SlideShare a Scribd company logo

PoisoningAttackSVM (ICMLreading2012)

Hidekazu Oiwa
Hidekazu Oiwa
TechnologyNews & Politics
1 of 26
Download to read offline
Poisoning Attacks against Support Vector Machines ICML読み会 2012/07/28 Hidekazu Oiwa (@kisa12012) oiwa (at) r.dl.itc.u-tokyo.ac.jp 12年7月28日土曜日 1
読む論文 • Poisoning Attacks against Support Vector Machines • Battista Biggio (Itary), Blaine Nelson, Pavel Laskov (German) • http://icml.cc/2012/papers/880.pdf (論文) • http://www.slideshare.net/pragroup/battista- biggio-icml2012-poisoning-attacks-against- support-vector-machines (スライド) • 第一著者がDr. Laskovの元へ約半年visitingしてた時の論文 • Adversarial Classificationの研究者 12年7月28日土曜日 2
目次 • 研究の概要 • Poisoning Attacksとは? • 問題設定 • 提案アルゴリズム • Poisoning Attacks against SVMs • カーネルSVMへの拡張 • 実験 • 人工データ実験 • 手書き文字認識実験 12年7月28日土曜日 3
研究概要 12年7月28日土曜日 4
背景 • (大規模)機械学習流行中 • Malicious Behavior : 悪意あるエージェントの行動 • 分類器や異常検知器を混乱させる様に動く • Ex. スパムフィルタリング・マルウェア解析 • 目標:Malicious Behaviorに頑健なアルゴリズム • そのためには… • Malicious Behaviorの性質の分析が求められる 12年7月28日土曜日 5
Malicious Behaviorの分類 [Barreno+ ML10] • Causative Attack • 設計者が持っている訓練データを直接操作,書き換え • Exploratory Attack • 設計者が持っている分類器を直接操作,書き換え • これらに対応したアルゴリズムは,すでに複数提案されている • Poisoning Attack • 設計者の訓練データに新しく悪性データを注入 • 他の手法と比べて,より現実的な攻撃方法 • 設計者のデータベースを直接弄る必要がないため • 異常検知系の先行研究しかない [Kloft+ AISTATS10]+ 12年7月28日土曜日 6
Poisoning Attack 訓練データ SVM 12年7月28日土曜日 7
Poisoning Attack 訓練データ SVM 12年7月28日土曜日 7
Poisoning Attack 訓練データ SVM 性能劣化 12年7月28日土曜日 7
問題設定 設計者 攻撃者 training set validation set n m Dtr = {xi , yi }i=1 Dval = {xk , yk }k=1 悪性データ (xc , yc ) yc は予め固定 SVMは悪性データを含めた Validation Setに対する分類性能を training setから学習 一番押し下げる xc を生成 12年7月28日土曜日 8
本研究の概要 • SVMへのPoisoning Attacksの解析 • 悪性データ作成アルゴリズムの提案 • Incremental SVM • カーネル拡張 • 人工データ実験 • 手書き文字認識データ実験 12年7月28日土曜日 9
提案アルゴリズム 12年7月28日土曜日 10
最適化問題 X X max L(xc ) = [1 yk fxc (xk )]+ = gk (xc ) xc k k • Validation Setにおける損失を最大化 • fx (·) : 悪性データ込みで学習されたSVM c • 非凸な最適化問題 0 xc = xc + t · u • 解法:Gradient Ascent u / rL(xc ) • SVMの更新と悪性データの更新を繰り返す • ステップ幅を適切に設定すれば局所最適解に収束 12年7月28日土曜日 11
アルゴリズムの概要 Poisoning Attacks against SVMs Algorithm 1 Poisoning attack against SVM 3.1. Artificial data Input: Dtr , the training data; Dval , the validation (0) data; yc , the class label of the attack point; xc , the 初期点は,既存データ We first consider a two-dimensional da model in which each class follows a G initial attack point; t, the step size. のラベルをflipして作成 bution with mean and covariance mat Output: xc , the final attack point. µ = [ 1.5, 0], µ+ = [1.5, 0], ⌃ = 1: {↵i , b} learn an SVM on Dtr . The points from the negative distributio 2: k 0. the label 1 (shown as red in the subse 3: repeat and otherwise +1 (shown as blue). Th (p) 4: Re-compute the SVM solution on Dtr [{xc , yc } the validation sets, Dtr and Dval (consis using incremental SVM (e.g., Cauwenberghs & SVMの更新 500 points per class, respectively) are ra Poggio, 2001). This step requires {↵i , b}. from this distribution. 5: Compute @L on Dval according to Eq. (10). 6: @u Set u to a unit vector aligned with @L . 勾配を算出 In the experiment presented below, the r (p) (p 1) @u attacking class. To this end, a random 7: k k⇣ 1 and xc⇣ + ⌘ xc⌘ + tu blue class is selected and its label is fli (p) (p 1) 8: until L xc L xc <✏ 悪性データの更新 as the starting point for our method. 9: return: xc = xc (p) ascent method is then used to refine t til its termination condition is satisfied. from [Biggio+ 12] trajectory is traced as the black line in F 12年7月28日土曜日 the linear kernel (upper two plots) and 12
SVMの更新 • Incremental SVM [Cauwenberghs+ NIPS00] • 1つずつデータを追加しながらSVMを学習 • 全データの役割が不変な範囲の最適化問題を反復的に解く • Reserve Point / Support Vector / Error Vector • 条件を破らないと収束しない場 W W W 合,データの役割を変更 gi=0 gi>0 gi<0 • 各最適化時には,サポートベク αi=0 xi C αi xi C αi=C ターのパラメータのみが更新 xi • データが追加されるたびに,全 support vector error vector パラメータが収束するまで最適 Figure 1: Soft-margin classification SVM training. from [Cauwenberghs+ NIPS00] 化すれば,SVMの最適解に収束 coefficients are obtained by minimizing a convex quadratic objective func constraints [12] 12年7月28日土曜日 13
最適化問題の勾配計算 • Incremental SVMのアイデアを用いる Poisoning Attacks against SVMs product rule: • 更新時に各データの役割が変動しない仮定を置く inverted matrix are independent of x , we obtain: c @b • サポートベクターのみに着目すれば良い @↵ = 1 ↵ (Qc ss 1 )· @Q > sc + yk , (3) @u ⇣ @u @u • 更新式はカーネル関数に依存 @b = 1 ↵ c· @Q > . sc (9) @u ⇣ @u • 厳密な計算には,条件を破らないステップ幅の導出が必要 Substituting (9) into (3) and further into (1), we obtain @Qkc @b il. , @u @u . • 本研究では定数ステップ幅で値を更新,計算をサボる the desired gradient used for optimizing our attack: @L X⇢ m @Qsc @Qkc = Mk + ↵c , (10) @u @u @u can be further re- k=1 taken in direction where VM solution. This ate condition using 1 Mk = (Qks (Qss1 T ) + yk T ). enberghs & Poggio, ⇣ from [Biggio+ 12] oint in the training 12年7月28日土曜日 14
実験 12年7月28日土曜日 15
人工データ実験 Poisoning Attacks against SVMs mean Σi ξi (hinge loss) classification error 5 5 0.06 0.16 0.14 0.05 0.12 0.04 線形 0 0.1 0.08 0 0.03 カーネル 0.06 0.04 0.02 0.01 0.02 −5 0 −5 −5 0 5 −5 0 5 mean Σi ξi (hinge loss) classification error 5 5 0.145 0.14 0.035 RBF 0.135 0.13 0.03 0 0 カーネル 0.125 0.12 0.025 0.115 −5 0.11 −5 0.02 −5 0 5 −5 0 5 from [Biggio+ 12] 12年7月28日土曜日 16
手書き文字認識 実験設定 MNIST 実験データ ( 7 vs. 1; 9 vs. 8; 4 vs. 0) 線形カーネル SVM C=1 training set 100 validation set 500 12年7月28日土曜日 17
手書き文字認識 実験結果 (7 vs. 1) Poisoning Attacks against SVMs Before attack (7 vs 1) After attack (7 vs 1) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 15 0.2 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations ラベルは1 from [Biggio+ 12] Before attack (9 vs 8) After attack (9 vs 8) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 12年7月28日土曜日 15 0.2 18
Before attack (7 vs 1) After attack (7 vs 1) classification error 0.4 5 10 手書き文字認識 5 10 0.3 validation error testing error 0.2 実験結果 (8 vs. 9) 15 15 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations Before attack (9 vs 8) After attack (9 vs 8) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 15 0.2 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations ラベルは8 from [Biggio+ 12] Before attack (4 vs 0) After attack (4 vs 0) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 12年7月28日土曜日 15 0.2 19
Before attack (9 vs 8) After attack (9 vs 8) classification error 0.4 5 10 手書き文字認識 5 10 0.3 validation error testing error 実験結果 (4 vs. 0) 15 15 0.2 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations Before attack (4 vs 0) After attack (4 vs 0) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 15 0.2 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations ラベルは0 from [Biggio+ 12] Modifications to the initial (mislabeled) attack point performed by the proposed attack strategy, for d two-class problems from the MNIST data set. The increase in validation and testing errors across is also reported. 12年7月28日土曜日 20
実験結果から • 悪性データがラベルクラスの性質を取り込んだデータに変化 • 7の下部が1の横棒に似た形になるなど • 1データで,15-20%のエラー率向上を達成 • 初期点では2-5% • その後のデータ改良にて,上記のエラー率を達成 • アルゴリズムの有効性を示した形に • training dataの数を増やした時は,もっと性能は悪いで しょうが… 12年7月28日土曜日 21
0.25 0.2 0.15 複数データ実験 0.1 0.05 Poisoning Attacks against SVMs 0 0 2 4 6 8 ing manyattack points in training steps. It would be int % of tiny gradient data to investigate a more accurate and e cient co tion of the largest possible step that does not a classification error (7 vs 1) classification error (9 vs 8) 0.4 0.4 structure of the optimal solution. validation error validation error 0.35 testing error 0.35 Anothererror testing direction for research is the simultaneo • mization of multi-point attacks, which we succ 悪性データを一個ずつ追加で入れていった場合の性能推移 0.3 0.3 0.25 approached with sequential single-point attac 0.25 first question is how to optimally perturb a s 0.2 • 0.2 the training data; that is, instead of individua 決定境界に近いデータを初期点に置くと,悪性データ 0.15 0.15 mizing each attack point, one could derive sim 0.1 0.1 ous steps for every attack point to better optim がreserve pointに陥るため,そこで更新がストップ Poisoning Attacks against SVMs 0.05 0.05 overall e↵ect. The second question is how to the best subset of points to use as a startin 0 0 ing many attack points in trainingsteps. It would be interestingof attack points in training datathe latter is a subs for the attack. Generally, 0 2 0 2 4 6 8 % of tiny 4gradient data 6 8 % to investigate a more accurate and e cient computa- tion problem but heuristics may allow for impr tion of the largest possible step that does not alter the proximations. Regardless, we demonstrate th classification error (7 vs 1) structureclassificationoptimal8)solution. of the error (9 vs non-optimal multi-point attack strategies sign classification error (4 vs 0) 0.4 0.4 0.4 validation error validation error degrade the SVM’s performance. validation error 0.35 testing error 0.35 Another direction for research is the simultaneous opti- error testing error 0.35 testing mization of multi-point attacks, which we0.3 An important practical limitation of the p successfully 0.3 0.3 approached with sequential single-point 0.25 method is the assumption that the attacker attacks. The first question is how to optimally perturb a subset of of the injected points. Such assu the labels 0.25 0.25 0.2 0.2 0.2 may not hold when the labels are only assi the training data; that is, instead of individually opti- 0.15 0.15 trusted sources such as humans. For instance, 0.15 mizing each attack point, one could derive simultane- filter uses its users’ labeling of messages as its 0.1 0.1 ous steps for every attack point to better optimize their0.1 truth. Thus, although an attacker can send a 0.05 0.05 overall e↵ect. The second question is how to choose 0.05 messages, he cannot guarantee that they will h the best subset of points to use as a starting point 0 0 0 0 0 labels2 necessary for his attack. This imposes 4 6 8 0 2 4 6 8 for the%attack.4 Generally, the latter is a subset selec-of attack points in training data 2 6 8 % of attack points in training data of attack points in training data ditional requirement that the attack data mus % tion problem but heuristics may allow for improved ap- certain side constraints to fool the labeling orac from [Biggio+ 12] proximations. Regardless, we demonstrate Results of the multi-point, multi-run experiments Figure 3. that even is needed to understand these poten ther work classification error (9 vs 8) non-optimal multi-point0) classification error (4 vs attack strategies MNIST data set. In each plot, we show the clas- on the significantly 0.4 0.4 constraints and to incorporate them into atta validation error degrade the SVM’s performance. sification errors due to poisoning as a function of the per- validation error 0.35 centage of training contamination would bethe incorporate t 0.35 testing error testing error The final extension for both to validation 0.3 An important practical limitation of solid line) and inverse sets (black dashed problem; that (red the proposedtesting feature-mapping line). The world 0.3 12年7月28日土曜日 method is the assumption that the attacker controls of7 finding real-worldmiddle is data t topmost plotproblem is for the vs.1 classifier, the attack for 22 0.25
まとめ • SVMに毒を盛る! • SVMの精度をガタ落ちさせるデータを新しく注入 • 性能を落とすデータの作り方を提案 • 最適化問題は非凸だが,勾配法で解く形に • カーネルSVMにも適用可能 • 手書き文字認識タスクで実験 • たった1データで精度を2割前後落とす事に成功 12年7月28日土曜日 23
Future Work • より効率的,頑健,高速な最適化手法 • カーネル毎でのPoisoning Attackへの耐性評価 • 複数の悪性データを同時に注入可能なケース • データのラベルを攻撃者が固定できないケース • 設計者の人力でラベル付けされる場合等 • ラベル付を誘導するため,入力データに制約が必要 • 現実的には,入力データの人工生成は困難 • 入力ベクトルがbag-of-wordsの場合,それっぽいテキストに 変換可能な結果を返す必要がある 12年7月28日土曜日 24

Recommended

FOBOS
FOBOSFOBOS
FOBOSHidekazu Oiwa
 
ディープニューラルネット入門
ディープニューラルネット入門ディープニューラルネット入門
ディープニューラルネット入門TanUkkii
 
機械学習と深層学習の数理
機械学習と深層学習の数理機械学習と深層学習の数理
機械学習と深層学習の数理Ryo Nakamura
 
20150803.山口大学集中講義
20150803.山口大学集中講義20150803.山口大学集中講義
20150803.山口大学集中講義Hayaru SHOUNO
 
アンサンブル学習
アンサンブル学習アンサンブル学習
アンサンブル学習Hidekazu Tanaka
 
Tokyo.R 41 サポートベクターマシンで眼鏡っ娘分類システム構築
Tokyo.R 41 サポートベクターマシンで眼鏡っ娘分類システム構築Tokyo.R 41 サポートベクターマシンで眼鏡っ娘分類システム構築
Tokyo.R 41 サポートベクターマシンで眼鏡っ娘分類システム構築Tatsuya Tojima
 
東京大学工学部計数工学科応用音響学 D2 Clustering
東京大学工学部計数工学科応用音響学 D2 Clustering東京大学工学部計数工学科応用音響学 D2 Clustering
東京大学工学部計数工学科応用音響学 D2 ClusteringHiroshi Ono
 
オンライン凸最適化と線形識別モデル学習の最前線_IBIS2011
オンライン凸最適化と線形識別モデル学習の最前線_IBIS2011オンライン凸最適化と線形識別モデル学習の最前線_IBIS2011
オンライン凸最適化と線形識別モデル学習の最前線_IBIS2011Preferred Networks
 

Recommended

FOBOS
FOBOSFOBOS
FOBOSHidekazu Oiwa
 
ディープニューラルネット入門
ディープニューラルネット入門ディープニューラルネット入門
ディープニューラルネット入門TanUkkii
 
機械学習と深層学習の数理
機械学習と深層学習の数理機械学習と深層学習の数理
機械学習と深層学習の数理Ryo Nakamura
 
20150803.山口大学集中講義
20150803.山口大学集中講義20150803.山口大学集中講義
20150803.山口大学集中講義Hayaru SHOUNO
 
アンサンブル学習
アンサンブル学習アンサンブル学習
アンサンブル学習Hidekazu Tanaka
 
Tokyo.R 41 サポートベクターマシンで眼鏡っ娘分類システム構築
Tokyo.R 41 サポートベクターマシンで眼鏡っ娘分類システム構築Tokyo.R 41 サポートベクターマシンで眼鏡っ娘分類システム構築
Tokyo.R 41 サポートベクターマシンで眼鏡っ娘分類システム構築Tatsuya Tojima
 
東京大学工学部計数工学科応用音響学 D2 Clustering
東京大学工学部計数工学科応用音響学 D2 Clustering東京大学工学部計数工学科応用音響学 D2 Clustering
東京大学工学部計数工学科応用音響学 D2 ClusteringHiroshi Ono
 
オンライン凸最適化と線形識別モデル学習の最前線_IBIS2011
オンライン凸最適化と線形識別モデル学習の最前線_IBIS2011オンライン凸最適化と線形識別モデル学習の最前線_IBIS2011
オンライン凸最適化と線形識別モデル学習の最前線_IBIS2011Preferred Networks
 
PRML chapter5
PRML chapter5PRML chapter5
PRML chapter5Takahiro (Poly) Horikawa
 
NLPforml5
NLPforml5NLPforml5
NLPforml5Hidekazu Oiwa
 
Pythonによる機械学習入門〜基礎からDeep Learningまで〜
Pythonによる機械学習入門〜基礎からDeep Learningまで〜Pythonによる機械学習入門〜基礎からDeep Learningまで〜
Pythonによる機械学習入門〜基礎からDeep Learningまで〜Yasutomo Kawanishi
 
誤差逆伝播法の計算(ディープラーニング)
誤差逆伝播法の計算(ディープラーニング)誤差逆伝播法の計算(ディープラーニング)
誤差逆伝播法の計算(ディープラーニング)t dev
 
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz..."Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...nkazuki
 
はてなインターン「機械学習」
はてなインターン「機械学習」はてなインターン「機械学習」
はてなインターン「機械学習」Hatena::Engineering
 
はじめてのパターン認識 第8章 サポートベクトルマシン
はじめてのパターン認識 第8章 サポートベクトルマシンはじめてのパターン認識 第8章 サポートベクトルマシン
はじめてのパターン認識 第8章 サポートベクトルマシンMotoya Wakiyama
 
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)Ohsawa Goodfellow
 
それっぽく感じる機械学習
それっぽく感じる機械学習それっぽく感じる機械学習
それっぽく感じる機械学習Yuki Igarashi
 
03_深層学習
03_深層学習03_深層学習
03_深層学習CHIHIROGO
 
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages.
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages. Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages.
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages. Satoshi Kato
 
はじぱた7章F5up
はじぱた7章F5upはじぱた7章F5up
はじぱた7章F5upTyee Z
 
Gurobi python
Gurobi pythonGurobi python
Gurobi pythonMikio Kubo
 
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会Kenyu Uehara
 
Or seminar2011final
Or seminar2011finalOr seminar2011final
Or seminar2011finalMikio Kubo
 
Deep Learning 勉強会 (Chapter 7-12)
Deep Learning 勉強会 (Chapter 7-12)Deep Learning 勉強会 (Chapter 7-12)
Deep Learning 勉強会 (Chapter 7-12)Ohsawa Goodfellow
 
はじめてのパターン認識8章サポートベクトルマシン
はじめてのパターン認識8章サポートベクトルマシンはじめてのパターン認識8章サポートベクトルマシン
はじめてのパターン認識8章サポートベクトルマシンNobuyukiTakayasu
 
Pythonとdeep learningで手書き文字認識
Pythonとdeep learningで手書き文字認識Pythonとdeep learningで手書き文字認識
Pythonとdeep learningで手書き文字認識Ken Morishita
 
クラシックな機械学習の入門 4. 学習データと予測性能
クラシックな機械学習の入門 4. 学習データと予測性能クラシックな機械学習の入門 4. 学習データと予測性能
クラシックな機械学習の入門 4. 学習データと予測性能Hiroshi Nakagawa
 
機械学習による統計的実験計画(ベイズ最適化を中心に)
機械学習による統計的実験計画(ベイズ最適化を中心に)機械学習による統計的実験計画(ベイズ最適化を中心に)
機械学習による統計的実験計画(ベイズ最適化を中心に)Kota Matsui
 
[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-
[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-
[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-Deep Learning JP
 
もしその単語がなかったら
もしその単語がなかったらもしその単語がなかったら
もしその単語がなかったらHiroshi Nakagawa
 

More Related Content

What's hot

Pythonによる機械学習入門〜基礎からDeep Learningまで〜
Pythonによる機械学習入門〜基礎からDeep Learningまで〜Pythonによる機械学習入門〜基礎からDeep Learningまで〜
Pythonによる機械学習入門〜基礎からDeep Learningまで〜Yasutomo Kawanishi
 
誤差逆伝播法の計算(ディープラーニング)
誤差逆伝播法の計算(ディープラーニング)誤差逆伝播法の計算(ディープラーニング)
誤差逆伝播法の計算(ディープラーニング)t dev
 
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz..."Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...nkazuki
 
はてなインターン「機械学習」
はてなインターン「機械学習」はてなインターン「機械学習」
はてなインターン「機械学習」Hatena::Engineering
 
はじめてのパターン認識 第8章 サポートベクトルマシン
はじめてのパターン認識 第8章 サポートベクトルマシンはじめてのパターン認識 第8章 サポートベクトルマシン
はじめてのパターン認識 第8章 サポートベクトルマシンMotoya Wakiyama
 
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)Ohsawa Goodfellow
 
それっぽく感じる機械学習
それっぽく感じる機械学習それっぽく感じる機械学習
それっぽく感じる機械学習Yuki Igarashi
 
03_深層学習
03_深層学習03_深層学習
03_深層学習CHIHIROGO
 
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages.
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages. Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages.
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages. Satoshi Kato
 
はじぱた7章F5up
はじぱた7章F5upはじぱた7章F5up
はじぱた7章F5upTyee Z
 
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会Kenyu Uehara
 
Or seminar2011final
Or seminar2011finalOr seminar2011final
Or seminar2011finalMikio Kubo
 
Deep Learning 勉強会 (Chapter 7-12)
Deep Learning 勉強会 (Chapter 7-12)Deep Learning 勉強会 (Chapter 7-12)
Deep Learning 勉強会 (Chapter 7-12)Ohsawa Goodfellow
 
はじめてのパターン認識8章サポートベクトルマシン
はじめてのパターン認識8章サポートベクトルマシンはじめてのパターン認識8章サポートベクトルマシン
はじめてのパターン認識8章サポートベクトルマシンNobuyukiTakayasu
 
Pythonとdeep learningで手書き文字認識
Pythonとdeep learningで手書き文字認識Pythonとdeep learningで手書き文字認識
Pythonとdeep learningで手書き文字認識Ken Morishita
 
クラシックな機械学習の入門 4. 学習データと予測性能
クラシックな機械学習の入門 4. 学習データと予測性能クラシックな機械学習の入門 4. 学習データと予測性能
クラシックな機械学習の入門 4. 学習データと予測性能Hiroshi Nakagawa
 
機械学習による統計的実験計画(ベイズ最適化を中心に)
機械学習による統計的実験計画(ベイズ最適化を中心に)機械学習による統計的実験計画(ベイズ最適化を中心に)
機械学習による統計的実験計画(ベイズ最適化を中心に)Kota Matsui
 

What's hot (20)

PRML chapter5
PRML chapter5PRML chapter5
PRML chapter5
 
NLPforml5
NLPforml5NLPforml5
NLPforml5
 
Pythonによる機械学習入門〜基礎からDeep Learningまで〜
Pythonによる機械学習入門〜基礎からDeep Learningまで〜Pythonによる機械学習入門〜基礎からDeep Learningまで〜
Pythonによる機械学習入門〜基礎からDeep Learningまで〜
 
誤差逆伝播法の計算(ディープラーニング)
誤差逆伝播法の計算(ディープラーニング)誤差逆伝播法の計算(ディープラーニング)
誤差逆伝播法の計算(ディープラーニング)
 
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz..."Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
 
はてなインターン「機械学習」
はてなインターン「機械学習」はてなインターン「機械学習」
はてなインターン「機械学習」
 
はじめてのパターン認識 第8章 サポートベクトルマシン
はじめてのパターン認識 第8章 サポートベクトルマシンはじめてのパターン認識 第8章 サポートベクトルマシン
はじめてのパターン認識 第8章 サポートベクトルマシン
 
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)
Learning Deep Architectures for AI (第 3 回 Deep Learning 勉強会資料; 松尾)
 
それっぽく感じる機械学習
それっぽく感じる機械学習それっぽく感じる機械学習
それっぽく感じる機械学習
 
03_深層学習
03_深層学習03_深層学習
03_深層学習
 
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages.
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages. Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages.
Dimensionality reduction with t-SNE(Rtsne) and UMAP(uwot) using R packages.
 
はじぱた7章F5up
はじぱた7章F5upはじぱた7章F5up
はじぱた7章F5up
 
Gurobi python
Gurobi pythonGurobi python
Gurobi python
 
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会
サポートベクターマシン(SVM)の数学をみんなに説明したいだけの会
 
Or seminar2011final
Or seminar2011finalOr seminar2011final
Or seminar2011final
 
Deep Learning 勉強会 (Chapter 7-12)
Deep Learning 勉強会 (Chapter 7-12)Deep Learning 勉強会 (Chapter 7-12)
Deep Learning 勉強会 (Chapter 7-12)
 
はじめてのパターン認識8章サポートベクトルマシン
はじめてのパターン認識8章サポートベクトルマシンはじめてのパターン認識8章サポートベクトルマシン
はじめてのパターン認識8章サポートベクトルマシン
 
Pythonとdeep learningで手書き文字認識
Pythonとdeep learningで手書き文字認識Pythonとdeep learningで手書き文字認識
Pythonとdeep learningで手書き文字認識
 
クラシックな機械学習の入門 4. 学習データと予測性能
クラシックな機械学習の入門 4. 学習データと予測性能クラシックな機械学習の入門 4. 学習データと予測性能
クラシックな機械学習の入門 4. 学習データと予測性能
 
機械学習による統計的実験計画(ベイズ最適化を中心に)
機械学習による統計的実験計画(ベイズ最適化を中心に)機械学習による統計的実験計画(ベイズ最適化を中心に)
機械学習による統計的実験計画(ベイズ最適化を中心に)
 

Viewers also liked

[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-
[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-
[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-Deep Learning JP
 
もしその単語がなかったら
もしその単語がなかったらもしその単語がなかったら
もしその単語がなかったらHiroshi Nakagawa
 
深層学習の判断根拠を理解するための 研究とその意義 @PRMU 2017熊本
深層学習の判断根拠を理解するための 研究とその意義 @PRMU 2017熊本深層学習の判断根拠を理解するための 研究とその意義 @PRMU 2017熊本
深層学習の判断根拠を理解するための 研究とその意義 @PRMU 2017熊本Takahiro Kubo
 
20171024NL研報告スライド
20171024NL研報告スライド20171024NL研報告スライド
20171024NL研報告スライドMasatoshi TSUCHIYA
 
[DL輪読会]Learning by Association - A versatile semi-supervised training method ...
[DL輪読会]Learning by Association - A versatile semi-supervised training method ...[DL輪読会]Learning by Association - A versatile semi-supervised training method ...
[DL輪読会]Learning by Association - A versatile semi-supervised training method ...Deep Learning JP
 
StanとRでベイズ統計モデリング読書会 Chapter 7(7.6-7.9) 回帰分析の悩みどころ ~統計の力で歌うまになりたい~
StanとRでベイズ統計モデリング読書会 Chapter 7(7.6-7.9) 回帰分析の悩みどころ ~統計の力で歌うまになりたい~StanとRでベイズ統計モデリング読書会 Chapter 7(7.6-7.9) 回帰分析の悩みどころ ~統計の力で歌うまになりたい~
StanとRでベイズ統計モデリング読書会 Chapter 7(7.6-7.9) 回帰分析の悩みどころ ~統計の力で歌うまになりたい~nocchi_airport
 
多項式あてはめで眺めるベイズ推定 ~今日からきみもベイジアン~
多項式あてはめで眺めるベイズ推定 ~今日からきみもベイジアン~ 多項式あてはめで眺めるベイズ推定 ~今日からきみもベイジアン~
多項式あてはめで眺めるベイズ推定 ~今日からきみもベイジアン~ tanutarou
 
新規事業・起業を妨げる「ビジネスモデル症候群」とは
新規事業・起業を妨げる「ビジネスモデル症候群」とは新規事業・起業を妨げる「ビジネスモデル症候群」とは
新規事業・起業を妨げる「ビジネスモデル症候群」とはLean Startup Japan LLC
 
確率的プログラミングライブラリEdward
確率的プログラミングライブラリEdward確率的プログラミングライブラリEdward
確率的プログラミングライブラリEdwardYuta Kashino
 
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜Jumpei Miyata
 
Tokyo webmining 2017-10-28
Tokyo webmining 2017-10-28Tokyo webmining 2017-10-28
Tokyo webmining 2017-10-28Kimikazu Kato
 
(DL hacks輪読)Bayesian Neural Network
(DL hacks輪読)Bayesian Neural Network(DL hacks輪読)Bayesian Neural Network
(DL hacks輪読)Bayesian Neural NetworkMasahiro Suzuki
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話Kumazaki Hiroki
 

Viewers also liked (16)

[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-
[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-
[DLHacks LT] PytorchのDataLoader -torchtextのソースコードを読んでみた-
 
もしその単語がなかったら
もしその単語がなかったらもしその単語がなかったら
もしその単語がなかったら
 
深層学習の判断根拠を理解するための 研究とその意義 @PRMU 2017熊本
深層学習の判断根拠を理解するための 研究とその意義 @PRMU 2017熊本深層学習の判断根拠を理解するための 研究とその意義 @PRMU 2017熊本
深層学習の判断根拠を理解するための 研究とその意義 @PRMU 2017熊本
 
20171024NL研報告スライド
20171024NL研報告スライド20171024NL研報告スライド
20171024NL研報告スライド
 
[DL輪読会]Learning by Association - A versatile semi-supervised training method ...
[DL輪読会]Learning by Association - A versatile semi-supervised training method ...[DL輪読会]Learning by Association - A versatile semi-supervised training method ...
[DL輪読会]Learning by Association - A versatile semi-supervised training method ...
 
Dragon: A Distributed Object Storage at Yahoo! JAPAN (WebDB Forum 2017)
Dragon: A Distributed Object Storage at Yahoo! JAPAN (WebDB Forum 2017)Dragon: A Distributed Object Storage at Yahoo! JAPAN (WebDB Forum 2017)
Dragon: A Distributed Object Storage at Yahoo! JAPAN (WebDB Forum 2017)
 
StanとRでベイズ統計モデリング読書会 Chapter 7(7.6-7.9) 回帰分析の悩みどころ ~統計の力で歌うまになりたい~
StanとRでベイズ統計モデリング読書会 Chapter 7(7.6-7.9) 回帰分析の悩みどころ ~統計の力で歌うまになりたい~StanとRでベイズ統計モデリング読書会 Chapter 7(7.6-7.9) 回帰分析の悩みどころ ~統計の力で歌うまになりたい~
StanとRでベイズ統計モデリング読書会 Chapter 7(7.6-7.9) 回帰分析の悩みどころ ~統計の力で歌うまになりたい~
 
スキルチェックリスト 2017年版
スキルチェックリスト 2017年版スキルチェックリスト 2017年版
スキルチェックリスト 2017年版
 
多項式あてはめで眺めるベイズ推定 ~今日からきみもベイジアン~
多項式あてはめで眺めるベイズ推定 ~今日からきみもベイジアン~ 多項式あてはめで眺めるベイズ推定 ~今日からきみもベイジアン~
多項式あてはめで眺めるベイズ推定 ~今日からきみもベイジアン~
 
新規事業・起業を妨げる「ビジネスモデル症候群」とは
新規事業・起業を妨げる「ビジネスモデル症候群」とは新規事業・起業を妨げる「ビジネスモデル症候群」とは
新規事業・起業を妨げる「ビジネスモデル症候群」とは
 
確率的プログラミングライブラリEdward
確率的プログラミングライブラリEdward確率的プログラミングライブラリEdward
確率的プログラミングライブラリEdward
 
AWS Black Belt - AWS Glue
AWS Black Belt - AWS GlueAWS Black Belt - AWS Glue
AWS Black Belt - AWS Glue
 
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜すべてを自動化せよ! 〜生産性向上チームの挑戦〜
すべてを自動化せよ! 〜生産性向上チームの挑戦〜
 
Tokyo webmining 2017-10-28
Tokyo webmining 2017-10-28Tokyo webmining 2017-10-28
Tokyo webmining 2017-10-28
 
(DL hacks輪読)Bayesian Neural Network
(DL hacks輪読)Bayesian Neural Network(DL hacks輪読)Bayesian Neural Network
(DL hacks輪読)Bayesian Neural Network
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
 

Similar to PoisoningAttackSVM (ICMLreading2012)

パターン認識 08 09 k-近傍法 lvq
パターン認識 08 09 k-近傍法 lvqパターン認識 08 09 k-近傍法 lvq
パターン認識 08 09 k-近傍法 lvqsleipnir002
 
Datamining 5th Knn
Datamining 5th KnnDatamining 5th Knn
Datamining 5th Knnsesejun
 
Anomaly detection 系の論文を一言でまとめた
Anomaly detection 系の論文を一言でまとめたAnomaly detection 系の論文を一言でまとめた
Anomaly detection 系の論文を一言でまとめたぱんいち すみもと
 
Datamining 5th knn
Datamining 5th knnDatamining 5th knn
Datamining 5th knnsesejun
 
ICML2018読み会: Overview of NLP / Adversarial Attacks
ICML2018読み会: Overview of NLP / Adversarial AttacksICML2018読み会: Overview of NLP / Adversarial Attacks
ICML2018読み会: Overview of NLP / Adversarial AttacksMotoki Sato
 
九大_DS実践_画像処理応用
九大_DS実践_画像処理応用九大_DS実践_画像処理応用
九大_DS実践_画像処理応用RyomaBise1
 
九大_DS実践_画像処理応用
九大_DS実践_画像処理応用九大_DS実践_画像処理応用
九大_DS実践_画像処理応用RyomaBise1
 
Opencv object detection_takmin
Opencv object detection_takminOpencv object detection_takmin
Opencv object detection_takminTakuya Minagawa
 
SSII2022 [TS3] コンテンツ制作を支援する機械学習技術​〜 イラストレーションやデザインの基礎から最新鋭の技術まで 〜​
SSII2022 [TS3] コンテンツ制作を支援する機械学習技術​〜 イラストレーションやデザインの基礎から最新鋭の技術まで 〜​SSII2022 [TS3] コンテンツ制作を支援する機械学習技術​〜 イラストレーションやデザインの基礎から最新鋭の技術まで 〜​
SSII2022 [TS3] コンテンツ制作を支援する機械学習技術​〜 イラストレーションやデザインの基礎から最新鋭の技術まで 〜​SSII
 
東京都市大学 データ解析入門 8 クラスタリングと分類分析 1
東京都市大学 データ解析入門 8 クラスタリングと分類分析 1東京都市大学 データ解析入門 8 クラスタリングと分類分析 1
東京都市大学 データ解析入門 8 クラスタリングと分類分析 1hirokazutanaka
 
Eigentrust (in Japanese)
Eigentrust (in Japanese)Eigentrust (in Japanese)
Eigentrust (in Japanese)snarazaki
 
パターン認識 04 混合正規分布
パターン認識 04 混合正規分布パターン認識 04 混合正規分布
パターン認識 04 混合正規分布sleipnir002
 
Large Scale Incremental Learning
Large Scale Incremental LearningLarge Scale Incremental Learning
Large Scale Incremental Learningcvpaper. challenge
 
機械学習 入門
機械学習 入門機械学習 入門
機械学習 入門Hayato Maki
 
PRML 1.5-1.5.5 決定理論
PRML 1.5-1.5.5 決定理論PRML 1.5-1.5.5 決定理論
PRML 1.5-1.5.5 決定理論Akihiro Nitta
 
Infinite SVM [改] - ICML 2011 読み会
Infinite SVM [改] - ICML 2011 読み会Infinite SVM [改] - ICML 2011 読み会
Infinite SVM [改] - ICML 2011 読み会Shuyo Nakatani
 

Similar to PoisoningAttackSVM (ICMLreading2012) (20)

Deep learning入門
Deep learning入門Deep learning入門
Deep learning入門
 
パターン認識 08 09 k-近傍法 lvq
パターン認識 08 09 k-近傍法 lvqパターン認識 08 09 k-近傍法 lvq
パターン認識 08 09 k-近傍法 lvq
 
Datamining 5th Knn
Datamining 5th KnnDatamining 5th Knn
Datamining 5th Knn
 
Anomaly detection 系の論文を一言でまとめた
Anomaly detection 系の論文を一言でまとめたAnomaly detection 系の論文を一言でまとめた
Anomaly detection 系の論文を一言でまとめた
 
bigdata2012ml okanohara
bigdata2012ml okanoharabigdata2012ml okanohara
bigdata2012ml okanohara
 
Datamining 5th knn
Datamining 5th knnDatamining 5th knn
Datamining 5th knn
 
ICML2018読み会: Overview of NLP / Adversarial Attacks
ICML2018読み会: Overview of NLP / Adversarial AttacksICML2018読み会: Overview of NLP / Adversarial Attacks
ICML2018読み会: Overview of NLP / Adversarial Attacks
 
九大_DS実践_画像処理応用
九大_DS実践_画像処理応用九大_DS実践_画像処理応用
九大_DS実践_画像処理応用
 
九大_DS実践_画像処理応用
九大_DS実践_画像処理応用九大_DS実践_画像処理応用
九大_DS実践_画像処理応用
 
Opencv object detection_takmin
Opencv object detection_takminOpencv object detection_takmin
Opencv object detection_takmin
 
Machine Learning Fundamentals IEEE
Machine Learning Fundamentals IEEEMachine Learning Fundamentals IEEE
Machine Learning Fundamentals IEEE
 
SSII2022 [TS3] コンテンツ制作を支援する機械学習技術​〜 イラストレーションやデザインの基礎から最新鋭の技術まで 〜​
SSII2022 [TS3] コンテンツ制作を支援する機械学習技術​〜 イラストレーションやデザインの基礎から最新鋭の技術まで 〜​SSII2022 [TS3] コンテンツ制作を支援する機械学習技術​〜 イラストレーションやデザインの基礎から最新鋭の技術まで 〜​
SSII2022 [TS3] コンテンツ制作を支援する機械学習技術​〜 イラストレーションやデザインの基礎から最新鋭の技術まで 〜​
 
東京都市大学 データ解析入門 8 クラスタリングと分類分析 1
東京都市大学 データ解析入門 8 クラスタリングと分類分析 1東京都市大学 データ解析入門 8 クラスタリングと分類分析 1
東京都市大学 データ解析入門 8 クラスタリングと分類分析 1
 
Eigentrust (in Japanese)
Eigentrust (in Japanese)Eigentrust (in Japanese)
Eigentrust (in Japanese)
 
画像処理応用
画像処理応用画像処理応用
画像処理応用
 
パターン認識 04 混合正規分布
パターン認識 04 混合正規分布パターン認識 04 混合正規分布
パターン認識 04 混合正規分布
 
Large Scale Incremental Learning
Large Scale Incremental LearningLarge Scale Incremental Learning
Large Scale Incremental Learning
 
機械学習 入門
機械学習 入門機械学習 入門
機械学習 入門
 
PRML 1.5-1.5.5 決定理論
PRML 1.5-1.5.5 決定理論PRML 1.5-1.5.5 決定理論
PRML 1.5-1.5.5 決定理論
 
Infinite SVM [改] - ICML 2011 読み会
Infinite SVM [改] - ICML 2011 読み会Infinite SVM [改] - ICML 2011 読み会
Infinite SVM [改] - ICML 2011 読み会
 

More from Hidekazu Oiwa

NIPS2014読み会 NIPS参加報告
NIPS2014読み会 NIPS参加報告NIPS2014読み会 NIPS参加報告
NIPS2014読み会 NIPS参加報告Hidekazu Oiwa
 
SGD+α: 確率的勾配降下法の現在と未来
SGD+α: 確率的勾配降下法の現在と未来SGD+α: 確率的勾配降下法の現在と未来
SGD+α: 確率的勾配降下法の現在と未来Hidekazu Oiwa
 
ICML2013読み会 Large-Scale Learning with Less RAM via Randomization
ICML2013読み会 Large-Scale Learning with Less RAM via RandomizationICML2013読み会 Large-Scale Learning with Less RAM via Randomization
ICML2013読み会 Large-Scale Learning with Less RAM via RandomizationHidekazu Oiwa
 
Incentive Compatible Regression Learning (Mathematical Informatics Reading)
Incentive Compatible Regression Learning (Mathematical Informatics Reading)Incentive Compatible Regression Learning (Mathematical Informatics Reading)
Incentive Compatible Regression Learning (Mathematical Informatics Reading)Hidekazu Oiwa
 

More from Hidekazu Oiwa (10)

NIPS2014読み会 NIPS参加報告
NIPS2014読み会 NIPS参加報告NIPS2014読み会 NIPS参加報告
NIPS2014読み会 NIPS参加報告
 
SGD+α: 確率的勾配降下法の現在と未来
SGD+α: 確率的勾配降下法の現在と未来SGD+α: 確率的勾配降下法の現在と未来
SGD+α: 確率的勾配降下法の現在と未来
 
ICML2013読み会 Large-Scale Learning with Less RAM via Randomization
ICML2013読み会 Large-Scale Learning with Less RAM via RandomizationICML2013読み会 Large-Scale Learning with Less RAM via Randomization
ICML2013読み会 Large-Scale Learning with Less RAM via Randomization
 
Incentive Compatible Regression Learning (Mathematical Informatics Reading)
Incentive Compatible Regression Learning (Mathematical Informatics Reading)Incentive Compatible Regression Learning (Mathematical Informatics Reading)
Incentive Compatible Regression Learning (Mathematical Informatics Reading)
 
OnlineClassifiers
OnlineClassifiersOnlineClassifiers
OnlineClassifiers
 
Prml9
Prml9Prml9
Prml9
 
IBMModel2
IBMModel2IBMModel2
IBMModel2
 
Pfi last seminar
Pfi last seminarPfi last seminar
Pfi last seminar
 
PRML5
PRML5PRML5
PRML5
 
Arow
ArowArow
Arow
 

Recently uploaded

Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 

Recently uploaded (9)

Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 

PoisoningAttackSVM (ICMLreading2012)

  • 1. Poisoning Attacks against Support Vector Machines ICML読み会 2012/07/28 Hidekazu Oiwa (@kisa12012) oiwa (at) r.dl.itc.u-tokyo.ac.jp 12年7月28日土曜日 1
  • 2. 読む論文 • Poisoning Attacks against Support Vector Machines • Battista Biggio (Itary), Blaine Nelson, Pavel Laskov (German) • http://icml.cc/2012/papers/880.pdf (論文) • http://www.slideshare.net/pragroup/battista- biggio-icml2012-poisoning-attacks-against- support-vector-machines (スライド) • 第一著者がDr. Laskovの元へ約半年visitingしてた時の論文 • Adversarial Classificationの研究者 12年7月28日土曜日 2
  • 3. 目次 • 研究の概要 • Poisoning Attacksとは? • 問題設定 • 提案アルゴリズム • Poisoning Attacks against SVMs • カーネルSVMへの拡張 • 実験 • 人工データ実験 • 手書き文字認識実験 12年7月28日土曜日 3
  • 5. 背景 • (大規模)機械学習流行中 • Malicious Behavior : 悪意あるエージェントの行動 • 分類器や異常検知器を混乱させる様に動く • Ex. スパムフィルタリング・マルウェア解析 • 目標:Malicious Behaviorに頑健なアルゴリズム • そのためには… • Malicious Behaviorの性質の分析が求められる 12年7月28日土曜日 5
  • 6. Malicious Behaviorの分類 [Barreno+ ML10] • Causative Attack • 設計者が持っている訓練データを直接操作,書き換え • Exploratory Attack • 設計者が持っている分類器を直接操作,書き換え • これらに対応したアルゴリズムは,すでに複数提案されている • Poisoning Attack • 設計者の訓練データに新しく悪性データを注入 • 他の手法と比べて,より現実的な攻撃方法 • 設計者のデータベースを直接弄る必要がないため • 異常検知系の先行研究しかない [Kloft+ AISTATS10]+ 12年7月28日土曜日 6
  • 7. Poisoning Attack 訓練データ SVM 12年7月28日土曜日 7
  • 8. Poisoning Attack 訓練データ SVM 12年7月28日土曜日 7
  • 9. Poisoning Attack 訓練データ SVM 性能劣化 12年7月28日土曜日 7
  • 10. 問題設定 設計者 攻撃者 training set validation set n m Dtr = {xi , yi }i=1 Dval = {xk , yk }k=1 悪性データ (xc , yc ) yc は予め固定 SVMは悪性データを含めた Validation Setに対する分類性能を training setから学習 一番押し下げる xc を生成 12年7月28日土曜日 8
  • 11. 本研究の概要 • SVMへのPoisoning Attacksの解析 • 悪性データ作成アルゴリズムの提案 • Incremental SVM • カーネル拡張 • 人工データ実験 • 手書き文字認識データ実験 12年7月28日土曜日 9
  • 13. 最適化問題 X X max L(xc ) = [1 yk fxc (xk )]+ = gk (xc ) xc k k • Validation Setにおける損失を最大化 • fx (·) : 悪性データ込みで学習されたSVM c • 非凸な最適化問題 0 xc = xc + t · u • 解法:Gradient Ascent u / rL(xc ) • SVMの更新と悪性データの更新を繰り返す • ステップ幅を適切に設定すれば局所最適解に収束 12年7月28日土曜日 11
  • 14. アルゴリズムの概要 Poisoning Attacks against SVMs Algorithm 1 Poisoning attack against SVM 3.1. Artificial data Input: Dtr , the training data; Dval , the validation (0) data; yc , the class label of the attack point; xc , the 初期点は,既存データ We first consider a two-dimensional da model in which each class follows a G initial attack point; t, the step size. のラベルをflipして作成 bution with mean and covariance mat Output: xc , the final attack point. µ = [ 1.5, 0], µ+ = [1.5, 0], ⌃ = 1: {↵i , b} learn an SVM on Dtr . The points from the negative distributio 2: k 0. the label 1 (shown as red in the subse 3: repeat and otherwise +1 (shown as blue). Th (p) 4: Re-compute the SVM solution on Dtr [{xc , yc } the validation sets, Dtr and Dval (consis using incremental SVM (e.g., Cauwenberghs & SVMの更新 500 points per class, respectively) are ra Poggio, 2001). This step requires {↵i , b}. from this distribution. 5: Compute @L on Dval according to Eq. (10). 6: @u Set u to a unit vector aligned with @L . 勾配を算出 In the experiment presented below, the r (p) (p 1) @u attacking class. To this end, a random 7: k k⇣ 1 and xc⇣ + ⌘ xc⌘ + tu blue class is selected and its label is fli (p) (p 1) 8: until L xc L xc <✏ 悪性データの更新 as the starting point for our method. 9: return: xc = xc (p) ascent method is then used to refine t til its termination condition is satisfied. from [Biggio+ 12] trajectory is traced as the black line in F 12年7月28日土曜日 the linear kernel (upper two plots) and 12
  • 15. SVMの更新 • Incremental SVM [Cauwenberghs+ NIPS00] • 1つずつデータを追加しながらSVMを学習 • 全データの役割が不変な範囲の最適化問題を反復的に解く • Reserve Point / Support Vector / Error Vector • 条件を破らないと収束しない場 W W W 合,データの役割を変更 gi=0 gi>0 gi<0 • 各最適化時には,サポートベク αi=0 xi C αi xi C αi=C ターのパラメータのみが更新 xi • データが追加されるたびに,全 support vector error vector パラメータが収束するまで最適 Figure 1: Soft-margin classification SVM training. from [Cauwenberghs+ NIPS00] 化すれば,SVMの最適解に収束 coefficients are obtained by minimizing a convex quadratic objective func constraints [12] 12年7月28日土曜日 13
  • 16. 最適化問題の勾配計算 • Incremental SVMのアイデアを用いる Poisoning Attacks against SVMs product rule: • 更新時に各データの役割が変動しない仮定を置く inverted matrix are independent of x , we obtain: c @b • サポートベクターのみに着目すれば良い @↵ = 1 ↵ (Qc ss 1 )· @Q > sc + yk , (3) @u ⇣ @u @u • 更新式はカーネル関数に依存 @b = 1 ↵ c· @Q > . sc (9) @u ⇣ @u • 厳密な計算には,条件を破らないステップ幅の導出が必要 Substituting (9) into (3) and further into (1), we obtain @Qkc @b il. , @u @u . • 本研究では定数ステップ幅で値を更新,計算をサボる the desired gradient used for optimizing our attack: @L X⇢ m @Qsc @Qkc = Mk + ↵c , (10) @u @u @u can be further re- k=1 taken in direction where VM solution. This ate condition using 1 Mk = (Qks (Qss1 T ) + yk T ). enberghs & Poggio, ⇣ from [Biggio+ 12] oint in the training 12年7月28日土曜日 14
  • 18. 人工データ実験 Poisoning Attacks against SVMs mean Σi ξi (hinge loss) classification error 5 5 0.06 0.16 0.14 0.05 0.12 0.04 線形 0 0.1 0.08 0 0.03 カーネル 0.06 0.04 0.02 0.01 0.02 −5 0 −5 −5 0 5 −5 0 5 mean Σi ξi (hinge loss) classification error 5 5 0.145 0.14 0.035 RBF 0.135 0.13 0.03 0 0 カーネル 0.125 0.12 0.025 0.115 −5 0.11 −5 0.02 −5 0 5 −5 0 5 from [Biggio+ 12] 12年7月28日土曜日 16
  • 19. 手書き文字認識 実験設定 MNIST 実験データ ( 7 vs. 1; 9 vs. 8; 4 vs. 0) 線形カーネル SVM C=1 training set 100 validation set 500 12年7月28日土曜日 17
  • 20. 手書き文字認識 実験結果 (7 vs. 1) Poisoning Attacks against SVMs Before attack (7 vs 1) After attack (7 vs 1) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 15 0.2 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations ラベルは1 from [Biggio+ 12] Before attack (9 vs 8) After attack (9 vs 8) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 12年7月28日土曜日 15 0.2 18
  • 21. Before attack (7 vs 1) After attack (7 vs 1) classification error 0.4 5 10 手書き文字認識 5 10 0.3 validation error testing error 0.2 実験結果 (8 vs. 9) 15 15 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations Before attack (9 vs 8) After attack (9 vs 8) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 15 0.2 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations ラベルは8 from [Biggio+ 12] Before attack (4 vs 0) After attack (4 vs 0) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 12年7月28日土曜日 15 0.2 19
  • 22. Before attack (9 vs 8) After attack (9 vs 8) classification error 0.4 5 10 手書き文字認識 5 10 0.3 validation error testing error 実験結果 (4 vs. 0) 15 15 0.2 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations Before attack (4 vs 0) After attack (4 vs 0) classification error 0.4 validation error 5 5 0.3 testing error 10 10 15 15 0.2 20 20 0.1 25 25 0 5 10 15 20 25 5 10 15 20 25 0 200 400 number of iterations ラベルは0 from [Biggio+ 12] Modifications to the initial (mislabeled) attack point performed by the proposed attack strategy, for d two-class problems from the MNIST data set. The increase in validation and testing errors across is also reported. 12年7月28日土曜日 20
  • 23. 実験結果から • 悪性データがラベルクラスの性質を取り込んだデータに変化 • 7の下部が1の横棒に似た形になるなど • 1データで,15-20%のエラー率向上を達成 • 初期点では2-5% • その後のデータ改良にて,上記のエラー率を達成 • アルゴリズムの有効性を示した形に • training dataの数を増やした時は,もっと性能は悪いで しょうが… 12年7月28日土曜日 21
  • 24. 0.25 0.2 0.15 複数データ実験 0.1 0.05 Poisoning Attacks against SVMs 0 0 2 4 6 8 ing manyattack points in training steps. It would be int % of tiny gradient data to investigate a more accurate and e cient co tion of the largest possible step that does not a classification error (7 vs 1) classification error (9 vs 8) 0.4 0.4 structure of the optimal solution. validation error validation error 0.35 testing error 0.35 Anothererror testing direction for research is the simultaneo • mization of multi-point attacks, which we succ 悪性データを一個ずつ追加で入れていった場合の性能推移 0.3 0.3 0.25 approached with sequential single-point attac 0.25 first question is how to optimally perturb a s 0.2 • 0.2 the training data; that is, instead of individua 決定境界に近いデータを初期点に置くと,悪性データ 0.15 0.15 mizing each attack point, one could derive sim 0.1 0.1 ous steps for every attack point to better optim がreserve pointに陥るため,そこで更新がストップ Poisoning Attacks against SVMs 0.05 0.05 overall e↵ect. The second question is how to the best subset of points to use as a startin 0 0 ing many attack points in trainingsteps. It would be interestingof attack points in training datathe latter is a subs for the attack. Generally, 0 2 0 2 4 6 8 % of tiny 4gradient data 6 8 % to investigate a more accurate and e cient computa- tion problem but heuristics may allow for impr tion of the largest possible step that does not alter the proximations. Regardless, we demonstrate th classification error (7 vs 1) structureclassificationoptimal8)solution. of the error (9 vs non-optimal multi-point attack strategies sign classification error (4 vs 0) 0.4 0.4 0.4 validation error validation error degrade the SVM’s performance. validation error 0.35 testing error 0.35 Another direction for research is the simultaneous opti- error testing error 0.35 testing mization of multi-point attacks, which we0.3 An important practical limitation of the p successfully 0.3 0.3 approached with sequential single-point 0.25 method is the assumption that the attacker attacks. The first question is how to optimally perturb a subset of of the injected points. Such assu the labels 0.25 0.25 0.2 0.2 0.2 may not hold when the labels are only assi the training data; that is, instead of individually opti- 0.15 0.15 trusted sources such as humans. For instance, 0.15 mizing each attack point, one could derive simultane- filter uses its users’ labeling of messages as its 0.1 0.1 ous steps for every attack point to better optimize their0.1 truth. Thus, although an attacker can send a 0.05 0.05 overall e↵ect. The second question is how to choose 0.05 messages, he cannot guarantee that they will h the best subset of points to use as a starting point 0 0 0 0 0 labels2 necessary for his attack. This imposes 4 6 8 0 2 4 6 8 for the%attack.4 Generally, the latter is a subset selec-of attack points in training data 2 6 8 % of attack points in training data of attack points in training data ditional requirement that the attack data mus % tion problem but heuristics may allow for improved ap- certain side constraints to fool the labeling orac from [Biggio+ 12] proximations. Regardless, we demonstrate Results of the multi-point, multi-run experiments Figure 3. that even is needed to understand these poten ther work classification error (9 vs 8) non-optimal multi-point0) classification error (4 vs attack strategies MNIST data set. In each plot, we show the clas- on the significantly 0.4 0.4 constraints and to incorporate them into atta validation error degrade the SVM’s performance. sification errors due to poisoning as a function of the per- validation error 0.35 centage of training contamination would bethe incorporate t 0.35 testing error testing error The final extension for both to validation 0.3 An important practical limitation of solid line) and inverse sets (black dashed problem; that (red the proposedtesting feature-mapping line). The world 0.3 12年7月28日土曜日 method is the assumption that the attacker controls of7 finding real-worldmiddle is data t topmost plotproblem is for the vs.1 classifier, the attack for 22 0.25
  • 25. まとめ • SVMに毒を盛る! • SVMの精度をガタ落ちさせるデータを新しく注入 • 性能を落とすデータの作り方を提案 • 最適化問題は非凸だが,勾配法で解く形に • カーネルSVMにも適用可能 • 手書き文字認識タスクで実験 • たった1データで精度を2割前後落とす事に成功 12年7月28日土曜日 23
  • 26. Future Work • より効率的,頑健,高速な最適化手法 • カーネル毎でのPoisoning Attackへの耐性評価 • 複数の悪性データを同時に注入可能なケース • データのラベルを攻撃者が固定できないケース • 設計者の人力でラベル付けされる場合等 • ラベル付を誘導するため,入力データに制約が必要 • 現実的には,入力データの人工生成は困難 • 入力ベクトルがbag-of-wordsの場合,それっぽいテキストに 変換可能な結果を返す必要がある 12年7月28日土曜日 24