卒業研究進捗報告

Transcript

1. 卒業研究中間発表 表形式データの 敵対的サンプル生成 東京都市大学 メディア情報学部 4年 三川研究室 有馬祥太

2. 本日の伝えたいこと  中間発表の説明の補足  今日までの進捗 2

3. 0. 目次 1. 背景 2. 先行研究 3. 結果 4. 考察・今後

   3

4. 1. 背景 近年サービスの機械学習を使用した機能が多く誕生されている - 推薦システム - 不正検知システム - 自動運転システム などなど…

   4

5. 1. 背景 これらのシステムは、セキュリティリスクの懸念が指摘される その一つに敵対的サンプルによる誤分類問題が挙げられる この問題を解決する機械学習を敵対的学習と呼ばれる 敵対的学習とは… 既存の機械学習システムを誤分類するように仕向ける敵対的サンプルに対す る防御手法 敵対的サンプル… 入力データに微小なノイズを加えて操作し、特徴量を変化させるもの

   5

6. 1. 背景 6 下のような動物の写真をもとに動物を判断するシステムを考える 出所：Ian J. Goodfellow et al. “Explaining

   and Harnessing Adversarial Examples,” International Conference on Learning Representations (ICLR), 2015. https://research.google/pubs/pub43405/ パンダ 入力

7. 1. 背景 7 ノイズが加わえたパンダ画像を生成 →敵対的サンプル(摂動されたデータ) 敵対的サンプルにより、 テナガザルと誤分類を引き起こす 出所：Ian J. Goodfellow

   et al. “Explaining and Harnessing Adversarial Examples,” International Conference on Learning Representations (ICLR), 2015. https://research.google/pubs/pub43405/ 入力 テナガザル

8. 1. 背景 <敵対的学習> 攻撃者による攻撃を再現し、敵対的サンプルにも強い機械学習システムを作成する 8 パンダ

9. 1. 背景 推薦システム おすすめなどの精度 を悪くさせる →ECサイトの信頼を 損ねるリスク 不正検知システム 不正な行動を検知さ せない

   →不正検知できず、 セキュリティリスク 自動運転システム 人間や障害物の検出 ができない →自動運転による人 身事故リスク 9

10. 2. 先行研究 敵対的学習について 画像データの研究は進んでいるが、表形式データの研究はまだ少ない <理由>  画像はあるピクセルと隣のピクセルの重要度が同じ  摂動もピクセルの値を0~255の中で好きに動かせる 10

11. 2. 先行研究 表形式データに拡張する際の壁  敵対的サンプルの不知覚可能性が定まらない  Carlini and Wagnerは、「自然な入力に近いが誤って分類される入力」 

    Szegodyらは、「知覚不可能な非ランダムな摂動」  データが離散的、カテゴライズなものは連続的な変化ができない  画像と違い、離散的なデータは、小数がない  他のカラムとの関連性で矛盾が生じてしまう可能性  年齢が0を下回る、勤務年数が年齢よりも高いなど  他のモデルへ転用が難しい 11

12. 2. 先行研究  先行研究 : Imperceptible Adversarial Attacks on Tabular

    Data lowProFoolと呼ばれる勾配降下によるアプローチで専門家が知覚不可能な データ摂動を目的に作成された 知覚不可能:分類結果に関連性のない特徴に対する摂動 𝑋 = {x(i)| ∈ [1 … N]}, 𝑗 ∈ 𝕁 = 1 … 𝐷 , 𝑓: 𝑅𝐷 → 0,1 , 𝑑: 𝑅𝐷 → 0, 1 , 𝐴∈𝑅𝐷 𝑟:摂動ベクトル, d 𝑟 :rの知覚可能性, A:有効で一貫性のあるサンプル集合 𝑟∗:最適な摂動ベクトル 𝑟∗ = 𝑎𝑟𝑔 min 𝑟 𝑑(𝑟) for 𝑟 ∈ ℝ𝐷 s.t. 𝑓 𝑥 = 𝑠 ≠ 𝑓 𝑥 + 𝑟∗ = 𝑡 and 𝑥 + 𝑟∗ ∈ 𝐴 12

13. 2. 先行研究 先行研究 : Imperceptible Adversarial Attacks on Tabular Data

     特徴重要度(d 𝑟 : rの知覚可能性について) 𝑟:摂動ベクトル, 𝒗 = 𝑣1 , … , 𝑣𝑗 , … 𝑣𝐷 :特徴重要度ベクトル 𝑑𝑣 𝑟 = ||𝑟 ⊙ 𝑣||𝑝 2 ( ⊙ : Hadmard product(アダマール積))  目的関数 𝑔 𝑟 = ℒ 𝑥 + 𝑟, 𝑡 + 𝜆||𝑣 ⊙ 𝑟||𝑝 ニ値交差エントロピー関数ℒを損失関数として使用している 「クラスの変更制約」と「𝑑𝑣 」の最小化を目指す 13

14. 2. 先行研究  モデルの比較  LowProFool : 論文の提案手法  勾配降下方を用いた最小化最適化問題

     特徴量に基づいたペナルティ(重み)の導入  DeepFool : 比較アルゴリズム  画像領域における敵対的サンプル生成について、勾配ベースの手法  ハイパーパラメータを必要としない  重みづけをしていない 14

15. 2. 先行研究 評価方法 1. Success Rate : 敵対的攻撃の効率の測定 ෡ 𝕏:成功した敵対的サンプルの集合,

    𝕏:元のサンプルの集合, 𝑁:アルゴリズムの反復回数 𝜎𝑁 = |෡ 𝕏| |𝕏| , ෡ 𝕏 is tapple (x, x’), 𝑥 ∈ 𝕏 2. normdelta_mean : 攻撃成功の評価 ||𝑟||𝑝 3. Weighted_mean : 𝑑𝑣 (𝑟):知覚されやすさ 𝑑𝑣 (𝑟) = ||𝑟 ⊙ 𝑣||𝑝 2 15

16. 3. 結果① 1. Success Rate𝜎𝑁 = |෡ 𝕏| |𝕏| 2.

    normdelta_mean ||𝑟||𝑝 3. Weighted_mean :𝑑𝑣 (𝑟) = ||𝑟 ⊙ 𝑣||𝑝 2 16 論文のスコア 現在のスコア 中間発表時のスコア lowProFool 0.344±0.282 0.798194 5.50E-08 DeepFool 0.344±0.282 0.832357 7.35E-09 論文のスコア 現在のスコア 中間発表時のスコア lowProFool 0.94 0.1 0.1 DeepFool 1.0 0.1 0.1 論文のスコア 現在のスコア 中間発表時のスコア lowProFool 0.039±0.027 0.254943 7.35E-09 DeepFool 0.076±0.077 0.258495 7.35E-09

17. 4.考察・今後  Success Rateが0.1, 標準偏差も0であるため、まだ改良する必要がある  画像の敵対的サンプルの生成についての論文を読み、サンプル生成の過程を より深く知る  提案手法を早く見つけるためにもなるべく早く既存のコードが論文と同じ水

    準の確率でできるようにする 17

18. 参考文献  Imperceptible Adversarial Attacks on Tabular Data : https://arxiv.org/abs/1911.03274

     自分の研究用ソースコード:https://github.com/ShotaArima/demo-lowprofool  元のソースコード:https://github.com/axa-rev-research/LowProFool/tree/master 18

19. 付録  アダマール積について 同じサイズの行列について成分ごとに積を取る計算 𝑎11 𝑎12 𝑎13 𝑎21 𝑎22 𝑎23

    𝑎31 𝑎32 𝑎33 ∘ 𝑏11 𝑏12 𝑏13 𝑏21 𝑏22 𝑏23 𝑏31 𝑏32 𝑏33 = 𝑎11 𝑏11 𝑎12 𝑏12 𝑎13 𝑏13 𝑎21 𝑏21 𝑎22 𝑏22 𝑎23 𝑏23 𝑎31 𝑏31 𝑎32 𝑏32 𝑎33 𝑏33 19