CN114943101B

CN114943101B - 一种隐私保护的生成模型构建方法

Info

Publication number: CN114943101B
Application number: CN202210539948.9A
Authority: CN
Inventors: 王绍蔚; 钟裕森; 邹旺文; 杨蕊琳
Original assignee: Guangzhou University
Current assignee: Guangzhou University
Priority date: 2022-05-18
Filing date: 2022-05-18
Publication date: 2024-05-17
Anticipated expiration: 2042-05-18
Also published as: CN114943101A

Abstract

本发明公开了一种隐私保护的生成模型构建方法，其包括如下步骤：基于与生成器相对，用于判别生成器生成数据的真假概率的判别器；用于学习每个客户端的数据类别的判断的大模型教师判别器；基于通过教师判别器的引导来学习各客户端的共同规律进行判别的小模型学生判别器；用于生成模拟真实数据的样本的生成器；基于多个样本组成的数据集合的数据集；隐私预算；基于去偏判别器蒸馏的差分隐私数据生成器。本发明通过有益样本选择方法，界定一个阈值，组成一个数据集来训练学生判别器，使得学生判别器在不影响学习效果的情况下，还能在较少训练所需样本数量情况下，实现比现有方法更好的的保护隐私的效果。

Description

一种隐私保护的生成模型构建方法

技术领域

本发明涉及隐私保护技术领域，具体涉及一种隐私保护的生成模型构建方法。

背景技术

联邦学习(Federated Learning)是一种新兴的人工智能基础技术，在2016年由谷歌最先提出，原本用于解决安卓手机终端用户在本地更新模型的问题，其设计目标是在保障大数据交换时的信息安全、保护终端数据和个人数据隐私、保证合法合规的前提下，在多参与方或多计算结点之间开展高效率的机器学习。其中，联邦学习可使用的机器学习算法不局限于神经网络，还包括随机森林等重要算法。目前，减小隐私消耗和模型大小是联邦学习的前沿领域。

生成对抗网络拥有较强的生成高维或者随机数据的能力,训练完成后能用来生成无限的数据，而生成对抗网络的这个特点，能使得数据不再需要额外的交互和隐私损失，从而有效保护隐私，因为在生成对抗网络的训练过程中，只有判别器接触了数据，生成器根据假数据的梯度来更新参数。一个流行的方法是，周期性的计算收集自客户端的判别器的梯度或者参数，比如DPGAN，由于判别器参数一般和分类器参数一样多，所以判别器的传输会导致很高的通讯和隐私开销。一个有效的不同的方法G-PATE是，直接平均生成器的输出(比如虚假数据)的梯度，但是通讯和隐私开销依然会随着数据规模的增大而增大。考虑到客户端的数据异构，有方法进一步提出，基于样本特定权重向量的伪数据样本加权梯度平均，但是这个方法也使得使严格的隐私净化变得难以处理。

为了解决因为梯度维度的增加导致通讯和隐私开销急剧增大的问题，研究者最近在联邦对抗生成网络学习上，探索聚合的知识蒸馏，它是一种高效通讯、隐私友好的新方法。比如PATE-GAN，它用教师判别器对假数据判断得到的蒸馏标签来训练一个全局学生判别器。其中教师判别器是在本地用真、假数据一起训练的。全局生成器的训练只依赖于学生判别器而没有接触过真数据。在无隐私设置下，PATE-GAN在实验中，实现了堪比基于梯度的方法的性能，而且在有隐私限制下表现得更出色。

PATE-GAN的缺点是存在偏差现象。PATE-GAN中的标签蒸馏只是借用了分类问题中的知识蒸馏。但是，相较于分类问题中的客观确定的标签是，容易在客户端之间达成共识，判别器标签是主观的，它只能给出样本属于某一类的概率，并不能保证判断结果与真实结果的正确性。这个矛盾说明了判别器蒸馏中平均聚合是有问题的，而且实验证明这个偏差会随着数据异构和隐私噪声的增加而增加。而我们提出的新方法通过选择有益样本来减小这种偏差。此外，通过实验，我们发现对于异构数据，在对抗生成网络的生成器和判别器的对抗中，它的按照传统平均置信度来聚合的效果不好，所以我们提出了β百分比的聚合方法(方法)。

在中国专利文献CN112818407B公开了一种基于分布式生成对抗模型的联邦学习方法，其也用到了联邦学习、知识蒸馏和对抗生成网络结合的方法。虽然在客户端通过结合判别器和分类器，避免了判别器的偏差问题，但是也导致需要在客户端训练两个模型，占用较多计算资源，同时该方法也没有考虑客户端的隐私保护等问题。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供一种隐私保护的生成模型构建方法，以解决上述背景所提出的问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：

一种隐私保护的生成模型构建方法，其包括如下步骤：

基于与生成器相对，用于判别生成器生成数据的真假概率的判别器；

用于学习每个客户端的数据类别的判断的大模型教师判别器；

基于通过教师判别器的引导来学习各客户端的共同规律进行判别的小模型学生判别器；

用于生成模拟真实数据的样本的生成器；

基于多个样本组成的数据集合的数据集；

服务器端；从广义上讲，服务器是指网络中能对其它机器提供某些服务的计算机系统，具体是指和客户端的通讯。

客户端；是指与服务器相对应，为客户提供本地服务的程序。

隐私预算：隐私预算越高，隐私损失越大，而单次查询预算越小，在预算范围内可以查询的次数就越多；

基于去偏判别器蒸馏的差分隐私数据生成器。

优选的，所述基于去偏判别器蒸馏的差分隐私数据生成器的方法包括以下步骤：

步骤1：服务器端初始化学生判别器和生成器G₀，所有客户端模型初始化为/>百分比参数β，迭代次数T，假样本数量s，有益样本数量r，隐私参数(ε，δ)，生成器G_t-1；

步骤2：对m个客户端进行T轮迭代：从G0生成的数据中抽取s个组成每个客户端都用自己的数据集D_i和/>来训练，每个客户端对/>的判断结果发送给服务器；

步骤3:服务器端用有益样本选择的方法，把该轮生成的数据抽取一部分，组成并用上隐私预算参数/>

步骤4:中的样本，保存教师判别器的判别结果，用/>差分隐私的β百分比评估器组成/>用/>和/>作为训练数据集，用交叉熵损失来作为损失函数训练学生判别器并更新为，进而使用学生判别器训练生成器(更新G_t-1的参数，并更新为G_t)。

优选的，所述对的每一次的训练具体流程如下：

步骤3.1:设为空集，设阈值Λ＝0.2m；计数count设为0，k＝Laplace(2/ε)；Noise＝Laplace(2/ε)；

步骤3.2：将m个教师判别器对的判别结果组成集合V_x；对于满足的样本x，添加到/>同时count加1，更新k＝Laplace(2/ε)

步骤3.3:直到count大于阈值s或者遍历完所有样本，返回/>

优选的，所述教师判别器对生成数据x的打分，用设定条件来限制其聚合结果，具体限制方式为：

(三)有益效果

与现有技术相比，本发明提供的隐私保护的生成模型构建方法，具备以下有益效果：

1、该隐私保护的生成模型构建方法，通过β百分比聚合方法，教师判别器对生成数据x的打分，用设定条件来限制其聚合结果，具体限制方式为：

通过调节超参数β，减小由于数据异构和隐私随机性导致的蒸馏偏差，达到了隐私保护的效果。

2、该隐私保护的生成模型构建方法，通过有益样本选择方法，即界定一个阈值，比如60％超过80％的老师打分都比学生低和者少于40％的老师打分比学生低的组成一个数据集来训练学生判别器，使得学生判别器在不影响学习效果的情况下，还能在较少训练所需样本数量情况下，实现比现有方法更好的的保护隐私的效果。

附图说明

图1为本发明实施例生成模型构建方法的共享模型示意图；

图2为本发明生成模型构建方法的实验测试示意图。

具体实施方式

下面将结合本发明的实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：

本发明实施例提供的隐私保护的生成模型构建方法，其包括如下步骤：

用于生成模拟真实数据的样本的生成器；

基于多个样本组成的数据集合的数据集；

基于去偏判别器蒸馏的差分隐私数据生成器。

其中，基于去偏判别器蒸馏的差分隐私数据生成器的方法，具体包括以下步骤：

步骤1：服务器端初始化学生判别器和生成器G₀，所有客户端模型初始化为/>百分比参数β，迭代次数T，假样本数量s，有益样本数量r，隐私参数(ε，δ)，生成器G_t-1；服务器在选择客户端后与其保持通讯，发送生成数据，模型为开始训练前对该任务有良好效果的共享模型，如卷积神经网络模型等。

步骤2：对m个客户端进行T轮迭代：从G0生成的数据中抽取s个组成每个客户端都用自己的数据集D_i和/>来训练，每个客户端对/>的判断结果发送给服务器；其中，每个客户端使用服务器生成模型产生的生成数据与客户端本地真实数据训练教师判别器，使本地判别模型对于生成数据判断为“假”，对真实数据判定为“真”。

假设一共有m个客户端，D为样本总量，D_i为在第k客户端上分布样本大小，T_i为第k客户端分类模型的目标函数。对于客户端i的判别模型T_i，其损失函数为：

其中，u是D_i中的一个样本，z_j是输入到生成器的一个[0,1]之间的d维平均分布，表示在第T个迭代轮次中第i个教师判别器的参数，G表示生成器的目标函数。

步骤3:服务器端用有益样本选择的方法，把该轮生成的数据抽取一部分，组成并用上隐私预算参数/>如果在学生判别器训练过程中，学生判别器过多接触数据样本，会增大隐私泄露的风险。如果单纯减少训练样本来减少隐私泄露，又会削弱学生判别器的判别能力。所以，我们提出选择那些教师判别器和学生判别器的判别结果差异大的/>中的样本(比如，/>相对比较大的样本)，组成一个新的样本数据集/>用来训练学生判别器，从而实现减少隐私泄露的风险。

对的每一次的训练具体流程如下：

步骤3.2：将m个教师判别器对的判别结果组成集合V_x；对于满足的样本x，添加到/>同时count加1，更新k＝Laplace(2/ε)。

步骤3.3:直到count大于阈值s或者遍历完所有样本，返回/>

所述教师判别器对生成数据x的打分，用设定条件来限制其聚合结果，具体限制方式为：通过用MNIST图片数据集、Credit表格数据集的不同参数的实验测试，最终得到模型在生成数据的准确度上都是高于DPGAN、G-PATE的结果。

本发明通过β百分比聚合方法，教师判别器对生成数据x的打分，用设定条件来限制其聚合结果，具体限制方式为：

本发明的核心步骤为：基于与生成器相对，用于判别生成器生成数据的真假概率的判别器；用于学习每个客户端的数据类别的判断的大模型教师判别器；基于通过教师判别器的引导来学习各客户端的共同规律进行判别的小模型学生判别器；用于生成模拟真实数据的样本的生成器；基于多个样本组成的数据集合的数据集。

本发明通过有益样本选择方法，即界定一个阈值，比如60％超过80％的老师打分都比学生低和者少于40％的老师打分比学生低的组成一个数据集来训练学生判别器，使得学生判别器在不影响学习效果的情况下，还能在较少训练所需样本数量情况下，实现比现有方法更好的的保护隐私的效果。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种隐私保护的生成模型构建方法，其特征在于，其包括如下步骤：

用于生成模拟真实数据的样本的生成器；

基于多个样本组成的数据集合的数据集；

基于去偏判别器蒸馏的差分隐私数据生成器；

服务器端，该服务器是指网络中能对其它机器提供某些服务的计算机系统，具体为与客户端的通讯；

所述的客户端，是指与服务器相对应，为客户提供本地服务的程序；

其中，所述基于去偏判别器蒸馏的差分隐私数据生成器的方法，包括以下步骤：

步骤2：对m个客户端进行T轮迭代：从G0生成的数据中抽取s个组成数据集每个客户端都用自己的数据集D_i和/>来训练，每个客户端对/>的判断结果发送给服务器；为“假样本数据集/>

步骤3:服务器端用有益样本选择的方法，把该轮生成的数据抽取一部分，组成数据集并用上隐私预算参数/> 为“数据集/>”；

步骤4:中的样本，保存教师判别器的判别结果，用/>差分隐私的β百分比评估器组成/>用/>和/>作为训练数据集，用交叉熵损失来作为损失函数训练学生判别器并更新为，进而使用学生判别器训练生成器，更新G_t-1的参数，并更新为G_t；/>是对/>的教师标签聚合器，用于生成/>的类别标签方便给服务器端的模型训练，由于使用了β百分比评估器以及对聚合后的标签添加差分隐私，所以需要一个函数来表示，为“组成/>标签聚合器”；

其步骤3中的有益样本选择方法中，对的每一次的训练具体流程如下：

步骤3.2：将m个教师判别器对的判别结果组成集合V_x；对于满足的样本x，添加到/>同时count加1，更新κ＝Laplace(2/ε)；

步骤3.3:直到count大于阈值s或者遍历完所有样本，返回/>

所述教师判别器对生成数据x的打分，用设定条件来限制其聚合结果，具体限制方式为：通过调节超参数β，减小由于数据异构和隐私随机性导致的蒸馏偏差，达到隐私保护的效果。