的データであるかを判定する。 In order to solve the above problem, one aspect of the present invention employs the following configuration. The adversarial data detection device has a processor and a memory, and the memory holds evaluation target data and a model that outputs an evaluation value when data is input. The processor inputs the evaluation target data to the model, calculates an evaluation value of the evaluation target data, adds different noises to the evaluation target data to generate multiple extended evaluation target data, and executes a first judgment process based on the multiple extended evaluation target data. In the first judgment process, for each of the multiple extended evaluation target data, noise is added to the extended evaluation target data until the evaluation value of the extended evaluation target data does not match the evaluation value of the evaluation target data, and judges whether the evaluation target data is adversarial data based on the bias of the evaluation value of each of the updated extended evaluation target data.

本発明の一態様によれば、攻攻撃者が敵対的データの検知手法についての情報を知っている状況下においても高精度に敵対的データを検知することができ、ひいては安全性を保つことができる。 According to one aspect of the present invention, it is possible to detect adversarial data with high accuracy even in a situation where an attacker knows information about methods for detecting adversarial data, thereby maintaining security.

上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 Issues, configurations, and advantages other than those described above will become clear from the description of the embodiments below.

実施例1における敵対的データ検知システムの構成例を示すブロック図である。FIG. 1 is a block diagram illustrating a configuration example of an adversarial data detection system according to a first embodiment. 実施例1におけるノイズ付加サーバのハードウェア構成例を示すブロック図である。4 is a block diagram showing an example of the hardware configuration of a noise addition server in the first embodiment. FIG. 実施例1における評価サーバのハードウェア構成例を示すブロック図である。FIG. 2 is a block diagram showing an example of a hardware configuration of an evaluation server according to the first embodiment. 実施例1における検知サーバのハードウェア構成例を示すブロック図である。3 is a block diagram showing an example of a hardware configuration of a detection server according to the first embodiment; FIG. 実施例1におけるデータ送信端末のハードウェア構成例を示すブロック図である。2 is a block diagram showing an example of a hardware configuration of a data sending terminal according to the first embodiment; 実施例1における敵対的データ検知処理の一例を示すシーケンス図である。FIG. 11 is a sequence diagram illustrating an example of an adversarial data detection process in the first embodiment. 実施例1における拡張評価対象データ更新処理の一例を示すフローチャートである。13 is a flowchart illustrating an example of an extended evaluation target data update process in the first embodiment. 実施例1における敵対的データ判定処理の一例を示すフローチャートである。11 is a flowchart illustrating an example of a hostile data determination process according to the first embodiment. 実施例1における敵対的データ検知処理の概要の一例を示す説明図である。FIG. 2 is an explanatory diagram illustrating an example of an overview of an adversarial data detection process in the first embodiment. 実施例2における敵対的データ検知処理の一例を示すシーケンス図である。FIG. 11 is a sequence diagram illustrating an example of an adversarial data detection process in the second embodiment. 実施例2における敵対的データ判定処理の一例を示すフローチャートである。13 is a flowchart illustrating an example of a hostile data determination process according to the second embodiment. 実施例3における敵対的データ検知システムの入出力データの一例を示す説明図である。FIG. 13 is an explanatory diagram illustrating an example of input and output data of the adversarial data detection system in the third embodiment.

以下、添付図面を参照して本発明の実施形態を説明する。本実施形態において、同一の構成には原則として同一の符号を付け、繰り返しの説明は省略する。なお、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。本実施形態は、データ送信者から受信したデータが、AE(Adversarial Example)攻撃により生成されたデータであるか否かを判定し、判定結果に応じてデータ受信者に処理結果を送信するシステムを説明する。 Below, an embodiment of the present invention will be described with reference to the attached drawings. In this embodiment, the same components are generally given the same reference numerals, and repeated description will be omitted. It should be noted that this embodiment is merely one example for realizing the present invention, and does not limit the technical scope of the present invention. This embodiment describes a system that determines whether data received from a data sender is data generated by an AE (Adversarial Example) attack, and transmits a processing result to the data receiver according to the determination result.

図1は、敵対的データ検知システムの構成例を示すブロック図である。敵対的データ検知システムは、例えば、評価対象データを保持するデータ送信端末400、評価対象データにノイズを付加するノイズ付加サーバ100、評価対象データに対する評価値を計算する評価サーバ200、評価対象データがAE攻撃を受けたデータであるかを判定する検知サーバ300、及び評価対象データに対する評価値を受信するデータ受信端末500を含む。 Figure 1 is a block diagram showing an example of the configuration of an adversarial data detection system. The adversarial data detection system includes, for example, a data transmission terminal 400 that holds evaluation target data, a noise addition server 100 that adds noise to the evaluation target data, an evaluation server 200 that calculates an evaluation value for the evaluation target data, a detection server 300 that determines whether the evaluation target data is data that has been subjected to an AE attack, and a data receiving terminal 500 that receives the evaluation value for the evaluation target data.

データ送信端末400、ノイズ付加サーバ100、評価サーバ200、検知サーバ300、及びデータ受信端末500の詳細な構成については後述する。データ送信端末400とノイズ付加サーバ100と評価サーバ200と検知サーバ300とデータ受信端末500は、インターネット等のネットワーク600を介して相互に情報を送受信する。 Detailed configurations of the data transmission terminal 400, the noise addition server 100, the evaluation server 200, the detection server 300, and the data receiving terminal 500 will be described later. The data transmission terminal 400, the noise addition server 100, the evaluation server 200, the detection server 300, and the data receiving terminal 500 transmit and receive information to and from each other via a network 600 such as the Internet.

なお、敵対的データ検知システムに含まれる装置の一部又は全部が一体化していてもよい。例えば、ノイズ付加サーバ100、評価サーバ200、及び検知サーバ300の少なくとも一部が一体化していてもよいし、データ送信端末400とデータ受信端末500とが一体化していてもよい。 In addition, some or all of the devices included in the adversarial data detection system may be integrated. For example, at least some of the noise addition server 100, the evaluation server 200, and the detection server 300 may be integrated, or the data transmission terminal 400 and the data receiving terminal 500 may be integrated.

図2は、ノイズ付加サーバ100のハードウェア構成例を示すブロック図である。ノイズ付加サーバ100は、例えば、互いにバス等の内部信号線104で接続された、プロセッサ(CPU)101、補助記憶装置102、メモリ103、表示装置105、入出力インターフェース106、及び通信インターフェース107を有する計算機によって構成される。 Figure 2 is a block diagram showing an example of the hardware configuration of the noise addition server 100. The noise addition server 100 is composed of a computer having a processor (CPU) 101, auxiliary storage device 102, memory 103, display device 105, input/output interface 106, and communication interface 107, which are connected to each other by an internal signal line 104 such as a bus.

プロセッサ101は、メモリ103に格納されたプログラムを実行する。メモリ103は、不揮発性の非一時的な記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変なプログラム(たとえばBIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、プロセッサ101が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。 The processor 101 executes programs stored in the memory 103. The memory 103 includes a ROM, which is a non-volatile, non-temporary storage element, and a RAM, which is a volatile storage element. The ROM stores immutable programs (e.g., BIOS) and the like. The RAM is a high-speed, volatile storage element such as a DRAM (Dynamic Random Access Memory), and temporarily stores programs executed by the processor 101 and data used when the programs are executed.

補助記憶装置102は、例えば、磁気記憶装置(HDD)、フラッシュメモリ(SSD)等の大容量かつ不揮発性の非一時的な記憶装置であり、プロセッサ101が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。すなわち、プログラムは、補助記憶装置102から読み出されて、メモリ103にロードされて、プロセッサ101によって実行される。 The auxiliary storage device 102 is, for example, a large-capacity, non-volatile, non-transient storage device such as a magnetic storage device (HDD) or a flash memory (SSD), and stores the programs executed by the processor 101 and data used when the programs are executed. That is, the programs are read from the auxiliary storage device 102, loaded into the memory 103, and executed by the processor 101.

入出力インターフェース106は、キーボードやマウスなどが接続され、オペレータからの入力を受けるインターフェースである。また、入出力インターフェース106は、表示装置105やプリンタなどが接続され、プログラムの実行結果をオペレータが視認可能な形式で出力するインターフェースでもある。表示装置105は、入出力インターフェース106から出力されたプログラムの実行結果を表示する。 The input/output interface 106 is an interface to which a keyboard, mouse, etc. are connected and which receives input from an operator. The input/output interface 106 is also an interface to which a display device 105, a printer, etc. are connected and which outputs the results of program execution in a format that can be viewed by the operator. The display device 105 displays the results of program execution output from the input/output interface 106.

通信インターフェース107は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインターフェース装置である。また、通信インターフェース107は、例えば、USB(Universal Serial Bus)等のシリアルインターフェースを含んでもよい。 The communication interface 107 is a network interface device that controls communication with other devices according to a specific protocol. The communication interface 107 may also include a serial interface such as a Universal Serial Bus (USB).

プロセッサ101が実行するプログラムの一部又は全部は、計算機が読み取り可能な非一時的記憶媒体であるリムーバブルメディア(CD-ROM、フラッシュメモリなど)から、又はネットワーク600を介して接続された非一時的記憶装置を備える外部計算機から、ノイズ付加サーバ100に提供され、非一時的記憶媒体である不揮発性の補助記憶装置102に格納されてもよい。このため、ノイズ付加サーバ100は、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。これは、評価サーバ200、検知サーバ300、データ送信端末400、及びデータ受信端末500についても同様である。 A part or all of the program executed by the processor 101 may be provided to the noise addition server 100 from removable media (CD-ROM, flash memory, etc.) which is a non-transitory storage medium readable by the computer, or from an external computer equipped with a non-transitory storage device connected via the network 600, and stored in the non-volatile auxiliary storage device 102 which is a non-transitory storage medium. For this reason, the noise addition server 100 may have an interface for reading data from removable media. This also applies to the evaluation server 200, the detection server 300, the data transmission terminal 400, and the data receiving terminal 500.

ノイズ付加サーバ100は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。これは、評価サーバ200、検知サーバ300、データ送信端末400、及びデータ受信端末500についても同様である。 The noise addition server 100 is a computer system configured on one physical computer or on multiple logically or physically configured computers, and may operate in separate threads on the same computer, or may operate on a virtual computer constructed on multiple physical computer resources. The same applies to the evaluation server 200, detection server 300, data transmission terminal 400, and data reception terminal 500.

プロセッサ101は、例えば、データ拡張部111、及びノイズ付加部112を含む。例えば、プロセッサ101はメモリ103にロードされたデータ拡張プログラムに従って動作することで、データ拡張部111として機能し、メモリ103にロードされたノイズ付加プログラムに従って動作することで、ノイズ付加部112として機能する。 The processor 101 includes, for example, a data expansion unit 111 and a noise addition unit 112. For example, the processor 101 functions as the data expansion unit 111 by operating according to a data expansion program loaded into the memory 103, and functions as the noise addition unit 112 by operating according to a noise addition program loaded into the memory 103.

データ拡張部111は、例えば、評価対象データにノイズを付加して拡張評価対象データを生成する。ノイズ付加部112は、拡張評価対象データにノイズを付加することで拡張評価対象データを更新する。 The data extension unit 111, for example, adds noise to the evaluation target data to generate extended evaluation target data. The noise addition unit 112 updates the extended evaluation target data by adding noise to the extended evaluation target data.

図3は、評価サーバ200のハードウェア構成例を示すブロック図である。評価サーバ200は例えば、互いにバス等の内部信号線204で接続された、プロセッサ(CPU)201、補助記憶装置202、メモリ203、表示装置205、入出力インターフェース206、及び通信インターフェース207を有する計算機によって構成される。 Figure 3 is a block diagram showing an example of the hardware configuration of the evaluation server 200. The evaluation server 200 is composed of a computer having a processor (CPU) 201, an auxiliary storage device 202, a memory 203, a display device 205, an input/output interface 206, and a communication interface 207, which are connected to each other by an internal signal line 204 such as a bus.

プロセッサ201、補助記憶装置202、メモリ203、内部信号線204、表示装置205、入出力インターフェース206、及び通信インターフェース207のハードウェアとしての説明は、プロセッサ101、補助記憶装置102、メモリ103、内部信号線104、表示装置105、入出力インターフェース106、及び通信インターフェース107のハードウェアとしての説明と同様であるため説明を省略する。 The hardware description of the processor 201, auxiliary storage device 202, memory 203, internal signal line 204, display device 205, input/output interface 206, and communication interface 207 is the same as the hardware description of the processor 101, auxiliary storage device 102, memory 103, internal signal line 104, display device 105, input/output interface 106, and communication interface 107, so the description will be omitted.

プロセッサ201は評価部211を含む。例えば、プロセッサ201は、メモリ203にロードされた評価プログラムに従って動作することで、評価部211として機能する。
評価部211は、評価対象データ及び拡張評価対象データに対する評価値を計算する。
The processor 201 includes an evaluation unit 211. For example, the processor 201 functions as the evaluation unit 211 by operating according to an evaluation program loaded in the memory 203.
The evaluation unit 211 calculates evaluation values for the evaluation target data and the extended evaluation target data.

図4は、検知サーバ300のハードウェア構成例を示すブロック図である。検知サーバ300は、例えば、互いにバス等の内部信号線304で接続された、プロセッサ(CPU)301、補助記憶装置302、メモリ303、表示装置305、入出力インターフェース306、及び通信インターフェース307を有する計算機によって構成される。 Figure 4 is a block diagram showing an example of the hardware configuration of the detection server 300. The detection server 300 is configured, for example, by a computer having a processor (CPU) 301, auxiliary storage device 302, memory 303, display device 305, input/output interface 306, and communication interface 307, all of which are connected to each other by an internal signal line 304 such as a bus.

プロセッサ301、補助記憶装置302、メモリ303、内部信号線304、表示装置305、入出力インターフェース306、及び通信インターフェース307のハードウェアとしての説明は、プロセッサ101、補助記憶装置102、メモリ103、内部信号線104、表示装置105、入出力インターフェース106、及び通信インターフェース107のハードウェアとしての説明と同様であるため説明を省略する。 The hardware description of the processor 301, auxiliary storage device 302, memory 303, internal signal line 304, display device 305, input/output interface 306, and communication interface 307 is the same as the hardware description of the processor 101, auxiliary storage device 102, memory 103, internal signal line 104, display device 105, input/output interface 106, and communication interface 107, so the description will be omitted.

プロセッサ301は第1検知部311と第2検知部312を含む。例えば、プロセッサ301は、メモリ303にロードされた第1検知プログラムに従って動作することで、第1検知部311として機能し、メモリ303にロードされた第2検知プログラムに従って動作することで、第2検知部312として機能する。 The processor 301 includes a first detection unit 311 and a second detection unit 312. For example, the processor 301 functions as the first detection unit 311 by operating according to a first detection program loaded into the memory 303, and functions as the second detection unit 312 by operating according to a second detection program loaded into the memory 303.

第1検知部311は、評価対象データが敵対的データ(AE攻撃を受けたデータであるか)であるかの最終判定を行う。第2検知部312は、評価対象データが敵対的データであるか敵対的データである可能性があるかを判定し、敵対的データである可能性があるかを判定した場合に、第1検知部311に最終判定を依頼する。なお、実施例1のプロセッサ301は第2検知部312を含まなくてもよい。 The first detection unit 311 makes a final determination as to whether the data to be evaluated is hostile data (data subjected to an AE attack). The second detection unit 312 determines whether the data to be evaluated is hostile data or has the possibility of being hostile data, and requests the first detection unit 311 to make a final determination if it has determined that the data is likely to be hostile data. Note that the processor 301 of the first embodiment does not need to include the second detection unit 312.

図5は、データ送信端末400のハードウェア構成例を示すブロック図である。データ送信端末400は例えば、互いにバス等の内部信号線404で連結された、プロセッサ(CPU)401、補助記憶装置402、メモリ403、表示装置405、入出力インターフェース406、及び通信インターフェース407を有する計算機によって構成される。 Figure 5 is a block diagram showing an example of the hardware configuration of the data transmission terminal 400. The data transmission terminal 400 is composed of a computer having a processor (CPU) 401, an auxiliary storage device 402, a memory 403, a display device 405, an input/output interface 406, and a communication interface 407, which are connected to each other by an internal signal line 404 such as a bus.

プロセッサ401、補助記憶装置402、メモリ403、内部信号線404、表示装置405、入出力インターフェース406、及び通信インターフェース407のハードウェアとしての説明は、プロセッサ101、補助記憶装置102、メモリ103、内部信号線104、表示装置105、入出力インターフェース106、及び通信インターフェース107のハードウェアとしての説明と同様であるため説明を省略する。 The hardware description of the processor 401, auxiliary storage device 402, memory 403, internal signal line 404, display device 405, input/output interface 406, and communication interface 407 is the same as the hardware description of the processor 101, auxiliary storage device 102, memory 103, internal signal line 104, display device 105, input/output interface 106, and communication interface 107, so the description will be omitted.

データ送信端末400の補助記憶装置402は、評価対象データ421を保持する。なお、評価対象データ421は、データ送信端末400のメモリ403に格納されていてもよい。 The auxiliary storage device 402 of the data transmission terminal 400 holds the evaluation target data 421. The evaluation target data 421 may be stored in the memory 403 of the data transmission terminal 400.

データ受信端末500のハードウェア構成例は、図5のデータ送信端末400のハードウェア構成例と同様であるため説明を省略する。 The hardware configuration example of the data receiving terminal 500 is similar to the hardware configuration example of the data sending terminal 400 in Figure 5, so the explanation is omitted.

図6は、敵対的データ検知処理の一例を示すシーケンス図である。まず、データ送信端末400は、評価対象データをノイズ付加サーバ100へ送信する(S601)。画像データは、評価対象データの一例である。 Figure 6 is a sequence diagram showing an example of the hostile data detection process. First, the data transmission terminal 400 transmits evaluation target data to the noise-added server 100 (S601). Image data is an example of evaluation target data.

データ拡張部111は、受信した評価対象データに対してデータ拡張を行うことで複数の拡張評価対象データを生成する(S602)。ステップS602の処理の一例について説明する。例えば、拡張評価対象データの生成数を示すパラメータnが予め設定されてメモリ103に格納されている。データ拡張部111は、例えば、n種類の異なるノイズを生成し、1つの評価対象データにn種類のノイズそれぞれを付加することで、n個の拡張評価対象データを生成する。データ拡張部111が生成するノイズは、例えば、評価対象データと同じ次元数の数値ベクトルである。また、データ拡張部111は、例えば、ガウス分布等の所定の確率分布に従って、ノイズを生成する。 The data expansion unit 111 generates multiple pieces of extended evaluation target data by performing data expansion on the received evaluation target data (S602). An example of the processing of step S602 will be described. For example, a parameter n indicating the number of extended evaluation target data to be generated is set in advance and stored in the memory 103. The data expansion unit 111 generates n different types of noise, for example, and adds each of the n types of noise to one piece of evaluation target data to generate n pieces of extended evaluation target data. The noise generated by the data expansion unit 111 is, for example, a numerical vector with the same number of dimensions as the evaluation target data. In addition, the data expansion unit 111 generates noise according to a predetermined probability distribution, such as a Gaussian distribution.

ノイズ付加部112と評価部211は相互に通信して、評価対象データに対する評価値の計算と、拡張評価対象データに対する評価値の計算と、ステップS602で生成された拡張評価対象データに対するノイズ付加と、ノイズが付加された拡張評価対象データに対する評価値の計算と、を行う(S603)。 The noise addition unit 112 and the evaluation unit 211 communicate with each other to calculate an evaluation value for the evaluation target data, calculate an evaluation value for the extended evaluation target data, add noise to the extended evaluation target data generated in step S602, and calculate an evaluation value for the extended evaluation target data with noise added (S603).

例えば、ノイズ付加部112はn個の拡張評価対象データそれぞれに対し異なるノイズを生成し付加することでn個の拡張評価対象データそれぞれを更新し、評価部211は更新後のn個の拡張データそれぞれについて評価値を算出する。なお、ノイズ付加部112は、例えば、ガウス分布、一様分布、又はラプラス分布等の所定の確率分布に従ってノイズを生成してもよいし、評価部211により計算される評価値を意図的に変化させるようなノイズを生成してもよい。評価値を意図的に変化させるノイズとして、例えば、敵対的データ作成時に生成されるノイズと同様の手法で生成されるノイズが使用される。 For example, the noise addition unit 112 updates each of the n pieces of extended evaluation target data by generating and adding a different noise to each of the n pieces of extended evaluation target data, and the evaluation unit 211 calculates an evaluation value for each of the n pieces of extended data after updating. Note that the noise addition unit 112 may generate noise according to a predetermined probability distribution such as a Gaussian distribution, a uniform distribution, or a Laplace distribution, or may generate noise that intentionally changes the evaluation value calculated by the evaluation unit 211. As noise that intentionally changes the evaluation value, for example, noise generated by a method similar to that used for noise generated when creating adversarial data is used.

本実施形態において、評価部211は、例えば、深層学習を用いて生成された学習済みモデルに更新後のn個の拡張評価対象データを入力して得られたクラスを評価値として算出する。なお、当該学習済みモデルは、深層学習を行う際に訓練データに対しリサイズやパディング等の処理を施したデータを学習させることで、ロバスト性を向上させた学習済みモデルであってもよい。なお、この学習済みモデルは、例えば、メモリ203に予め格納されている。 In this embodiment, the evaluation unit 211, for example, inputs the updated n pieces of extended evaluation target data into a trained model generated using deep learning, and calculates the class obtained as an evaluation value. Note that the trained model may be a trained model with improved robustness by training data that has been resized, padded, or otherwise processed when performing deep learning. Note that this trained model is, for example, stored in advance in the memory 203.

なお、ステップS603におけるn個の拡張評価対象データそれぞれの更新処理と更新後のn個の拡張評価対象データそれぞれの評価値算出処理は、所定条件が満たされるまで繰り返し実行される。評価部211は、ステップS603で最終的に算出された拡張評価対象データそれぞれの評価値を検知サーバ300へ送信する(S604)。なお、ステップS603とステップS604の処理の詳細は図7を用いて後述する。 The update process for each of the n pieces of extended evaluation target data in step S603 and the calculation process for the evaluation value for each of the n pieces of extended evaluation target data after the update are repeated until a predetermined condition is satisfied. The evaluation unit 211 transmits the evaluation value for each piece of extended evaluation target data finally calculated in step S603 to the detection server 300 (S604). Details of the processes in steps S603 and S604 will be described later with reference to FIG. 7.

第1検知部311は、ステップS604で受信した評価値を用いて、ステップS601で送信された評価対象データが、敵対的データであるか否か判定する(S605)。ステップS605の処理の詳細は図8を用いて後述する。 The first detection unit 311 uses the evaluation value received in step S604 to determine whether the evaluation target data transmitted in step S601 is hostile data (S605). Details of the processing in step S605 will be described later with reference to FIG. 8.

第1検知部311は、評価対象データが敵対的データであると判定した場合(S605:Yes)、評価対象データの評価値をデータ送信端末400に送信せず、当該評価値の送信を拒否することを示す通知(判定結果:reject)をデータ送信端末400に送信する(S606)。第1検知部311は、評価対象データが敵対的データでないと判定した場合(S605:No)、評価対象データの評価値を、データ受信端末500に送信して(S607)、敵対的データ検知処理が終了する。 When the first detection unit 311 determines that the evaluation target data is hostile data (S605: Yes), it does not transmit the evaluation value of the evaluation target data to the data sending terminal 400, and transmits a notification (determination result: reject) to the data sending terminal 400 indicating that the transmission of the evaluation value is rejected (S606). When the first detection unit 311 determines that the evaluation target data is not hostile data (S605: No), it transmits the evaluation value of the evaluation target data to the data receiving terminal 500 (S607), and the hostile data detection process ends.

なお、第1検知部311は、ステップS803において評価対象データが敵対的データであると判定した場合に、ステップS606において、当該評価値の送信を拒否することを示す通知(判定結果:reject)をデータ送信端末400に送信せずに、ステップS603で最終的に算出された拡張評価対象データそれぞれの評価値をデータ受信端末500に送信してもよい。 If the first detection unit 311 determines in step S803 that the evaluation target data is hostile data, it may transmit the evaluation value of each of the extended evaluation target data finally calculated in step S603 to the data receiving terminal 500 in step S606 without transmitting a notification (determination result: reject) to the data sending terminal 400 indicating that the transmission of the evaluation value is rejected.

図7は、ステップS603及びステップS604における、拡張評価対象データ更新処理の一例を示すフローチャートである。評価部211は、ステップS601で受け取った評価対象データDの評価値Evalを計算する(S701)。つまり、評価部211は、評価対象データDを上記した学習済みモデルに入力して得られた評価対象データDのクラスを評価値Evalとして計算する。 Figure 7 is a flowchart showing an example of the extended evaluation target data update process in steps S603 and S604. The evaluation unit 211 calculates an evaluation value Eval of the evaluation target data D received in step S601 (S701). In other words, the evaluation unit 211 calculates the class of the evaluation target data D obtained by inputting the evaluation target data D into the trained model described above as the evaluation value Eval.

評価部211は、i=1,・・・,nそれぞれについてi=1から順に、下記のステップS702~ステップS705の処理を実行する。評価部211は、n個の拡張評価対象データ{D,・・・,D}に含まれるDの評価値AEEvalを計算する(S702)。評価部211は、Eval=AEEvalであるかを判定する(S703)。 The evaluation unit 211 executes the following steps S702 to S705 for each of i=1, ..., n, starting from i=1. The evaluation unit 211 calculates an evaluation value AEEval i of D i included in n pieces of extended evaluation target data {D 1 , ..., D n } (S702). The evaluation unit 211 determines whether Eval=AEEval i (S703).

評価部211は、Eval=AEEvalであると判定した場合(S703:Yes)、ノイズ付加部112はDにノイズを付加することでDを更新し(S704)、ステップS702に戻って更新後のDに対して評価値を再度計算する。なお、ステップS704におけるノイズ付加の方法は、ステップS602におけるノイズ付加の方法と同じであっても異なってもよい。 When the evaluation unit 211 determines that Eval=AEEval i (S703: Yes), the noise addition unit 112 updates Di by adding noise to Di (S704), and the process returns to step S702 to recalculate the evaluation value for the updated Di. Note that the method of adding noise in step S704 may be the same as or different from the method of adding noise in step S602.

評価部211は、Eval=AEEvalでないと判定した場合(S703:No)、直近のステップS902で算出した評価値AEEvalを、例えば、メモリ203に保存して(S705)、iの値をインクリメントしてステップS902に戻る。 If the evaluation unit 211 determines that Eval=AEEval i is not satisfied (S703: No), the evaluation unit 211 stores the evaluation value AEEval i calculated in the most recent step S902 in, for example, the memory 203 (S705), increments the value of i, and returns to step S902.

なお、Eval=AEEvalであることは、評価対象データDのクラスとDのクラスとが一致していること、即ちDにノイズが付加されて生成されたにも関わらずクラスが変化していないことを示す。一方、Eval=AEEvalでないことは、評価対象データDのクラスとDのクラスとが一致していないこと、即ちDにノイズが付加されてクラスが変化したことを示す。 Note that Eval=AEEval i indicates that the class of the evaluation target data D and the class of Di match, that is, the class has not changed even though noise has been added to D when it was generated. On the other hand, if Eval=AEEval i is not true, the class of the evaluation target data D and the class of Di do not match, that is, noise has been added to D and the class has changed.

なお、評価部211は、Dに対して所定回数以上のステップS704の処理が行われてもステップS705においてEval=AEEvalであると判定した場合には、このDに対するステップS702~ステップS704の処理を終了して(即ちこのDに対する最終的な評価値を算出することなく)、iをインクリメントしてもよいし、データ送信端末400にエラーを送信して敵対的データ検知処理を終了してもよい。 In addition, if the evaluation unit 211 determines in step S705 that Eval = AEEval i even after the processing of step S704 has been performed a predetermined number of times or more for Di , it may end the processing of steps S702 to S704 for this Di (i.e., without calculating a final evaluation value for this Di ) and increment i, or it may send an error to the data sending terminal 400 and end the hostile data detection processing.

i=1,・・・,nそれぞれに対してステップS705の処理が完了したら、評価部211は、メモリ203に保存されたAEEval,・・・,AEEvalを検知サーバ300に送信して(S604)、拡張評価対象データ更新処理が終了する。 When the process of step S705 is completed for each of i=1, . . . , n, the evaluation unit 211 transmits AEEval 1 , . . . , AEEval n stored in the memory 203 to the detection server 300 (S604), and the extended evaluation target data update process ends.

図8は、ステップS604及びステップS605における敵対的データ判定処理の一例を示すフローチャートである。第1検知部311は、評価値{AEEval,…,AEEval}を受け取る(S604)。第1検知部311は、AEEval,・・・,AEEvalからなる評価値群における最頻値の度数Numを求める(S801)。 8 is a flowchart showing an example of the hostile data determination process in steps S604 and S605. The first detection unit 311 receives the evaluation values {AEEval 1 , ..., AEEval n } (S604). The first detection unit 311 calculates the frequency Num of the most frequent value in the evaluation value group consisting of AEEval 1 , ..., AEEval n (S801).

第1検知部311は、Numをデータ数nで割った値が、予め定められた閾値qより大きいかを判定する(S802)。なお、閾値qは、例えば、メモリ303に予め格納されている。第1検知部311は、Numをデータ数nで割った値が、予め定められた閾値qより大きいと判定した場合(S802:Yes)、評価対象データが敵対的データであると判定して(S803)、敵対的データ判定処理を終了する。 The first detection unit 311 determines whether the value obtained by dividing Num by the number of data n is greater than a predetermined threshold value q (S802). The threshold value q is, for example, stored in advance in the memory 303. If the first detection unit 311 determines that the value obtained by dividing Num by the number of data n is greater than the predetermined threshold value q (S802: Yes), it determines that the evaluation target data is hostile data (S803) and ends the hostile data determination process.

第1検知部311は、Numをデータ数nで割った値が、予め定められた閾値q以下であると判定した場合(S802:No)、評価対象データが敵対的データでないと判定して(S804)、敵対的データ判定処理を終了する。 If the first detection unit 311 determines that the value obtained by dividing Num by the number of data n is equal to or less than a predetermined threshold value q (S802: No), it determines that the data to be evaluated is not hostile data (S804) and ends the hostile data determination process.

図8の例では、第1検知部311は、AEEval,・・・,AEEvalからなる評価値群における最頻値の度数Numを敵対的データの検知に用いているが、Numは敵対的データを検知するための指標の一例に過ぎず、AEEval,・・・,AEEvalの偏りを示す指標であれば上記したNumと異なる指標を用いてもよい。第1検知部311は、例えば、AEEval,・・・,AEEvalからなる評価値群において度数が上位n位までの評価値の度数の合計をNumとして用いてもよいし、AEEval,・・・,AEEvalそれぞれを出力したデータ数に関する分散を敵対的データの検知に用いてもよい。 8, the first detection unit 311 uses the frequency Num of the most frequent value in the evaluation value group consisting of AEEval 1 , ..., AEEval n to detect hostile data, but Num is merely one example of an index for detecting hostile data, and an index other than the above-mentioned Num may be used as long as it is an index indicating the bias of AEEval 1 , ..., AEEval n . For example, the first detection unit 311 may use as Num the sum of the frequencies of the evaluation values with the highest frequencies of the nth highest in the evaluation value group consisting of AEEval 1 , ..., AEEval n, or may use the variance regarding the number of data output for each of AEEval 1 , ..., AEEval n to detect hostile data.

上記した分散の一例について説明する。第1検知部311は、AEEval,・・・,AEEvalのからなる評価値群に含まれる評価値の度数を算出し、算出した度数の分散を算出する。例えば、拡張評価対象データの個数が10個であり、拡張評価対象データの評価値として取り得る値が、0又は1のいずれかであるとする。さらに、AEEval~AEEval10の値がいずれも1であるとする。この場合、評価値0の度数が0であり、評価値1の度数が10である。このとき第1検知部311は、例えば、(平均)=(拡張評価対象データの個数)/(評価値として取り得る値の個数)を算出し(つまり10/2=5を算出し)、評価値として取り得る各値について(平均-度数)2-を算出して(つまり、(5-0)=25と、(5-10)=25と、を算出して)、算出した((平均)-度数))の総和を拡張評価対象データの個数で割った値(つまり、(25+25)/10=5)を分散として算出する。第1検知部311は、算出した分散が予め定められた閾値r以下であると判定した場合、評価対象データが敵対的データでないと判定し、算出した分散が予め定められた閾値rより大きいと判定した場合、評価対象データが敵対的データであると判定する。 An example of the above-mentioned variance will be described. The first detection unit 311 calculates the frequency of the evaluation values included in the evaluation value group consisting of AEEval 1 , ..., AEEval n , and calculates the variance of the calculated frequencies. For example, it is assumed that the number of extended evaluation target data is 10, and the value that can be taken as the evaluation value of the extended evaluation target data is either 0 or 1. Furthermore, it is assumed that the values of AEEval 1 to AEEval 10 are all 1. In this case, the frequency of evaluation value 0 is 0, and the frequency of evaluation value 1 is 10. At this time, the first detection unit 311 calculates, for example, (average) = (number of extended evaluation target data) / (number of values that can be taken as evaluation values) (i.e., calculates 10/2 = 5), calculates (average - frequency) 2- for each value that can be taken as an evaluation value (i.e., calculates (5-0) 2 = 25 and (5-10) 2 = 25), and calculates the sum of the calculated ((average) - frequency) 2 divided by the number of extended evaluation target data (i.e., (25 + 25) / 10 = 5) as the variance. If the first detection unit 311 determines that the calculated variance is equal to or less than a predetermined threshold r, it determines that the evaluation target data is not hostile data, and if the calculated variance is greater than the predetermined threshold r, it determines that the evaluation target data is hostile data.

図9は、敵対的データ検知処理の概要の一例を示す説明図である。図9の例では、評価対象データが画像である例を説明する。人間が当該画像を見ると当該画像が猫の画像であると認識するが、評価部211がモデルに当該画像を入力すると当該画像が馬の画像であると誤認識する。つまり図9の評価対象データは敵対的データである。 Figure 9 is an explanatory diagram showing an example of an overview of the adversarial data detection process. In the example of Figure 9, an example is described in which the data to be evaluated is an image. When a human looks at the image, he or she recognizes it as an image of a cat, but when the evaluation unit 211 inputs the image into the model, the image is mistakenly recognized as an image of a horse. In other words, the data to be evaluated in Figure 9 is adversarial data.

この場合、評価対象データである画像は人間からの見た目は猫の画像であるため、評価対象データである画像にノイズが付加されれば、当該ノイズが付加された画像が当該モデルに入力された分類結果は猫の画像である可能性が高い。 In this case, the image data to be evaluated looks like an image of a cat to humans, so if noise is added to the image data to be evaluated, the classification result when the image with the added noise is input into the model is likely to be an image of a cat.

データ拡張部111は、画像に異なるノイズを付加することで、複数の画像(拡張評価対象データ)を生成する(S602)。ノイズ付加部112は、複数の画像それぞれに対して、評価部211による評価値(即ち画像をモデルに入力したときに出力される分類結果)が変化するまでノイズを付加する(S603)。 The data expansion unit 111 generates multiple images (extended evaluation target data) by adding different noises to the images (S602). The noise addition unit 112 adds noise to each of the multiple images until the evaluation value by the evaluation unit 211 (i.e., the classification result output when the image is input to the model) changes (S603).

第1検知部311は、変化後の評価値の偏りを示す指標(Num)を計算し、偏りが大きいと判定した場合、(敵対的データである馬の画像に様々なノイズが付加されると、元画像である猫の画像に変化すると考えられるため)、評価対象データが敵対的データであると判定する。 The first detection unit 311 calculates an index (Num) that indicates the bias of the evaluation value after the change, and if it determines that the bias is large, it determines that the data to be evaluated is hostile data (because it is believed that when various noises are added to the image of a horse, which is hostile data, it will change into the original image, which is an image of a cat).

図9の例において、閾値qを0.5とすれば、変化後の4つの評価値のうち3つの評価値が猫の画像であるため、Num/n=3/4>0.5であるため、第1検知部311は、評価対象データが敵対的データであると判定する。 In the example of Figure 9, if the threshold value q is 0.5, three of the four evaluation values after the change are images of a cat, and therefore Num/n = 3/4 > 0.5, so the first detection unit 311 determines that the evaluation target data is hostile data.

以上、本実施例の敵対的データ検知システムは、前述の処理により敵対的データを高精度かつ少ない計算量で検知することができる。なお、敵対的データがモデルに入力されると正常なデータと異なる評価値を出力するが、敵対的データは、正常なデータに作為的な微小ノイズを加えて作成されたデータである可能性が高い。従って、敵対的データにノイズ付加し続けると元の正常データの評価値を出力するデータに戻りやすい傾向があると期待できる。つまり、変化後の拡張評価対象データの評価値が同じ値になる割合が大きい場合には、当該同じ評価値を有する拡張評価対象データは正常なデータに戻っていると考えられ、本実施例の敵対的データ検知システムはこの性質を利用して評価対象データが敵対的データであるかを判定している。 As described above, the adversarial data detection system of this embodiment can detect adversarial data with high accuracy and small computational complexity through the above-mentioned processing. When adversarial data is input to the model, it outputs an evaluation value different from that of normal data, but it is highly likely that the adversarial data is data created by adding artificially small noise to normal data. Therefore, it can be expected that if noise is continued to be added to the adversarial data, it will tend to return to data that outputs the evaluation value of the original normal data. In other words, if the evaluation value of the expanded evaluation target data after the change is the same value at a high rate, it is considered that the expanded evaluation target data having the same evaluation value has returned to normal data, and the adversarial data detection system of this embodiment uses this property to determine whether the evaluation target data is adversarial data.

具体的には、前述したように、本実施例の敵対的データ検知システムは、拡張評価対象データの評価値が変化するまで拡張評価対象データにノイズを加え続け、変化後の評価値の偏りに基づいて評価対象データが敵対的データであるかを判定する。従って、攻撃者が本実施例の検知手法についての情報を有している場合であっても、モデルの情報を有していて微小なノイズを少ない回数加えても当該モデルによる出力結果が変わらない敵対的データを生成した場合であっても、評価対象データが敵対的データであるかを高精度に検知することができ、ひいては安全性を保つことができる。 Specifically, as described above, the adversarial data detection system of this embodiment continues to add noise to the extended evaluation target data until the evaluation value of the extended evaluation target data changes, and determines whether the evaluation target data is adversarial data based on the bias of the evaluation value after the change. Therefore, even if an attacker has information about the detection method of this embodiment, or has information about a model and generates adversarial data in which the output result of the model does not change even if a small amount of noise is added a small number of times, it is possible to detect with high accuracy whether the evaluation target data is adversarial data, and thus security can be maintained.

また、ノイズ付加部112は、ステップS603において、毎回ガウス分布に従ってノイズを生成する等のように各拡張評価対象データに対して同一のアルゴリズムから生成したノイズを付加してもよいし、Dにはガウス分布に従うノイズを付加し、Dには一様分布に従うノイズを付加する等のように、異なる拡張評価対象データに異なるアルゴリズムから生成したノイズを付加してもよい。また、ステップS603において、検知サーバ300からデータ受信端末500へ送信される評価対象データの評価値の計算は、ステップS602において事前に実行されてもよいし、ステップS613の直前に実行されてもよい(ステップS601より後かつステップS613より前の任意のタイミングで行われればよい)。 In addition, in step S603, the noise adding unit 112 may add noise generated from the same algorithm to each extended evaluation target data, such as generating noise according to a Gaussian distribution each time, or may add noise generated from different algorithms to different extended evaluation target data, such as adding noise according to a Gaussian distribution to D1 and adding noise according to a uniform distribution to D2 . In addition, in step S603, the calculation of the evaluation value of the evaluation target data transmitted from the detection server 300 to the data receiving terminal 500 may be performed in advance in step S602, or may be performed immediately before step S613 (it may be performed at any timing after step S601 and before step S613).

本実施例では、敵対的データ検知処理の別例を説明する。本実施例の敵対的データ検知処理では、敵対的データ検知システムは、評価対象データにノイズを付加して最初に生成した拡張評価対象データに対する評価値に基づいて評価対象データが敵対的データであるかを判定し(第1の判定)、評価対象データが敵対的データであると判定した場合、さらに実施例1で説明したステップS603~ステップS607の判定処理(第2の判定)を実行する。 In this embodiment, another example of the adversarial data detection process will be described. In the adversarial data detection process of this embodiment, the adversarial data detection system determines whether the evaluation target data is adversarial data based on the evaluation value for the extended evaluation target data that is first generated by adding noise to the evaluation target data (first determination), and if it determines that the evaluation target data is adversarial data, it further executes the determination process (second determination) of steps S603 to S607 described in the first embodiment.

図10は、敵対的データ検知処理の一例を示すシーケンス図である。図6との相違点を主に説明する。ステップS602に続いて、データ拡張部111は、生成した拡張評価対象データと評価対象データとを、評価サーバ200に送信する(S1001)。 Figure 10 is a sequence diagram showing an example of the adversarial data detection process. The differences from Figure 6 will be mainly explained. Following step S602, the data extension unit 111 transmits the generated extended evaluation target data and the evaluation target data to the evaluation server 200 (S1001).

評価部211は、ステップS1001で受信した評価対象データ及び拡張評価対象データそれぞれの評価値を計算する(S1002)。評価部211は、ステップS1002で計算した評価値を、検知サーバ300に送信する(S1003)。第2検知部312は、ステップS1003で受信した評価値を用いて、評価対象データが敵対的データであるか敵対的データでない可能性があるかを判定する(S1004)。ステップS1004の処理の詳細は、図11を用いて後述する。 The evaluation unit 211 calculates an evaluation value for each of the evaluation target data and the extended evaluation target data received in step S1001 (S1002). The evaluation unit 211 transmits the evaluation value calculated in step S1002 to the detection server 300 (S1003). The second detection unit 312 uses the evaluation value received in step S1003 to determine whether the evaluation target data is likely to be hostile data or not (S1004). Details of the processing in step S1004 will be described later with reference to FIG. 11.

第2検知部312は、評価対象データが敵対的データであると判定した場合(S1004:Yes)、評価対象データの評価値をデータ送信端末400に送信せず、当該評価値の送信を拒否することを示す通知(判定結果:reject)をデータ送信端末400に送信して(S1005)、敵対的データ検知処理が終了する。第2検知部312は、敵対的データでない可能性があると判定した場合(S1004:No)、第2の判定に移行すること(及び/又は評価対象データが敵対的データでない可能性があること)を示す通知(判定結果:accept)をノイズ付加サーバ100に送信し(S1006)、ステップS603~ステップS607の処理(第2の判定)が行われて、敵対的データ検知処理が終了する。 If the second detection unit 312 determines that the evaluation target data is hostile data (S1004: Yes), it does not transmit the evaluation value of the evaluation target data to the data transmission terminal 400, and transmits a notification (determination result: reject) to the data transmission terminal 400 indicating that the transmission of the evaluation value is rejected (S1005), and the hostile data detection process ends. If the second detection unit 312 determines that the data is not likely to be hostile data (S1004: No), it transmits a notification (determination result: accept) to the noise addition server 100 indicating that the data will proceed to a second determination (and/or that the evaluation target data is not likely to be hostile data) (S1006), and the processes of steps S603 to S607 (second determination) are performed, and the hostile data detection process ends.

なお、D(i=1,・・・,n)それぞれに対する初回のステップS702において算出されるDの評価値は、ステップS1002で算出される拡張評価対象データそれぞれの評価値と同一であるため、D(i=1,・・・,n)それぞれに対する初回のステップS702の処理は省略されてもよい。 In addition, since the evaluation value of Di calculated in the first step S702 for each Di (i = 1, ..., n) is the same as the evaluation value of each extended evaluation target data calculated in step S1002, the processing of the first step S702 for each Di (i = 1, ..., n) may be omitted.

図11はステップS1004における敵対的データ判定処理(第2の判定)の一例を示すフローチャートである。第2検知部312は、評価対象データに対する評価値Evalと拡張評価対象データに対する評価値{Eval,…,Eval}を受け取る(S1003)。第2検知部312は、Eval≠Eval(i=1,…n)となる拡張評価対象データの個数Numを求める(S1101)。第2検知部312は、Numを拡張評価対象データの個数nで割った値が予め定められた閾値pより小さいと判定する(S1102)。なお、閾値pは、例えば、メモリ303に予め格納されている。 11 is a flowchart showing an example of the adversarial data determination process (second determination) in step S1004. The second detection unit 312 receives an evaluation value Eval for the evaluation target data and an evaluation value {Eval 1 , ..., Eval n } for the extended evaluation target data (S1003). The second detection unit 312 obtains the number Num of extended evaluation target data for which Eval ≠ Eval i (i = 1, ... n) (S1101). The second detection unit 312 determines that the value obtained by dividing Num by the number n of extended evaluation target data is smaller than a predetermined threshold p (S1102). The threshold p is, for example, stored in advance in the memory 303.

第2検知部312は、Numを拡張評価対象データの個数nで割った値が予め定められた閾値pより小さいと判定した場合(S1102:Yes)、評価対象データは敵対的データであると判定して(S1103)、敵対的データ判定処理を終了する。第2検知部312は、Numを拡張評価対象データの個数nで割った値が予め定められた閾値p以上であると判定した場合(S1102:No)、評価対象データが敵対的データでない可能性があると判定して(S1104)、敵対的データ判定処理を終了する。 When the second detection unit 312 determines that the value obtained by dividing Num by the number n of data to be subjected to extended evaluation is smaller than a predetermined threshold p (S1102: Yes), it determines that the data to be subjected to evaluation is hostile data (S1103) and ends the hostile data determination process. When the second detection unit 312 determines that the value obtained by dividing Num by the number n of data to be subjected to extended evaluation is equal to or greater than the predetermined threshold p (S1102: No), it determines that the data to be subjected to evaluation may not be hostile data (S1104) and ends the hostile data determination process.

なお、第2検知部312は、ステップS1102において、評価値が異なる拡張評価対象データの個数の割合を検知に用いているが、他の指標を検知に用いてもよい。第2検知部312は、例えば、ステップS1102において、拡張評価対象データそれぞれの評価値の、評価対象データの評価値からの変化量をカウントし、当該変化量の平均値をNumの代わりに用いてもよい。 Note that in step S1102, the second detection unit 312 uses the proportion of the number of extended evaluation target data with different evaluation values for detection, but other indices may be used for detection. For example, in step S1102, the second detection unit 312 may count the amount of change in the evaluation value of each extended evaluation target data from the evaluation value of the evaluation target data, and use the average of the amount of change instead of Num.

敵対的データは、正常なデータに作為的な微小ノイズを加えて作成されたデータである可能性が高いため、モデルが出力される評価値が変化する境界に近いデータである可能性が高い。つまり、評価対象データが敵対的データである場合には、評価対象データにノイズが付加された拡張評価対象データの評価値は、評価対象データの評価値と異なる可能性が高い。従って、本実施例の敵対的データ検知システムは、図11の処理で評価対象データと評価値が異なる拡張評価対象データの割合に基づいて、評価対象データが敵対的データであるかを判定することにより、効率的に敵対的データを検知することができる。 Since hostile data is likely to be data created by adding artificial minute noise to normal data, it is likely to be data close to the boundary where the evaluation value output by the model changes. In other words, when the evaluation target data is hostile data, the evaluation value of the extended evaluation target data in which noise has been added to the evaluation target data is likely to be different from the evaluation value of the evaluation target data. Therefore, the adversarial data detection system of this embodiment can efficiently detect adversarial data by determining whether the evaluation target data is adversarial data based on the proportion of extended evaluation target data whose evaluation value differs from that of the evaluation target data in the process of FIG. 11.

なお、上記した例では、敵対的データ検知システムは、第1の判定において評価対象データが敵対的データであると判定した場合に第2の判定により評価対象データが敵対的データであるかの最終的な判定を行うが、第2の判定において評価対象データが敵対的データであると判定した場合に第1の判定による評価対象データが敵対的データであるかの最終的な判定を行ってもよい。 In the above example, if the first judgment determines that the data to be evaluated is adversarial data, the adversarial data detection system makes a final judgment as to whether the data to be evaluated is adversarial data by the second judgment. However, if the second judgment determines that the data to be evaluated is adversarial data, the adversarial data detection system may make a final judgment as to whether the data to be evaluated is adversarial data by the first judgment.

以上、本実施例の敵対的データ検知システムは、本実施例の敵対的データ検知システムは、評価対象データに対して、異なる性質を捉えるための2つの検知手法を用いることにより、より安全性が高くかつ高精度に敵対的データを検知することができる。 As described above, the adversarial data detection system of this embodiment can detect adversarial data more safely and with higher accuracy by using two detection methods to capture different properties of the data to be evaluated.

本実施例は、敵対的データ検知システムのユースケースの一例を説明する。図12は、敵対的データ検知システムの入出力データの一例を示す説明図である。図12の例では、評価対象データが医療画像であり、敵対的データ検知システムは当該医療画像に基づいて、医療画像の被写体の人間が病気であるか、及び病気である場合には被写体の人間がり患している病気の種類を判定する。 This embodiment describes an example of a use case of the adversarial data detection system. FIG. 12 is an explanatory diagram showing an example of input/output data of the adversarial data detection system. In the example of FIG. 12, the data to be evaluated is a medical image, and the adversarial data detection system determines, based on the medical image, whether the human subject of the medical image is sick, and if so, the type of illness the human subject is suffering from.

データ送信端末400は、ステップS601において、医療画像をノイズ付加サーバ100に送信する。ステップS605において、検知サーバ300は、医療画像が敵対的データであると判定した場合、ステップS606において、その旨を示す報告をデータ送信端末400へ送信する。 In step S601, the data transmission terminal 400 transmits a medical image to the noise addition server 100. In step S605, if the detection server 300 determines that the medical image is hostile data, in step S606, it transmits a report to that effect to the data transmission terminal 400.

検知サーバ300は、ステップS605において、医療画像が敵対的データではないと判定した場合、ステップS607において、医療画像に対する評価結果(被写体の人間が病気であるか否か、及び病気である場合には病気の種類を示す分類結果)をデータ受信端末500へ送信する。 If the detection server 300 determines in step S605 that the medical image is not hostile data, in step S607, it transmits the evaluation result for the medical image (whether the subject is sick or not, and if so, the classification result indicating the type of illness) to the data receiving terminal 500.

なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることも可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加や削除、置換をすることが可能である。 The present invention is not limited to the above-described embodiments, but includes various modified examples. For example, the above-described embodiments have been described in detail to clearly explain the present invention, and are not necessarily limited to those having all of the configurations described. It is also possible to replace part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. It is also possible to add, delete, or replace part of the configuration of each embodiment with other configurations.

また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。 The above configurations, functions, processing units, processing means, etc. may be realized in part or in whole in hardware, for example by designing them as integrated circuits. The above configurations, functions, etc. may be realized in software by a processor interpreting and executing a program that realizes each function. Information such as the programs, tables, files, etc. that realize each function can be stored in a memory, a recording device such as a hard disk or SSD (Solid State Drive), or a recording medium such as an IC card, SD card, or DVD.

また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。 In addition, the control lines and information lines shown are those considered necessary for the explanation, and not all control lines and information lines on the product are necessarily shown. In reality, it can be assumed that almost all components are interconnected.

100 ノイズ付加サーバ、200 評価サーバ、300 検知サーバ、400 データ送信端末、500 データ受信端末、101 プロセッサ、102 補助記憶装置、103 メモリ、107 通信インターフェース、111 データ拡張部、112 ノイズ付加部、201 プロセッサ、202 補助記憶装置、203 メモリ、207 通信インターフェース、211 評価部、301 プロセッサ、302 補助記憶装置、303 メモリ、307 通信インターフェース、311 第1検知部、312 第2検知部、401 プロセッサ、402 補助記憶装置、403 メモリ、407 通信インターフェース 100 Noise addition server, 200 Evaluation server, 300 Detection server, 400 Data transmission terminal, 500 Data reception terminal, 101 Processor, 102 Auxiliary storage device, 103 Memory, 107 Communication interface, 111 Data expansion unit, 112 Noise addition unit, 201 Processor, 202 Auxiliary storage device, 203 Memory, 207 Communication interface, 211 Evaluation unit, 301 Processor, 302 Auxiliary storage device, 303 Memory, 307 Communication interface, 311 First detection unit, 312 Second detection unit, 401 Processor, 402 Auxiliary storage device, 403 Memory, 407 Communication interface

Claims (12)

敵対的データ検知装置であって、
プロセッサとメモリとを有し、
前記メモリは、評価対象データと、データが入力されると評価値を出力するモデルと、を保持し、
前記プロセッサは、
前記評価対象データを前記モデルに入力して、前記評価対象データの評価値を算出し、
前記評価対象データに異なるノイズを付加して、複数の拡張評価対象データを生成し、
前記複数の拡張評価対象データに基づいて、第1の判定処理を実行し、
前記第1の判定処理において、
前記複数の拡張評価対象データそれぞれに対して、当該拡張評価対象データの評価値が、前記評価対象データの評価値と一致しないようになるまで、ノイズを加えて当該拡張評価対象データを更新し、
更新後の拡張評価対象データそれぞれの評価値の偏りに基づいて、前記評価対象データが敵対的データであるかを判定する、敵対的データ検知装置。
1. An adversarial data detection device, comprising:
A processor and a memory,
The memory holds evaluation target data and a model that outputs an evaluation value when the data is input,
The processor,
inputting the evaluation target data into the model to calculate an evaluation value of the evaluation target data;
Adding different noises to the evaluation target data to generate a plurality of extended evaluation target data;
Executing a first determination process based on the plurality of extended evaluation target data;
In the first determination process,
updating the extended evaluation target data by adding noise to each of the plurality of extended evaluation target data until the evaluation value of the extended evaluation target data does not match the evaluation value of the evaluation target data;
An adversarial data detection device that determines whether the evaluation target data is adversarial data based on the bias of the evaluation values of each of the updated extended evaluation target data.
請求項1に記載の敵対的データ検知装置であって、
前記プロセッサは、前記複数の拡張評価対象データの個数に占める前記更新後の拡張評価対象データそれぞれの評価値の最頻値の度数が所定の閾値より大きい場合、前記評価対象データが敵対的データであると判定する、敵対的データ検知装置。
2. The adversarial data detection apparatus of claim 1,
The processor determines that the evaluation target data is hostile data when the frequency of the most frequent evaluation value of each of the updated extended evaluation target data among the number of the multiple extended evaluation target data is greater than a predetermined threshold.
請求項1に記載の敵対的データ検知装置であって、
前記プロセッサは、
前記複数の拡張評価対象データそれぞれを前記モデルに入力して、前記複数の拡張評価対象データそれぞれの評価値を算出し、
前記複数の拡張評価対象データそれぞれの評価値と、前記評価対象データの評価値と、が一致する割合に基づいて、前記評価対象データが敵対的データでない可能性があるかを判定する第2の判定処理を実行し、
前記評価対象データが敵対的データでない可能性があると判定した場合、前記第1の判定処理を実行する、敵対的データ検知装置。
2. The adversarial data detection apparatus of claim 1,
The processor,
inputting each of the plurality of extended evaluation target data into the model, and calculating an evaluation value for each of the plurality of extended evaluation target data;
execute a second determination process for determining whether the evaluation target data is likely to be non-hostile data based on a rate of agreement between the evaluation value of each of the plurality of extended evaluation target data and the evaluation value of the evaluation target data;
The adversarial data detection device executes the first determination process when it determines that the evaluation target data is likely not adversarial data.
請求項3に記載の敵対的データ検知装置であって、
前記プロセッサは、前記複数の拡張評価対象データそれぞれの評価値と、前記評価対象データの評価値と、が一致する割合が所定の閾値より小さいときに、前記評価対象データが敵対的データでない可能性があると判定する、敵対的データ検知装置。
4. The adversarial data detection apparatus of claim 3,
The processor determines that the evaluation target data is likely not hostile data when the rate at which the evaluation values of each of the multiple extended evaluation target data match the evaluation value of the evaluation target data is less than a predetermined threshold.
請求項1に記載の敵対的データ検知装置であって、
前記複数の拡張評価対象データの生成において付加されるノイズ、及び前記複数の拡張評価対象データの更新において付加されるノイズは、所定の確率分布に従うノイズ、及び評価値を操作するために生成されたノイズの少なくとも1つを含む、敵対的データ検知装置。
2. The adversarial data detection apparatus of claim 1,
An adversarial data detection device, wherein the noise added in generating the plurality of extended evaluation target data and the noise added in updating the plurality of extended evaluation target data include at least one of noise following a predetermined probability distribution and noise generated to manipulate the evaluation value.
請求項1に記載の敵対的データ検知装置であって、
前記モデルは、深層学習により生成された学習済みモデル、又は深層学習が行われる際に訓練データに対しリサイズ及びパディングの少なくとも1つを含む処理を施したデータを学習させて得られた学習済みモデルである、敵対的データ検知装置。
2. The adversarial data detection apparatus of claim 1,
The model is a trained model generated by deep learning, or a trained model obtained by training data that has been subjected to processing including at least one of resizing and padding when deep learning is performed. Adversarial data detection device.
敵対的データ検知装置による敵対的データ検知方法であって、
前記敵対的データ検知装置は、プロセッサとメモリとを有し、
前記メモリは、評価対象データと、データが入力されると評価値を出力するモデルと、を保持し、
前記敵対的データ検知方法は、
前記プロセッサが、前記評価対象データを前記モデルに入力して、前記評価対象データの評価値を算出し、
前記プロセッサが、前記評価対象データに異なるノイズを付加して、複数の拡張評価対象データを生成し、
前記プロセッサが、前記複数の拡張評価対象データに基づいて、第1の判定処理を実行し、
前記第1の判定処理において、
前記プロセッサが、前記複数の拡張評価対象データそれぞれに対して、当該拡張評価対象データの評価値が、前記評価対象データの評価値と一致しないようになるまで、ノイズを加えて当該拡張評価対象データを更新し、
前記プロセッサが、更新後の拡張評価対象データそれぞれの評価値の偏りに基づいて、前記評価対象データが敵対的データであるかを判定する、敵対的データ検知方法。
An adversarial data detection method by an adversarial data detection device, comprising:
The adversarial data detection device includes a processor and a memory;
The memory holds evaluation target data and a model that outputs an evaluation value when the data is input,
The adversarial data detection method includes:
The processor inputs the evaluation target data into the model and calculates an evaluation value of the evaluation target data;
The processor adds different noises to the evaluation target data to generate a plurality of extended evaluation target data;
The processor executes a first determination process based on the plurality of extended evaluation target data;
In the first determination process,
The processor adds noise to each of the plurality of extended evaluation target data to update the extended evaluation target data until the evaluation value of the extended evaluation target data does not match the evaluation value of the evaluation target data;
The method for detecting hostile data, wherein the processor determines whether the evaluation target data is hostile data based on a bias in the evaluation value of each piece of updated extended evaluation target data.
請求項7に記載の敵対的データ検知方法であって、
前記プロセッサが、前記複数の拡張評価対象データの個数に占める前記更新後の拡張評価対象データそれぞれの評価値の最頻値の度数が所定の閾値より大きい場合、前記評価対象データが敵対的データであると判定する、敵対的データ検知方法。
8. The method of claim 7, further comprising:
The method for detecting adversarial data, wherein the processor determines that the evaluation target data is adversarial data if the frequency of the most frequent evaluation value of each of the updated extended evaluation target data among the number of the multiple extended evaluation target data is greater than a predetermined threshold.
請求項7に記載の敵対的データ検知方法であって、
前記プロセッサが、前記複数の拡張評価対象データそれぞれを前記モデルに入力して、前記複数の拡張評価対象データそれぞれの評価値を算出し、
前記プロセッサが、前記複数の拡張評価対象データそれぞれの評価値と、前記評価対象データの評価値と、が一致する割合に基づいて、前記評価対象データが敵対的データでない可能性があるかを判定する第2の判定処理を実行し、
前記プロセッサが、前記評価対象データが敵対的データでない可能性があると判定した場合、前記第1の判定処理を実行する、敵対的データ検知方法。
8. The method of claim 7, further comprising:
The processor inputs each of the plurality of extended evaluation target data into the model and calculates an evaluation value for each of the plurality of extended evaluation target data;
The processor executes a second determination process to determine whether the evaluation target data is likely to be non-adversarial data based on a rate at which the evaluation value of each of the plurality of extended evaluation target data matches the evaluation value of the evaluation target data;
The method for detecting adversarial data, wherein the processor executes the first determination process when the processor determines that the evaluation target data is likely not adversarial data.
請求項9に記載の敵対的データ検知方法であって、
前記プロセッサが、前記複数の拡張評価対象データそれぞれの評価値と、前記評価対象データの評価値と、が一致する割合が所定の閾値より小さいときに、前記評価対象データが敵対的データでない可能性があると判定する、敵対的データ検知方法。
10. The method of claim 9, further comprising:
The method for detecting hostile data, wherein the processor determines that the evaluation target data is likely not hostile data when the rate at which the evaluation values of each of the plurality of extended evaluation target data match the evaluation value of the evaluation target data is less than a predetermined threshold.
請求項7に記載の敵対的データ検知方法であって、
前記複数の拡張評価対象データの生成において付加されるノイズ、及び前記複数の拡張評価対象データの更新において付加されるノイズは、所定の確率分布に従うノイズ、及び評価値を操作するために生成されたノイズの少なくとも1つを含む、敵対的データ検知方法。
8. The method of claim 7, further comprising:
An adversarial data detection method, wherein the noise added in generating the multiple extended evaluation target data and the noise added in updating the multiple extended evaluation target data include at least one of noise following a predetermined probability distribution and noise generated to manipulate the evaluation value.
請求項7に記載の敵対的データ検知方法であって、
前記モデルは、深層学習により生成された学習済みモデル、又は深層学習が行われる際に訓練データに対しリサイズ及びパディングの少なくとも1つを含む処理を施したデータを学習させて得られた学習済みモデルである、敵対的データ検知方法。
8. The method of claim 7, further comprising:
The adversarial data detection method, wherein the model is a trained model generated by deep learning, or a trained model obtained by training data that has been subjected to processing including at least one of resizing and padding when deep learning is performed.
JP2021165477A 2021-10-07 2021-10-07 Adversarial data detection device and adversarial data detection method Active JP7564074B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021165477A JP7564074B2 (en) 2021-10-07 2021-10-07 Adversarial data detection device and adversarial data detection method
PCT/JP2022/036690 WO2023058569A1 (en) 2021-10-07 2022-09-30 Adversarial data detection device and adversarial data detection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021165477A JP7564074B2 (en) 2021-10-07 2021-10-07 Adversarial data detection device and adversarial data detection method

Publications (3)

Publication Number Publication Date
JP2023056241A JP2023056241A (en) 2023-04-19
JP2023056241A5 JP2023056241A5 (en) 2024-03-27
JP7564074B2 true JP7564074B2 (en) 2024-10-08

Family

ID=85803412

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021165477A Active JP7564074B2 (en) 2021-10-07 2021-10-07 Adversarial data detection device and adversarial data detection method

Country Status (2)

Country Link
JP (1) JP7564074B2 (en)
WO (1) WO2023058569A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021131029A1 (en) 2019-12-27 2021-07-01 日本電気株式会社 Filter generation device, estimation device, facial authentication system, filter generation method, and recording medium
WO2021161423A1 (en) 2020-02-12 2021-08-19 日本電信電話株式会社 Detection device, detection method, and detection program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021131029A1 (en) 2019-12-27 2021-07-01 日本電気株式会社 Filter generation device, estimation device, facial authentication system, filter generation method, and recording medium
WO2021161423A1 (en) 2020-02-12 2021-08-19 日本電信電話株式会社 Detection device, detection method, and detection program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ROTH,K et al.,The Odds are Odd:A Statistical Test for Detecting Adversarial Examples,Proceedings of the 36th International Conference on Machine Learning[online],2019年,http://proceedings.mlr.press/v97/roth19a/roth19a.pdf

Also Published As

Publication number Publication date
JP2023056241A (en) 2023-04-19
WO2023058569A1 (en) 2023-04-13

Similar Documents

Publication Publication Date Title
JP6530786B2 (en) System and method for detecting malicious elements of web pages
EP3602369B1 (en) Anomaly detection for computer systems
JP7112475B2 (en) Duplicate document detection method and system using vector quantization
KR20220107302A (en) Distance Metrics and Clustering in Recurrent Neural Networks
JP2020505707A (en) Continuous learning for intrusion detection
WO2018179765A1 (en) Information processing device, information processing method, and computer-readable storage medium
CN112052451A (en) Webshell detection method and device
US20230138458A1 (en) Machine learning system and method
US20240338445A1 (en) Applying diffusion models in adversarial purification and adversarial sample generation in cybersecurity
Thakare et al. [Retracted] Classification of Bioinformatics EEG Data Signals to Identify Depressed Brain State Using CNN Model
Tuncer et al. Automated malware recognition method based on local neighborhood binary pattern
KR102255600B1 (en) Malware documents detection device and method using generative adversarial networks
CN121713174A (en) Methods and systems for watermarking digital data cross-references
JP2024502153A (en) Training device, classification device, training method, classification method, and program
CN109213972B (en) Method, device, equipment and computer storage medium for determining document similarity
KR102258910B1 (en) Method and System for Effective Detection of Ransomware using Machine Learning based on Entropy of File in Backup System
JP7564074B2 (en) Adversarial data detection device and adversarial data detection method
JP7548307B2 (en) Assessment device, alternative model creation device, assessment method and program
JP7492088B2 (en) Weighted knowledge transfer apparatus, method and system
CN119628878B (en) An abnormal flow detection method, device, electronic equipment, and storage medium
CN116432014A (en) Method and device for generating an adversarial example
CN113378118B (en) Method, device, electronic device and computer storage medium for processing image data
JP2022188894A (en) Association rule generation program, device, and method
CN111310176A (en) Intrusion detection method and device based on feature selection
CN115277065B (en) Anti-attack method and device in abnormal traffic detection of Internet of things

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240318

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240926

R150 Certificate of patent or registration of utility model

Ref document number: 7564074

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150