CN113642717B - 一种基于差分隐私的卷积神经网络训练方法 - Google Patents
一种基于差分隐私的卷积神经网络训练方法 Download PDFInfo
- Publication number
- CN113642717B CN113642717B CN202111015904.8A CN202111015904A CN113642717B CN 113642717 B CN113642717 B CN 113642717B CN 202111015904 A CN202111015904 A CN 202111015904A CN 113642717 B CN113642717 B CN 113642717B
- Authority
- CN
- China
- Prior art keywords
- model
- neural network
- iteration
- gradient
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013527 convolutional neural network Methods 0.000 title claims abstract description 59
- 238000012549 training Methods 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000011176 pooling Methods 0.000 claims abstract description 32
- 238000003062 neural network model Methods 0.000 claims abstract description 7
- 230000009467 reduction Effects 0.000 claims abstract description 7
- 238000005070 sampling Methods 0.000 claims abstract description 7
- 230000006870 function Effects 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 6
- 239000011159 matrix material Substances 0.000 claims description 6
- 238000013528 artificial neural network Methods 0.000 abstract description 6
- 238000012545 processing Methods 0.000 abstract description 4
- 238000013135 deep learning Methods 0.000 description 11
- 238000010801 machine learning Methods 0.000 description 4
- 238000013136 deep learning model Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/082—Learning methods modifying the architecture, e.g. adding, deleting or silencing nodes or connections
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Bioethics (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种基于差分隐私的卷积神经网络训练方法,首先给定图像数据集,创建卷积神经网络模型,随机初始化卷积神经网络模型的参数,从图像数据集中随机取样输入至卷积神经网络模型中,对样本数据进行卷积操作得到特征图,由池化操作得到降维处理后的特征,对特征添加服从拉普拉斯分布的噪声,得到经过差分隐私保护的特征;具有差分隐私保护的特征在卷积神经网络模型中进行训练,计算隐私预算,得到最优模型参数,保存训练好的具有最优模型参数的差分隐私卷积神经网络模型;将需要保护的数据输入到所训练好的差分隐私卷积神经网络模型中,得到差分隐私保护后的数据。本发明解决了现有技术中存在的会使训练模型的精度降低或者梯度失真问题。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种基于差分隐私的卷积神经网络训练方法。
背景技术
大数据时代丰富的信息来源促进了机器学习技术的蓬勃发展,深度学习(DeepLearning)是机器学习的分支,是一种试图使用包含复杂结构或由多重非线性变换构成的多个处理层对数据进行高层抽象的算法。深度学习是机器学习中一种基于对数据进行表征学习的算法,至今已有数种深度学习框架,如卷积神经网络、深度置信网络和递归神经网络等。随着深度学习的不断发展,深度学习技术已经在各种数据挖掘任务中取得了令人瞩目的成果,如计算机视觉、语音识别、自然语言处理、音频识别与生物信息学等。
卷积神经网络(Convolution Neural Network,CNN)在许多机器学习问题中均表现出出色的性能。卷积神经网络的一个处理步骤通常称为一层,卷积层、池化层和全连接层是卷积神经网络架构的三种主要类型的层。卷积层是卷积神经网络使用的主要构造块,卷积层进行的处理就是卷积运算。CNN中将卷积层的输入数据称为输入特征图,输出数据称为输出特征图。卷积层的输出特征图经池化层进行向下采样,池化是缩小长、高方向上的运算,减少网络的计算量。在全连接层中,每个神经元接收来自前一层的每个元素的输入,全连接层输出一个长度等于该层神经元数量的向量。
深度学习能够在诸多领域取得显著成果得益于拥有大量的可用于模型训练的数据,然而这些第三方数据源所提供的众包数据通常包含许多的敏感信息,深度学习模型的训练集在数据采集、模型训练等各个环节中均存在隐私泄漏的风险,隐私保护显得尤为重要。例如已经证实基于卷积神经网络的疾病识别分类器可以通过反复查询输出概率来恢复训练数据集中的个人隐私信息。但现有的隐私问题可能会阻碍用户共享其数据,这不利于深度学习的发展。
为了解决这类攻击所带来的问题,基于差分隐私(Differential Privacy,DP)的深度学习模型方法被提出。差分隐私保护是一种基于数据失真的隐私保护技术,其确保数据集中单个记录的变化不会影响查询结果,即使攻击者具有无限背景知识也可以保证相邻数据集的查询具有概率不可区分性。在深度学习领域,为了使深度学习模型满足差分隐私,一种方法是直接对原始数据添加噪声,但这种方法可能会使训练模型的精度严重下降。另一种方式是向梯度中添加噪声,由于这种方法在每次迭代过程中,给梯度添加了同一分布且相同数量的噪声,导致原始梯度过于失真,因此无法完全避免精度下降的问题,且会使得模型的收敛速度很慢。
差分隐私保护技术主要是通过对查询的结果加入噪声来实现的,其参数ε代表隐私保护强度,该参数的分配对保护隐私信息安全起到关键作用,噪声过小会影响隐私保护的强度,噪声过大则会影响数据的可用性,从而会使数据失真,因此,差分隐私保护的研究需要在保证数据可用性的前提下,合理分配隐私预算,提高隐私保护强度。本发明将差分隐私与神经网络相结合,在神经网络的训练过程中首先对卷积池化后的数据加入噪声,再对梯度进行裁剪,继而对梯度加入噪声,在保护数据隐私的同时提高模型的可用性。
发明内容
本发明的目的是提供一种基于差分隐私的卷积神经网络训练方法,解决了现有技术中存在的会使训练模型的精度降低或者梯度失真问题。
本发明所采用的技术方案是,一种基于差分隐私的卷积神经网络训练方法,具体按照以下步骤实施:
步骤1、给定图像数据集D={(X1,y1),...,(Xj,yj),...,(Xm,ym)|j∈(1,m)},其中Xm表示元素记录,ym表示元素类别。图像数据看作像素构成的矩阵,图像特征隐藏在像素矩阵中,通过构建卷积神经网络对特征进行处理,通过图像特征对图像进行分类,创建卷积神经网络模型,卷积神经网络模型包含输入层、卷积层、池化层和全连接层,随机初始化卷积神经网络模型的参数θ;
步骤2、从图像数据集D中随机取样,选取n个样本数据,将样本数据输入至卷积神经网络模型中,对样本数据进行卷积操作得到特征图,由池化操作得到降维处理后的特征,对特征添加服从拉普拉斯分布的噪声,得到经过差分隐私保护的特征;
步骤3、将步骤2中得到的具有差分隐私保护的特征,在卷积神经网络模型中进行训练,进行前向传播获取模型预测值,计算损失函数,并对参数求偏导,从而得出梯度值,再对梯度值进行裁剪;
步骤4,计算隐私预算,为裁剪后的梯度加入高斯噪声,并更新参数,直至完成t次迭代;得到最优模型参数,保存训练好的具有最优模型参数的差分隐私卷积神经网络模型;
步骤5,将需要保护的数据输入到步骤4中所训练好的差分隐私卷积神经网络模型中,得到差分隐私保护后的数据。
本发明的特点还在于,
步骤1具体按照以下步骤实施:
步骤1.1、给定图像数据集D={(X1,y1),...,(Xj,yj),...,(Xm,ym)|j∈(1,m)}。创建卷积神经网络模型CNN,包含输入层、两个卷积层、两个最大池化层和一个全连接层,卷积层需要定义的参数如下:卷积核大小为q×q,卷积核个数M,卷积核尺寸A、填充P以及步长S,池化层需要定义池化尺寸k,池化方式为最大池化,随机初始化卷积神经网络模型的参数θ;
其中,数据集D分为W个类,Xm表示数据记录,ym表示数据真实值,即数据Xm属于哪个类。
步骤2具体按照以下步骤实施:
步骤2.1、设置迭代次数t=1,2,...,T,从图像数据集D中进行随机取样,选取nt个样本作为当前迭代的训练样本集Dt,其中nt代表第t次迭代时的数据集Dt的样本数,θt代表第t次迭代时的模型参数,εt为第t次迭代时的隐私预算;
步骤2.2、将第t次迭代时的训练样本集Dt的样本输入至卷积神经网络模型中,对输入的数据进行卷积操作得到特征图,再池化操作,对特征图进行向下采样,特征数量会大量减少,得到降维后的特征;
步骤2.3、对步骤2.2中卷积池化之后的特征,添加服从拉普拉斯分布的噪声,得到经过差分隐私保护的四维张量。
步骤3具体按照以下步骤实施:
步骤3.1、将步骤2.3得到的结果继续在卷积神经网络模型中进行前向传播,得到n个模型预测值 代表训练样本集Dt中每个样本属于第W个类的概率;
步骤3.2、根据每个样本的模型预测值以及样本的真实值ym计算损失函数;
步骤3.3、通过每个样本计算出的损失函数对第t次迭代的模型参数θt求偏导,得到当前迭代的模型梯度gt;
步骤3.4、计算第t次迭代的梯度裁剪阈值Ct;
步骤3.5、将第t次迭代的模型梯度gt的L2范数||gt||2与裁剪阈值Ct进行比较;
步骤3.6、如果模型梯度gt的L2范数||gt||2小于等于裁剪阈值Ct,即||gt||2≤Ct,则让模型梯度gt保持不变;
步骤3.7、如果模型梯度gt的L2范数||gt||2大于裁剪阈值Ct,即||gt||2>Ct,则令模型梯度gt等于裁剪阈值Ct,即gt=Ct;
步骤3.8、根据步骤3.6和步骤3.7中梯度裁剪方法,得到最终裁剪后的梯度
步骤3.4中,裁剪阈值Ct的计算方式为:
其中,nt表示第t次迭代时的训练样本集Dt的数量,Xi表示训练样本集Dt的一条数据,对训练样本集Dt中所有训练数据的模型梯度gt求和,Ct-1表示第t-1次迭代的裁剪阈值。
步骤4具体按照以下步骤实施:
步骤4.1、计算当前迭代的隐私预算εt;
步骤4.2、对裁剪后的梯度添加高斯噪声,得到含噪声的梯度/>
其中,表示概率密度符合以0为均值、/>为方差的高斯分布的噪声,σ为高斯噪声的噪声规模,为预先设定的超参数,/>表示梯度裁剪阈值,I为指示函数;
步骤4.3、对模型参数进行更新:
其中,θt+1表示第t+1次迭代的模型参数,ηt为第t次迭代的学习率;
步骤4.4、判断t是否达到最大迭代次数T,如果是,则θt+1为最优模型参数进行输出,否则返回步骤1.2,进行下一次迭代。
步骤4.1中,第t次迭代时的隐私预算εt的计算方式为:
其中,ε为总的隐私预算,ε1为第一次迭代时的隐私预算,T为最大迭代次数。
本发明的有益效果是,本发明在对数据特征添加噪声时并没有采取对输入数据的所有特征值添加噪声的方法,而是在数据经过卷积池化之后,对所得结果添加服从拉普拉斯分布的噪声,这有效减少了扰动数据时的噪声量,在保护隐私的同时能够有效提升模型的实用性。此外,在对模型梯度添加噪声前,首先对梯度进行裁剪,以限制单个样本对梯度的影响,在每一次迭代时计算不同的裁剪阈值,然后对裁剪后的梯度根据不同的隐私预算添加噪声,这进一步控制了噪声对模型精度和收敛速度的影响,从而提高了模型的实用性。
附图说明
图1是本发明基于差分隐私的卷积神经网络训练方法的流程框图。
具体实施方式
下面结合附图和具体实施方式对本发明进行详细说明。
在卷积网络训练的过程中加入服从拉普拉斯分布或高斯分布的噪声以保护数据的隐私。即首先对经过卷积之后的数据特征添加噪声,然后通过自适应梯度阈值裁剪的方法对梯度添加噪声,在此基础上对模型进行训练,得到具有差分隐私保护的卷积神经网络模型。
针对现有的深度学习隐私保护方法在做分类预测任务时,每次迭代中噪声过多而导致的模型精度下降的问题,本发明的特征加噪及自适应切割阈值的深度学习差分隐私保护方法与现有方法在思路上不同,首先对经过卷积之后的数据特征添加噪声,通过减少添加的噪声量来减少噪声对数据的影响,再通过自适应梯度阈值裁剪的方法对梯度添加噪声,而不是对原始数据添加噪声,经过两次加噪之后,训练出的模型能够具有更高的预测准确率。
本发明一种基于差分隐私的卷积神经网络训练方法,流程图如图1所示,具体按照以下步骤实施:
步骤1、给定图像数据集D={(X1,y1),...,(Xj,yj),...,(Xm,ym)|j∈(1,m)},其中,数据集D分为W个类,Xm表示数据记录,ym表示数据真实值,即数据Xm属于哪个类。图像数据看作像素构成的矩阵,图像特征隐藏在像素矩阵中,通过构建卷积神经网络对特征进行处理,通过图像特征对图像进行分类,创建卷积神经网络模型,卷积神经网络模型包含输入层、卷积层、池化层和全连接层,随机初始化卷积神经网络模型的参数θ;
步骤1具体按照以下步骤实施:
步骤1.1、给定图像数据集D={(X1,y1),...,(Xj,yj),...,(Xm,ym)|j∈(1,m)},创建卷积神经网络模型CNN,包含输入层、两个卷积层、两个最大池化层和一个全连接层,卷积层需要定义的参数如下:卷积核大小为q×q,卷积核个数M,卷积核尺寸A、填充P以及步长S,池化层需要定义池化尺寸k,池化方式为最大池化,随机初始化卷积神经网络模型的参数θ;
其中,数据集分为W个类,Xm表示数据记录,ym表示数据真实值,即数据Xm属于哪个类。
步骤2、从图像数据集D中随机取样,选取n个样本数据,将样本数据输入至卷积神经网络模型中,对样本数据进行卷积操作得到特征图,由池化操作得到降维处理后的特征,对特征添加服从拉普拉斯分布的噪声,得到经过差分隐私保护的特征;
步骤2具体按照以下步骤实施:
步骤2.1、设置迭代次数t=1,2,...,T,从图像数据集D中进行随机取样,选取nt个样本作为当前迭代的训练样本集Dt,其中nt代表第t次迭代时的数据集Dt的样本数,θt代表第t次迭代时的模型参数,εt为第t次迭代时的隐私预算;
步骤2.2、将第t次迭代时的训练样本集Dt的样本输入至卷积神经网络模型中,对输入的数据进行卷积操作得到特征图,再池化操作,对特征图进行向下采样,特征数量会大量减少,得到降维后的特征;
步骤2.3、对步骤2.2中卷积池化之后的特征,添加服从拉普拉斯分布的噪声,得到经过差分隐私保护的四维张量。
步骤3、将步骤2中得到的具有差分隐私保护的特征,在卷积神经网络模型中进行训练,进行前向传播获取模型预测值,计算损失函数,并对参数求偏导,从而得出梯度值,再对梯度值进行裁剪;
步骤3具体按照以下步骤实施:
步骤3.1、将步骤2.3得到的结果继续在卷积神经网络模型中进行前向传播,得到n个模型预测值 代表训练样本集Dt中每个样本属于第W个类的概率;
步骤3.2、根据每个样本的模型预测值以及样本的真实值ym计算损失函数;
步骤3.3、通过每个样本计算出的损失函数对第t次迭代的模型参数θt求偏导,得到当前迭代的模型梯度gt;
步骤3.4、计算第t次迭代的梯度裁剪阈值Ct;
步骤3.5、将第t次迭代的模型梯度gt的L2范数||gt||2与裁剪阈值Ct进行比较;
步骤3.6、如果模型梯度gt的L2范数||gt||2小于等于裁剪阈值Ct,即||gt||2≤Ct,则让模型梯度gt保持不变;
步骤3.7、如果模型梯度gt的L2范数||gt||2大于裁剪阈值Ct,即||gt||2>Ct,则令模型梯度gt等于裁剪阈值Ct,即gt=Ct;
步骤3.8、根据步骤3.6和步骤3.7中梯度裁剪方法,得到最终裁剪后的梯度
步骤3.4中,裁剪阈值Ct的计算方式为:
其中,nt表示第t次迭代时的训练样本集Dt的数量,Xi表示训练样本集Dt的一条数据,对训练样本集Dt中所有训练数据的模型梯度gt求和,Ct-1表示第t-1次迭代的裁剪阈值。
步骤4、计算隐私预算,为裁剪后的梯度加入高斯噪声,并更新参数,直至完成t次迭代;得到最优模型参数,保存训练好的具有最优模型参数的差分隐私卷积神经网络模型;
步骤4具体按照以下步骤实施:
步骤4.1、计算当前迭代的隐私预算εt;
步骤4.2、对裁剪后的梯度添加高斯噪声,得到含噪声的梯度/>
其中,表示概率密度符合以0为均值、/>为方差的高斯分布的噪声,σ为高斯噪声的噪声规模,为预先设定的超参数,/>表示梯度裁剪阈值,I为指示函数;
步骤4.3、对模型参数进行更新:
其中,θt+1表示第t+1次迭代的模型参数,ηt为第t次迭代的学习率;
步骤4.4、判断t是否达到最大迭代次数T,如果是,则θt+1为最优模型参数进行输出,否则返回步骤1.2,进行下一次迭代。
步骤4.1中,第t次迭代时的隐私预算εt的计算方式为:
其中,ε为总的隐私预算,ε1为第一次迭代时的隐私预算,T为最大迭代次数。
步骤5、将需要保护的数据输入到步骤4中所训练好的差分隐私卷积神经网络模型中,得到差分隐私保护后的数据。
Claims (3)
1.一种面向图像数据的卷积神经网络差分隐私训练方法,其特征在于,具体按照以下步骤实施:
步骤1、给定图像数据集D={(X1,y1),...,(Xj,yj),...,(Xm,ym)|j∈(1,m)},其中,数据集D分为W个类,Xm表示数据记录,ym表示数据真实值,即数据Xm属于哪个类;图像数据看作像素构成的矩阵,图像特征隐藏在像素矩阵中,通过构建卷积神经网络对特征进行处理,通过图像特征对图像进行分类,创建卷积神经网络模型,卷积神经网络模型包含输入层、卷积层、池化层和全连接层,随机初始化卷积神经网络模型的参数θ;
所述步骤1具体按照以下步骤实施:
步骤1.1、给定图像数据集D={(X1,y1),...,(Xj,yj),...,(Xm,ym)|j∈(1,m)},创建卷积神经网络模型CNN,包含输入层、两个卷积层、两个最大池化层和一个全连接层,卷积层需要定义的参数如下:卷积核大小为q×q,卷积核个数M,卷积核尺寸A、填充P以及步长S,池化层需要定义池化尺寸k,池化方式为最大池化,随机初始化卷积神经网络模型的参数θ;
其中,数据集分为W个类,Xm表示数据记录,ym表示数据真实值,即数据Xm属于哪个类;
步骤2、从图像数据集D中随机取样,选取n个样本数据,将样本数据输入至卷积神经网络模型中,对样本数据进行卷积操作得到特征图,由池化操作得到降维处理后的特征,对特征添加服从拉普拉斯分布的噪声,得到经过差分隐私保护的特征;
所述步骤2具体按照以下步骤实施:
步骤2.1、设置迭代次数t=1,2,...,T,从图像数据集D中进行随机取样,选取nt个样本作为当前迭代的训练样本集Dt,其中nt代表第t次迭代时的数据集Dt的样本数,θt代表第t次迭代时的模型参数,εt为第t次迭代时的隐私预算;
步骤2.2、将第t次迭代时的训练样本集Dt的样本输入至卷积神经网络模型中,对输入的数据进行卷积操作得到特征图,再池化操作,对特征图进行向下采样,特征数量会大量减少,得到降维后的特征;
步骤2.3、对步骤2.2中卷积池化之后的特征,添加服从拉普拉斯分布的噪声,得到经过差分隐私保护的四维张量;
步骤3、将步骤2中得到的具有差分隐私保护的特征,在卷积神经网络模型中进行训练,进行前向传播获取模型预测值,计算损失函数,并对参数求偏导,从而得出梯度值,再对梯度值进行裁剪;
所述步骤3具体按照以下步骤实施:
步骤3.1、将步骤2.3得到的结果继续在卷积神经网络模型中进行前向传播,得到n个模型预测值代表训练样本集Dt中每个样本属于第W个类的概率;
步骤3.2、根据每个样本的模型预测值以及样本的真实值ym计算损失函数;
步骤3.3、通过每个样本计算出的损失函数对第t次迭代的模型参数θt求偏导,得到当前迭代的模型梯度gt;
步骤3.4、计算第t次迭代的梯度裁剪阈值Ct;
步骤3.5、将第t次迭代的模型梯度gt的L2范数||gt||2与裁剪阈值Ct进行比较;
步骤3.6、如果模型梯度gt的L2范数||gt|2|小于等于裁剪阈值Ct,即||gt||2≤Ct,则让模型梯度gt保持不变;
步骤3.7、如果模型梯度gt的L2范数||gt||2大于裁剪阈值Ct,即||gt||2>Ct,则令模型梯度gt等于裁剪阈值Ct,即gt=Ct;
步骤3.8、根据步骤3.6和步骤3.7中梯度裁剪方法,得到最终裁剪后的梯度
步骤4,计算隐私预算,为裁剪后的梯度加入高斯噪声,并更新参数,直至完成t次迭代;得到最优模型参数,保存训练好的具有最优模型参数的差分隐私卷积神经网络模型;
所述步骤4具体按照以下步骤实施:
步骤4.1、计算当前迭代的隐私预算εt;
步骤4.2、对裁剪后的梯度添加高斯噪声,得到含噪声的梯度/>
其中,表示概率密度符合以0为均值、/>为方差的高斯分布的噪声,σ为高斯噪声的噪声规模,为预先设定的超参数,/>表示梯度裁剪阈值,I为指示函数;
步骤4.3、对模型参数进行更新:
其中,θt+1表示第t+1次迭代的模型参数,ηt为第t次迭代的学习率;
步骤4.4、判断t是否达到最大迭代次数T,如果是,则θt+1为最优模型参数进行输出,否则返回步骤1.2,进行下一次迭代;
步骤5,将需要保护的数据输入到步骤4中所训练好的差分隐私卷积神经网络模型中,得到差分隐私保护后的数据。
2.根据权利要求1所述的一种面向图像数据的卷积神经网络差分隐私训练方法,其特征在于,所述步骤3.4中,裁剪阈值Ct的计算方式为:
其中,nt表示第t次迭代时的训练样本集Dt的数量,Xi表示训练样本集Dt的一条数据,对训练样本集Dt中所有训练数据的模型梯度gt求和,Ct-1表示第t-1次迭代的裁剪阈值。
3.根据权利要求1所述的一种面向图像数据的卷积神经网络差分隐私训练方法,其特征在于,所述步骤4.1中,第t次迭代时的隐私预算εt的计算方式为:
其中,ε为总的隐私预算,ε1为第一次迭代时的隐私预算,T为最大迭代次数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111015904.8A CN113642717B (zh) | 2021-08-31 | 2021-08-31 | 一种基于差分隐私的卷积神经网络训练方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111015904.8A CN113642717B (zh) | 2021-08-31 | 2021-08-31 | 一种基于差分隐私的卷积神经网络训练方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113642717A CN113642717A (zh) | 2021-11-12 |
CN113642717B true CN113642717B (zh) | 2024-04-02 |
Family
ID=78424686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111015904.8A Active CN113642717B (zh) | 2021-08-31 | 2021-08-31 | 一种基于差分隐私的卷积神经网络训练方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113642717B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114170338A (zh) * | 2021-11-25 | 2022-03-11 | 北京航空航天大学 | 一种差分隐私保护下基于自适应梯度裁剪的图像生成方法 |
CN114169007B (zh) * | 2021-12-10 | 2024-05-14 | 西安电子科技大学 | 基于动态神经网络的医疗隐私数据识别方法 |
CN113961967B (zh) * | 2021-12-13 | 2022-03-22 | 支付宝(杭州)信息技术有限公司 | 基于隐私保护联合训练自然语言处理模型的方法及装置 |
CN115426205B (zh) * | 2022-11-05 | 2023-02-10 | 北京淇瑀信息科技有限公司 | 一种基于差分隐私的加密数据生成方法及装置 |
CN117788983B (zh) * | 2024-02-28 | 2024-05-24 | 青岛海尔科技有限公司 | 基于大模型的图像数据处理方法及装置、存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109034228A (zh) * | 2018-07-17 | 2018-12-18 | 陕西师范大学 | 一种基于差分隐私和层级相关性传播的图像分类方法 |
WO2019071754A1 (zh) * | 2017-10-09 | 2019-04-18 | 哈尔滨工业大学深圳研究生院 | 一种基于深度学习的图像隐私感知方法 |
CN112464292A (zh) * | 2021-01-27 | 2021-03-09 | 支付宝(杭州)信息技术有限公司 | 基于隐私保护训练图神经网络的方法及装置 |
CA3097655A1 (en) * | 2019-10-30 | 2021-04-30 | Royal Bank Of Canada | System and method for machine learning architecture with differential privacy |
CN112766422A (zh) * | 2021-03-15 | 2021-05-07 | 山东大学 | 一种基于轻量级人脸识别模型的隐私保护方法 |
-
2021
- 2021-08-31 CN CN202111015904.8A patent/CN113642717B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019071754A1 (zh) * | 2017-10-09 | 2019-04-18 | 哈尔滨工业大学深圳研究生院 | 一种基于深度学习的图像隐私感知方法 |
CN109034228A (zh) * | 2018-07-17 | 2018-12-18 | 陕西师范大学 | 一种基于差分隐私和层级相关性传播的图像分类方法 |
CA3097655A1 (en) * | 2019-10-30 | 2021-04-30 | Royal Bank Of Canada | System and method for machine learning architecture with differential privacy |
CN112464292A (zh) * | 2021-01-27 | 2021-03-09 | 支付宝(杭州)信息技术有限公司 | 基于隐私保护训练图神经网络的方法及装置 |
CN112766422A (zh) * | 2021-03-15 | 2021-05-07 | 山东大学 | 一种基于轻量级人脸识别模型的隐私保护方法 |
Non-Patent Citations (2)
Title |
---|
彭长根 ; 赵园园 ; 樊玫玫 ; .基于最大信息系数的主成分分析差分隐私数据发布算法.信息网络安全.2020,(第02期),全文. * |
李敏 ; 李红娇 ; 陈杰 ; .差分隐私保护下的Adam优化算法研究.计算机应用与软件.2020,(06),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN113642717A (zh) | 2021-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113642717B (zh) | 一种基于差分隐私的卷积神经网络训练方法 | |
CN110048827B (zh) | 一种基于深度学习卷积神经网络的类模板攻击方法 | |
CN112183501B (zh) | 深度伪造图像检测方法及装置 | |
CN115378574B (zh) | 一种轻量级动态图像数据加密方法及系统 | |
Peng et al. | A robust coverless steganography based on generative adversarial networks and gradient descent approximation | |
CN112487482B (zh) | 自适应切割阈值的深度学习差分隐私保护方法 | |
CN110827330B (zh) | 一种时序集成的多光谱遥感图像变化检测方法及系统 | |
CN113283590B (zh) | 一种面向后门攻击的防御方法 | |
WO2024120206A1 (zh) | 无限制对抗样本生成方法、装置、电子设备及存储介质 | |
CN112580728B (zh) | 一种基于强化学习的动态链路预测模型鲁棒性增强方法 | |
CN111538989A (zh) | 基于图卷积网络和主题模型的恶意代码同源性分析方法 | |
CN113642715A (zh) | 自适应分配动态隐私预算的差分隐私保护深度学习算法 | |
CN111191742B (zh) | 一种用于多源异构数据流的滑动窗口长度自适应调整方法 | |
Ding et al. | Efficient BiSRU combined with feature dimensionality reduction for abnormal traffic detection | |
Chen et al. | Patch selection denoiser: An effective approach defending against one-pixel attacks | |
Guesmi et al. | Sit: Stochastic input transformation to defend against adversarial attacks on deep neural networks | |
Xu et al. | FLPM: A property modification scheme for data protection in federated learning | |
CN111259442B (zh) | MapReduce框架下决策树的差分隐私保护方法 | |
CN116824232A (zh) | 一种数据填充式的深度神经网络图像分类模型对抗训练方法 | |
Chen et al. | White-box content camouflage attacks against deep learning | |
CN110942106A (zh) | 一种基于平方平均的池化卷积神经网络图像分类方法 | |
CN116977694A (zh) | 一种基于不变特征提取的高光谱对抗样本防御方法 | |
CN115935436A (zh) | 一种基于差分隐私的深度学习模型隐私保护方法 | |
CN114492596A (zh) | 基于变分自编码器的成员推理攻击抵御方法 | |
CN113762506A (zh) | 一种深度学习模型剪枝方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |