WO2022264387A1

WO2022264387A1 - 学習装置、学習方法、および、学習プログラム

Info

Publication number: WO2022264387A1
Application number: PCT/JP2021/023123
Authority: WO
Inventors: 真徳山田
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2021-06-17
Filing date: 2021-06-17
Publication date: 2022-12-22
Anticipated expiration: 2023-12-17
Also published as: JP7529159B2; EP4336419A4; AU2021451244A1; CN117546183A; US20240152822A1; AU2021451244B2; JPWO2022264387A1; EP4336419A1

Abstract

学習装置（１０）は、Adversarial　Exampleを含む入力データのラベルを予測するためのモデルの学習データを取得する。そして、学習装置（１０）は、モデルのパラメータにノイズを加えた場合とノイズを加えなかった場合とで、当該モデルにおけるloss値のKLダイバージェンスが最大になるようなノイズを当該モデルのパラメータに加え、当該パラメータに対するloss　landscapeを平らにしたloss関数と、Adversarial　Exampleを含む学習データとを用いて、モデルの学習を行う。

Description

学習装置、学習方法、および、学習プログラム

　本発明は、モデルの学習装置、学習方法、および、学習プログラムに関する。

　従来、分類対象のデータにノイズをのせることで、分類器に誤判定をさせるAdversarial　Exampleという攻撃がある。このAdversarial　Exampleに対する対策として、例えば、Adversarial　Exampleを用いてモデル（分類器）の学習を行うAdversarial　Trainingがある。

　しかし、Adversarial　Trainingで学習したモデルは汎化性能が低いという問題がある。これは、Adversarial　Trainingで学習したモデルのweightに対するloss　landscape（loss関数の形）が尖っていることに起因する。そこで、上記のloss　landscapeを平らにするため、モデルのlossを最大化する方向にweightにノイズ（摂動）を加える技術がある。

Diederik　P.　Kingma,　Max　Welling,　"Auto-Encoding　Variational　Bayes"、[2021年6月4日検索]、インターネット＜URL:https://arxiv.org/pdf/1312.6114.pdf＞ Dongxian　Wu,　Shu-Tao　Xia,　Yisen　Wang,　"Adversarial　Weight　Perturbation　Helps　Robust　Generalization"、[2021年6月4日検索]、インターネット＜URL：https://arxiv.org/pdf/2004.05884＞

　しかし、上記の技術は、ノイズがのっていないデータに対する予測性能が低下するという問題がある。そこで、本発明は、前記した問題を解決し、Adversarial　exampleに対する頑健さを確保しつつ、ノイズがのっていないデータに対しても精度よく予測できるモデルを学習することを課題とする。

　前記した課題を解決するため、本発明は、Adversarial　Exampleを含む入力データのラベルを予測するためのモデルの学習データを取得するデータ取得部と、前記モデルのパラメータにノイズを加えた場合とノイズを加えなかった場合とで、前記モデルにおけるloss値のKLダイバージェンスが最大になるようなノイズをパラメータに加え、前記パラメータに対するloss　landscapeを平らにしたloss関数と、前記Adversarial　Exampleを含む学習データとを用いて、前記モデルの学習を行う学習部とを備えることを特徴とする。

　本発明によれば、Adversarial　Exampleに対する頑健さを確保しつつ、ノイズがのっていないデータに対しても精度よく予測できるモデルを学習することができる。

図１は、学習装置の構成例を示す図である。図２は、式（１０）におけるMAX　vを求めるためには、Fisher情報行列Gの最大固有値λに対応する固有ベクトルhを求めればよい理由を説明するための式である。図３は、学習装置の処理手順の例を示すフローチャートである。図４は、学習装置の処理手順の例を示すフローチャートである。図５は、学習装置の適用例を説明するための図である。図６は、学習装置により学習されたモデルに対する実験結果を示す図である。図７は、学習プログラムを実行するコンピュータの構成例を示す図である。

　以下、図面を参照して、本発明の実施の形態（実施形態）を説明する。なお、本発明は以下に説明する実施形態に限定されない。

［学習装置の概要］
　本実施形態の学習装置は、Adversarial　Example（ノイズが付加されたデータ）を含むデータを用いて、入力されたデータのラベルを予測するモデルの学習を行う。ここで、学習装置は、モデルの学習に用いる損失関数（loss関数）として、モデルのパラメータにノイズを加えた場合とノイズを加えなかった場合とで、モデルにおけるloss値のKLダイバージェンスが最大になるようなノイズをパラメータに加え、パラメータに対するloss　landscapeを平らにしたloss関数を用いる。

　これにより、学習装置は、Adversarial　Exampleに対する頑健さを確保しつつ、ノイズがのっていないデータに対しても精度よくラベルを予測できるモデルを学習することができる。

［学習装置の構成例］
　図１を用いて、学習装置１０の構成例を説明する。学習装置１０は、例えば、入力部１１、出力部１２、通信制御部１３、記憶部１４、および、制御部１５を備える。

　入力部１１は、各種データの入力を受け付けるインタフェースである。例えば、入力部１１は、後述する学習処理および予測処理に用いるデータの入力を受け付ける。出力部１２は、各種データの出力を行うインタフェースである。例えば、出力部１２は、制御部１５により予測されたデータのラベルを出力する。

　通信制御部１３は、ＮＩＣ（Network　Interface　Card）等で実現され、ネットワークを介したサーバ等の外部の装置と制御部１５との通信を制御する。例えば、通信制御部１３は、学習対象のデータを管理する管理装置等と制御部１５との通信を制御する。

　記憶部１４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する学習処理により学習されたモデルのパラメータ等が記憶される。

　制御部１５は、例えば、ＣＰＵ（Central　Processing　Unit）等を用いて実現され、記憶部１４に記憶された処理プログラムを実行する。これにより、制御部１５は、図１に例示するように、取得部１５ａ、学習部１５ｂおよび予測部１５ｃとして機能する。

　取得部１５ａは、後述する学習処理および予測処理に用いるデータを、入力部１１あるいは通信制御部１３を介して取得する。

　学習部１５ｂは、Adversarial　Exampleを含むデータを学習データとして用いて、入力されたデータのラベルを予測するモデルの学習を行う。ここで、学習部１５ｂは、モデルの学習に用いるloss関数として、モデルのパラメータにノイズを加えた場合とノイズを加えなかった場合とで、モデルにおけるloss値のKLダイバージェンスが最大になるようなノイズをパラメータに加えて、パラメータに対するloss　landscapeを平らにしたloss関数を用いる。

　ここで、学習部１５ｂによる、モデルの学習方法の基本的な考え方を説明する。例えば、学習対象のモデルは、データxのラベルyの確率分布を表すモデルであり、パラメータθを用いて、式（１）により表される。なお、式（１）におけるｆは、モデルが出力するラベルを表すベクトルである。

　そして、学習部１５ｂは、式（２）で表されるloss関数の値が小さくなるように、モデルのパラメータθを決定することにより、モデルの学習を行う。ここで、p(y|x)は、真の確率を表す。

　ここで、学習部１５ｂは、データxにノイズηが乗せられたAdversarial　Example（式（３）参照）に対しても正しくラベルを予測できるようにモデルの学習を行う。つまり、学習部１５ｂは、式（４）に示すAdversarial　Trainingを行う。

　ここで、従来、上記のモデルのAdversarial　Training（AT）において、モデルの汎化性能を上げるためにweight（モデルのパラメータ）にノイズ（摂動）を加えることにより、weightに対するloss　landscapeを平らにする方法がある。この方法（Adversarial　Weight　Perturbation、AWP）における、loss関数は、式（５）および式（６）により表される。なお、w（weight）は、学習対象のモデルのパラメータであり、前記したθに相当する。αは、ノイズ（v）の大きさを調節する係数で、wのフロベニウスノルムではかったときのスケールに合うような値が設定される。つまり、パラメータはスケール不変性があるため、αはそのスケールの変化を吸収する役割を担う。

　ここで、filter　normalizationで可視化されたweight　loss　landscapeを平らにしたいので、αは、フィルターごとのwのスケールにあったノイズ（摂動）になるよう以下の式（７）のように定義される。なお、kはフィルターのインデックスである。

　よって、vを最大にするための更新式は、式（８）のように表される。

　ちなみに先行研究では、上記のvを最大にするための更新は１回で充分であることが確認されている。また、wの更新式は、以下の式（９）のように表される。

　ここで、上記のAWPでは、loss値を最大化するようにwにノイズを加えていたが、学習部１５ｂは、loss値のKLダイバージェンスを最大化するように、wにノイズを加える。このloss関数は、以下の式（１０）により表される。なお、式（１０）におけるρ(w)は、式（５）に示すρ(w)に相当する。

　式（１０）におけるMAX　vを求めるためには、Fisher情報行列Gの最大固有値λに対応する固有ベクトルhを求めればよい。その理由となる式を図２に示す。

　よって、vを最大にするための更新式は、式（１１）のようになる。

　なお、上記のFisher情報行列は巨大なので、負数に固有値分割を行うと時間がかかりすぎる。そのため、例えば、power　iterationを使い最大固有値を計算する。また、Fisher情報行列を計算するときに、

を計算する必要があるが、これは入力より出力の次元が大きいため、通常のDeep　Learningで用いられるback　propagationを使うと計算効率がよくない。そのためforward　propagationで勾配を計算したいが、Pytorch等の既存の深層学習ライブラリにforward　propagationのモードは用意されていない。そのため、以下の文献１に記載のROP　trickを使ってforward　propagationを実現する。

　（文献１）[Adding　functionality]　Hessian　and　Fisher　Information　vector　products、https://discuss.pytorch.org/t/adding-functionality-hessian-and-fisher-information-vector-products/23295/2

　学習部１５ｂは、Adversarial　Exampleを含む学習データと、上記のloss関数とを用いて、入力されたデータのラベルを予測するモデルの学習を行う。つまり、学習部１５ｂは、学習データを用いて、上記のloss関数により算出されるlossを最小化するようなモデルのパラメータθを求める。

　予測部１５ｃは、学習されたモデルを用いて、入力データのラベルを予測する。例えば、予測部１５ｃは、学習されたパラメータθを上記式（１）に適用することより、新たに取得されたデータの各ラベルの確率を算出し、最も確率が高いラベルを出力する。これにより、学習装置１０は、例えば、入力データがAdversarial　Exampleであった場合にも、正しいラベルを出力することができる。

［学習処理］
　次に、図３を参照して、学習装置１０による学習処理手順の例について説明する。図３に示す処理は、例えば、学習処理の開始を指示する操作入力があったタイミングで開始される。

　まず、取得部１５ａが、Adversarial　Exampleを含む学習データを取得する（Ｓ１）。次に、学習部１５ｂが、学習データと、loss関数とを用いて、入力データのラベルの確率分布を表すモデルを学習する（Ｓ２）。なお、このloss関数は、上記の通り、モデルのパラメータにノイズを加えた場合とノイズを加えなかった場合とで、当該モデルにおけるloss値のKLダイバージェンスが最大になるようなノイズをパラメータに加え、パラメータに対するloss　landscapeを平らにしたloss関数である。学習部１５ｂは、Ｓ２で学習されたモデルのパラメータを記憶部１４に記憶する。

［予測処理］
　次に、図４を参照して、学習装置１０による入力データのラベルの予測処理の例について説明する。図４に示す処理は、例えば、予測処理の開始を指示する操作入力があったタイミングで開始される。

　まず、取得部１５ａは、ラベルの予測対象のデータを取得する（Ｓ１１）。次に、予測部１５ｃは、学習部１５ｂにより学習されたモデルを用いて、Ｓ１１で取得されたデータのラベルを予測する（Ｓ１２）。例えば、予測部１５ｃは、学習されたパラメータθを上記の式（１）に適用することより、Ｓ１１で取得されたデータx’のp(x’)を算出し、最も確率が高いラベルを出力する。これにより、例えば、データx’がAdversarial　Exampleであった場合でも、学習装置１０は、正しいラベルを出力することができる。

［学習装置の適用例］
　上記の学習装置１０を、データの異常検知に適用してもよい。この場合の適用例を、図５を参照しながら説明する。ここでは、前記した予測部１５ｃの機能が、検知装置２０に装備される場合を例に説明する。

　例えば、学習装置１０は、データ取得装置から取得した教師データ（学習データ）と、前記したloss関数とを用いて、モデルの学習（Adversarial　Training）を行う。その後、検知装置２０は、データ取得装置から新たなデータx’を取得すると、学習済みモデルを用いて、データx’のp(x’)を算出する。そして、検知装置２０は、確率が最も高いラベルに基づき、データx’が異常なデータか否かのレポートを出力する。

［実験結果］
　次に、本実施形態の学習装置１０により学習されたモデルによる、ラベルの予測精度の評価実験の結果を図６に示す。本実験では、本実施形態の学習装置１０により学習されたモデルについて、robust　accとnatural　accを評価した。

　robust　accは、Adversarial　Exampleがのったデータの分類精度（データのラベルの予測精度）を示す値である。また、natural　accは、ノイズなしのデータの分類精度を示す値である。robust　accもnatural　accも、0～100の値をとる。比較対象としたのは、ATにより学習したモデルと、AWPにより学習したモデルである。実験条件は以下の通りである。

画像のデータセット:Cifar10
Deep　learning　model:　Resnet18
Adversarial　Example:　PGD
PGDのパラメータ:　eps=8/255,　train_iter=7,　eval_iter=20,　eps_iter=0.01,　rand_init=True,　clip_min=0.0,　clip_max=1.0

　図６に示すように、学習装置１０により学習されたモデルは、ATにより学習されたモデルと比べ、robust　acc、natural　accともに高い値になっている。また、本実施形態の学習装置１０により学習されたモデルは、AWPにより学習されたモデルと比べ、robust　accは少し低い値となっているが、natural　accは大幅に高い値になっている。

　したがって、学習装置１０により学習されたモデルは、Adversarial　exampleに対する頑健さを確保しつつ、ノイズがのっていないデータに対しても精度よく予測できるモデルであることが確認できた。

［システム構成等］
　また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ及び当該ＣＰＵにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　前記した学習装置１０は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を学習装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等の端末等がその範疇に含まれる。

　また、学習装置１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図７は、学習プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM（Random　Access　Memory）１０１２を含む。ROM１０１１は、例えば、BIOS（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記の学習装置１０が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、学習装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSD（Solid　State　Drive）により代替されてもよい。

　また、上述した実施形態の処理で用いられるデータは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　１０　学習装置
　１１　入力部
　１２　出力部
　１３　通信制御部
　１４　記憶部
　１５　制御部
　１５ａ　取得部
　１５ｂ　学習部
　１５ｃ　予測部
　２０　検知装置

Claims

　Adversarial　Exampleを含む入力データのラベルを予測するためのモデルの学習データを取得するデータ取得部と、
　前記モデルのパラメータにノイズを加えた場合とノイズを加えなかった場合とで、前記モデルにおけるloss値のKLダイバージェンスが最大になるようなノイズをパラメータに加え、前記パラメータに対するloss　landscapeを平らにしたloss関数と、前記Adversarial　Exampleを含む学習データとを用いて、前記モデルの学習を行う学習部と
　を備えることを特徴とする学習装置。
　前記学習部は、
　前記学習データを用いて、前記loss関数により算出されるlossを最小化する前記モデルのパラメータを求める
　ことを特徴とする請求項１に記載の学習装置。
　学習された前記モデルを用いて、入力データのラベルを予測する予測部
　をさらに備えることを特徴とする請求項１に記載の学習装置。
　学習装置により実行される学習方法であって、
　Adversarial　Exampleを含む入力データのラベルを予測するためのモデルの学習データを取得する工程と、
　前記モデルのパラメータにノイズを加えた場合とノイズを加えなかった場合とで、前記モデルにおけるloss値のKLダイバージェンスが最大になるようなノイズをパラメータに加え、前記パラメータに対するloss　landscapeを平らにしたloss関数と、前記Adversarial　Exampleを含む学習データとを用いて、前記モデルの学習を行う工程と
　を含むことを特徴とする学習方法。
　Adversarial　Exampleを含む入力データのラベルを予測するためのモデルの学習データを取得する工程と、
　前記モデルのパラメータにノイズを加えた場合とノイズを加えなかった場合とで、前記モデルにおけるloss値のKLダイバージェンスが最大になるようなノイズをパラメータに加え、前記パラメータに対するloss　landscapeを平らにしたloss関数と、前記Adversarial　Exampleを含む学習データとを用いて、前記モデルの学習を行う工程と
　をコンピュータに実行させるための学習プログラム。