CN114580530A

CN114580530A - 一种基于生成对抗网络的快速模型遗忘方法与系统

Info

Publication number: CN114580530A
Application number: CN202210205229.3A
Authority: CN
Inventors: 陈孔阳; 黄耀; 王依文
Original assignee: Guangzhou University
Current assignee: Guangzhou University
Priority date: 2022-03-02
Filing date: 2022-03-02
Publication date: 2022-06-03

Abstract

一种基于生成对抗网络的快速模型遗忘方法与系统，其方法包括：将与待遗忘数据分布相同的第三方数据输入原始模型中，对原始模型的输出结果进行排序，得到第一排序结果，将生成器初始化为原始模型，将待遗忘数据输入到生成器中，将生成器输出的结果进行排序处理，得到第二排序结果，利用第一排序结果和第二排序结果交替训练生成器与判别器，直到判别器无法区分待遗忘数据在生成器上输出与第三方数据在原始模型上输出的分布差异，则停止训练，对生成器进行成员推理攻击，若攻击结果为待遗忘数据且没有被生成器训练过，则遗忘成功，将被训练后的生成器作为遗忘后的模型；本申请能够加快在模型中遗忘数据的速度，尤其是在复杂的场景下，效果更明显。

Description

一种基于生成对抗网络的快速模型遗忘方法与系统

技术领域

本发明涉及深度学习技术领域，特别涉及一种基于生成对抗网络的快速模型遗忘方法与系统。

背景技术

在机器学习中，尤其是在过参数化的深度学习中，经过数据训练好的模型会记忆大量关于训练数据的信息，这会给用户带来严重的隐私安全问题，比如攻击者在拿到模型后，通过模型逆向攻击可以从训练好的模型中恢复训练该模型的数据，即使是攻击者在不知道模型内部细节的情况下，仅查询模型的输出，通过成员推理攻击也能够确定某个数据是否被用来训练该模型。这些攻击的存在侧面说明了模型对训练数据的记忆会给用户的隐私构成严重威胁。因此，为了保护用户的隐私，一些法律如欧洲的GDPR和美国的CCPA中，明确提出了“被遗忘的权利”，“被遗忘的权利”指的是用户有权利向服务提供商提出彻底删除数据的申请，服务提供商在收到用户的申请后，不仅要在数据库中删除用户的数据，还需要在基于用户数据开发的上层应用中删除用户数据的痕迹，比如基于用户数据训练的机器学习模型。如果服务提供商在收到用户的数据删除请求后，不完全删除用户数据的痕迹，将会面临巨额的罚款，而传统的重新训练、统计查询和集成学习等方法在删除数据时性能较差，不能满足人们的需求。

因此，如何提供一种性能好的遗忘方法，是本领域技术人员亟待解决的问题。

发明内容

本申请实施例提供了一种基于生成对抗网络的快速模型遗忘方法与系统，旨在解决现有技术不能满足基于机器学习的数据遗忘问题。

第一方面，本申请提供了一种基于生成对抗网络的快速模型遗忘方法，该方法包括：

取一个与待遗忘的数据分布相同的第三方数据，将其输入到原始模型中，得到输出结果，对输出结果进行排序处理，得到第一排序结果；

将生成器初始化为原始模型，将待遗忘数据输入到生成器中，将生成器输出的结果进行排序处理，得到第二排序结果；

利用第一排序结果和第二排序结果交替训练生成器与判别器，直到判别器无法区分待遗忘数据在生成器上输出与第三方数据在原始模型上输出的分布差异，则停止训练；

对生成器进行成员推理攻击，若攻击结果为待遗忘数据且没有被生成器训练过，则遗忘成功，将被训练后的生成器作为遗忘后的模型。

第二方面，本申请还提供了一种基于生成对抗网络的快速模型遗忘系统，该系统包括：

第一排序结果获取模块，用于取一个与待遗忘的数据分布相同的第三方数据，将其输入到原始模型中，得到输出结果，对输出结果进行排序处理，得到第一排序结果；

第二排序结果获取模块，用于将生成器初始化为原始模型，将待遗忘数据输入到生成器中，将生成器输出的结果进行排序处理，得到第二排序结果；

交替训练模块，用于利用第一排序结果和第二排序结果交替训练生成器与判别器，直到判别器无法区分待遗忘数据在生成器上输出与第三方数据在原始模型上输出的分布差异，则停止训练；

模型验证模块，用于对生成器进行成员推理攻击，若攻击结果为待遗忘数据没有被生成器训练过，则遗忘成功，将被训练后的生成器作为遗忘后的模型。

第三方面，本申请还提供了一种计算机设备，其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时，实现上述第一方面所述的一种基于生成对抗网络的快速模型遗忘方法。

第四方面，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时使所述处理器执行上述第一方面所述的一种基于生成对抗网络的快速模型遗忘方法。

本申请提出的一种基于生成对抗网络的快速模型遗忘方法与系统，其有益效果包括：

(1)本申请提出的方法不需要重新训练模型，因此，也不需要再次使用到训练集的数据，在训练数据不可再次获取的情况下，本申请的方法也能够有效地遗忘数据；

(2)本申请提出的方法不需要缓存模型训练过程中的参数，能够节省大量的存储空间；

(3)本申请提出的方法能够加快在模型中遗忘数据的速度，尤其是在复杂的场景下，效果更明显。

附图说明

为了更清楚的说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单的介绍，显而易见的，下面的描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本申请实施例提供的一种基于生成对抗网络的快速模型遗忘方法流程图；

图2为本申请实施例提供的基于生成对抗网络的快速模型遗忘系统模型图；

图3为本申请实施例提供的一种排序函数Sort示意图；

图4为本申请实施例提供的成员推理攻击在数据集CIFAR100上的结果图；

图5为本申请实施例提供的成员推理攻击在数据集Purchase100上的结果；

图6为本申请实施例提供的遗忘时间对比图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步说明。在此需要说明的是，对于这些实施方式的说明用于帮助理解本发明，但并不构成对本发明的限定。此外，下面所描述的本发明各个实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互组合。

参见图1实施例所示一种基于生成对抗网络的快速模型遗忘方法流程图，包括：

S101、取一个与待遗忘的数据分布相同的第三方数据，将其输入到原始模型中，对原始模型输出的结果进行排序处理，得到第一排序结果。

假设待遗忘的数据为D_f，训练好的原始模型为M_init，它们也是实际情况下服务提供商能够掌握的信息，模型遗忘目的就是从已经训练好的原始模型M_init去除掉待遗忘的数据D_f的痕迹。

取一个与待遗忘的数据D_f分布相同或相近的第三方数据D_nonmember，将其输入到原始模型M_init中，原始模型给出的输出为P₁，对于回归任务，P₁为标量，对于分类任务，P₁为向量。在做分类任务的场景中，得到P₁之后，用排序函数Sort将P₁以降序的形式(或升序的形式)进行排序得到第一排序结果S(P₁)。

S102、将生成器初始化为原始模型，将待遗忘数据输入到生成器，对生成器的输出进行排序处理，得到第二排序结果。

首先，将生成器G初始化为原始模型M_init，初始化之后的生成器G与原始模型M_init具有相同的架构、相同的参数。

与上述P₁的处理过程同理，首先将待遗忘的数据D_f输入到生成器G，再将生成器G的输出进行降序排序之后得到第二排序结果S(P₂)，与标准的生成对抗网络做对比，这里的S(P₁)相当于real data，S(P₂)相当于fake data。

在训练生成器G与判别器的过程中，需要固定原始模型M_init的参数，让其只做前向传播，计算第三方数据D_nonmember的后验概率，不参与训练。

S103、利用第一排序结果和第二排序结果交替训练生成器与判别器，直到判别器无法区分待遗忘数据在生成器上输出与第三方数据在原始模型上输出的分布差异，则停止训练。

得到S(P₁)和S(P₂)之后，用这两类数据交替训练生成器与判别器，跟普通的生成对抗网络一样，在训练判别起器的时候固定生成器，在训练生成器的时候固定判别器，原始模型M_init的参数在生成对抗网络的训练过程中始终固定不变。在训练过程中，通过不断地调整生成器的参数，让S(P₂)的分布向S(P₁)的分布靠近，当S(P₂)的分布与S(P₁)的差距足够小的时候，则停止训练。

S104、对训练后的生成器进行成员推理攻击，若攻击结果为待遗忘数据没有被生成器训练过，则遗忘成功，将被训练后的生成器作为遗忘后的模型。

成员推理攻击的目的是确定数据是否训练过模型，因此如果成员推理攻击的结果认为待遗忘数据D_f没有被生成器G训练过，那么说明生成器G不在包含待遗忘数据D_f的信息，即遗忘成功，反之，遗忘失败。遗忘失败之后，转向步骤S101，直至遗忘成功。

在一实施例中，本申请还设计了生成器和判别器的损失函数，用L_D表示判别器的损失函数，用L_G表示生成器的损失函数，它们的表达式分别如下所示：

其中，

表示从分布S(P₁)和分布S(P₂)的均匀采样得到的x和z之间的连线上随机插值，S为排序函数Sort，同时，L_G中添加了一项

这表示在训练生成器的过程中，从剩下的数据中随机采样做正常的模型训练，L表示原始模型的损失函数(例如分类问题的交叉熵，回归问题中的均方误差)，其目的是为了确保模型在遗忘数据的同时保持模型对其他数据的正常预测能力，同时引入了超参数α在遗忘和性能之间做平衡。需要说明的是，关于D_r并不需要所有剩下的数据，只需要其中的很小一部分就可以了，比如1/100，这在实际的场景中对于服务提供商来说是很容易办到的。

本实施例为了降低遗忘对模型性能的影响，改造了生成对抗网络中生成器的损失函数，并通过引入参数α，使得本申请的算法在遗忘和性能之间取得了平衡。

参见图3实施例所示的一种排序函数Sort示意图，

本申请的目的在于生成器G对于被遗忘的数据D_f依然能够正确分类，这么做的理由是一个训练好的模型对于一个没见过的第三方数据集，只要该数据集与模型训练集分布类似，那么该模型对于第三方数据集中大部分数据也能做出正确的预测，这个能力也叫做模型的泛化能力。因此，假设本申请的模型能够完全遗忘掉数据，那么遗忘后的模型对于D_f中的大部分数据应该能够正确预测，只不过预测的置信度没那么高。

如图3所示，一个训练好的模型M_init，假设数据x₁为第三方数据，它的真实标签第二类数据，x₁没有被模型M_init训练过，数据x₂的真实标签为第一类数据，x₂被模型M_init的训练过，模型M_init对于输入x₁，x₂给出的预测向量分别为P₁＝[0.45，0.55]，P₂＝[0.91，0.09]，需要说明的是在分类任务中，通常使用独热编码(one-hot)来表示其标签，独热编码的含义是说最大值所在的位置即为其类别。在这里模型M_init将x₁预测为了第二类，将x₂预测为了第一类，训练好的模型M_init对于数据x₁,x₂都做出了正确的预测，只是对于出现在模型M_init的训练集中的数据，模型给出一个高的置信度认为它属于某一类，而对于未出现在模型M_init的训练集中的数据，模型给出它属于某一类的置信度相比之下没那么高，从香农的信息熵的角度来说，P₁的熵比较比P₂大。如果在本申请的方法中去掉Sort这一步，而采用第三方数据x₂去遗忘x₁，遗忘完成后，P₂的分布向P₁靠近，假设遗忘后的模型对于x₂的输出为P₂＝[0.43，0.57]，生成器G几乎已经遗忘x₂，但是x₂的真实类别为第一类，模型却错误地将x₂预测为了第二类，显然这并不是本申请希望得到结果，虽然生成器G完成了对数据x₂的遗忘，但是却x₂对误分类了，本申请真正想要得到的结果是P₂＝[0.43，0.57]。所以Sort的第一个目的是在遗忘的同时，保持模型对数据的正常预测能力。第二个目的是实现方便，对于第一个目的，可以采取另一种方式来实现，对应遗忘，即对于某一类数据，需要找到一个对应类别的第三方数据来遗忘，但这样做在实际情况中实现起来比较麻烦，相比之下Sort的方式简单许多，在实际情况中也方便操作。第三个目的是即使第三方数据没有遗忘数据的对应类别，加了Sort之后，依然可以遗忘。

参见图4实施例所示的一种成员推理攻击在数据集CIFAR100上的结果图；

在得到模型之后，还需要对模型的性能进行测试，本申请将重新训练(retrain)作为对比方法，分别从1)遗忘效果，2)遗忘时间两个角度来进行测试。

1)遗忘效果：对遗忘前的模型M_ini和遗忘后的模型

分别做了成员推理攻击，具体来说，先将D_f与D_nonmember分别输入到模型M_init

成员推理攻击模型Attacker根据模型M_init

的输出来判断其是否是模型M_init

的训练集成员。理想情况下，遗忘前，成员推理攻击模型能够正确区分D_f和D_nonmember，即把D_f分辨为模型M_init的训练集成员，把D_nonmember分辨为其非训练集成员；遗忘后，成员推理攻击会把D_f和D_nonmember分都分辨为模型

的非训练集成员。对遗忘前的模型M_init的攻击结果如图4中的(a)所示，D_f中有83％的数据被Attacker推理为原始模型M_init的训练集成员，有82％的D_nonmember被Attacker推理为原始模型M_init的非训练集成员，这说明成员推理攻击模型Attacker能够正确地将D_f区分为模型M_init的训练集成员，将D_nonmember区分为M_init的训练集成员。如图4中的(b)所示，对重新训练(retrain)后的模型进行成员推理攻击，D_f中有82％的数据被认为是模型的非训练集成员，而D_nonmember中有85％被认为是非训练集成员，也就是说重新训练之后的模型对于成员攻击模型来说，D_f和D_nonmember基本没有差别，这个结果说明重新训练的遗忘非常成功。图4中的(c)是本申请的方法的结果，可以看到本申请内的方法跟重新训练的遗忘效果差不多，从遗忘的角度来看是很成功的；

同理，根据图5所示的成员推理攻击在数据集Purchase100上的结果图也可以看出，本申请的方法从遗忘的角度看起来也是很成功的。

2)遗忘时间：遗忘时间是衡量一个遗忘算法的核心指标，遗忘时间越短越好。有一点需要说明的是，随着模型的复杂度和数据集大小的增加，retrain所需要的时间也在增加。所以为了更加公平地评估本申请提出的遗忘方法，本申请在简单的场景和复杂的场景上都做了实验。参见图6实施例所示的遗忘时间对比图，本申请在CIFAR10的训练集上采样出了大小为5000、10000和25000的三个数据集，首先用这三个数据集去分别训练resnet18、resnet50和resnet101，这三个模型的参数量是不一样的，其中resnet18最小，为120万，resnet101最大，为450万，训练好的模型作原始模型。然后本申请在这三个数据集上各自采样500个数据作为D_f，本申请的遗忘方法(unlearn)需要从三个原始模型中分别遗忘D_f中的$500个数据，从开始遗忘到遗忘结束作为遗忘时间。最后用这三个数据集去除掉各自的D_f后训练resnet18、resnet50和resnet101这三个模型，当各个模型训练到最佳状态的时候(刚出现过拟合的时候)终止训练，记录训练所耗费的时间作为retrain的时间。

从实验结果可以看到，在三种不同复杂程度的场景中，本申请的算法都优于retrain，在简单的场景中本申请的算法要比retrain快3.3倍，在复杂的场景中，本申请的算法要比retrain快22.6倍，尽管本申请的算法遗忘的时间也会随着模型的复杂度增加而增加，但是本申请的增幅远远小于retrain，从这一指标来看，本申请的遗忘算法相比retrain优势是很明显的，尤其是在复杂的场景中。

在一实施例中，本申请还提供了一种基于生成对抗网络的快速模型遗忘系统，该系统包括：

在一实施例中，本申请还提供了一种计算机设备，其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现上述任一实施例所述的一种基于生成对抗网络的快速模型遗忘方法。

在一实施例中，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时使所述处理器执行上述任一实施例所述的一种基于生成对抗网络的快速模型遗忘方法。

以上结合附图对本发明的实施方式作了详细说明，但本发明不限于所描述的实施方式。对于本领域的技术人员而言，在不脱离本发明原理和精神的情况下，对这些实施方式进行多种变化、修改、替换和变型，仍落入本发明的保护范围内。

Claims

1.一种基于生成对抗网络的快速模型遗忘方法，其特征在于，包括：

2.如权利要求1所述的一种基于生成对抗网络的快速模型遗忘方法，其特征在于，初始化的生成器与原始模型具有相同的架构和相同的参数。

3.如权利要求1所述的一种基于生成对抗网络的快速模型遗忘方法，其特征在于，所述对输出结果进行排序处理，得到第一排序结果，包括：

将输出结果利用排序函数Sort以降序的形式进行排序，得到第一排序结果。

4.如权利要求1所述的一种基于生成对抗网络的快速模型遗忘方法，其特征在于，所述利用第一排序结果和第二排序结果交替训练生成器和判别器，包括：

在训练判别器的时候固定生成器，在训练生成器的时候固定判别器，原始模型的参数在训练的过程中固定不变。

5.如权利要求4所述的一种基于生成对抗网络的快速模型遗忘方法，其特征在于，所述利用第一排序结果和第二排序结果交替训练生成器和判别器，还包括：

在训练过程中，不断地调整生成器的参数，让第二排序结果的分布向第一排序结果的分布靠近，当第二排序结果的分布与第一排序结果的差距小于阈值时，停止训练。

6.如权利要求1所述的一种基于生成对抗网络的快速模型遗忘方法，其特征在于，所述对生成器进行成员推理攻击后，还包括：

若待遗忘的数据被遗忘后的模型训练过，则遗忘失败，继续对生成器和判别器进行训练，直至遗忘成功。

7.一种基于生成对抗网络的快速模型遗忘系统，其特征在于，包括：

8.一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时，实现如权利要求1-6中任一项所述的一种基于生成对抗网络的快速模型遗忘方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时使所述处理器执行如权利要求1-6中任一项所述的一种基于生成对抗网络的快速模型遗忘方法。