CN115935436A - 一种基于差分隐私的深度学习模型隐私保护方法 - Google Patents
一种基于差分隐私的深度学习模型隐私保护方法 Download PDFInfo
- Publication number
- CN115935436A CN115935436A CN202310037325.6A CN202310037325A CN115935436A CN 115935436 A CN115935436 A CN 115935436A CN 202310037325 A CN202310037325 A CN 202310037325A CN 115935436 A CN115935436 A CN 115935436A
- Authority
- CN
- China
- Prior art keywords
- privacy
- gradient
- iteration
- deep learning
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Complex Calculations (AREA)
Abstract
Description
技术领域
本发明涉及深度学习和隐私保护技术领域,具体涉及一种基于差分隐私的深度学习模型隐私保护方法。
背景技术
深度学习(Deep Learning,DL)一词最初在1986年被引入到机器学习(MachineLearning,ML)概念中,作为机器学习的重要组成部分,其本质特征是表征学习。随着深度学习的蓬勃发展,其在许多领域都取得了突破性的成果,包括计算机视觉、语音识别、自然语言处理与搜索推荐等。深度学习技术的成功离不开海量数据的支撑,这也使其不可避免地受到多种隐私威胁,并且针对不同的学习阶段涉及到的隐私威胁是不同的,在训练阶段涉及数据窃取攻击,在预测阶段涉及模型反演攻击、成员推理攻击、模型窃取攻击,这些攻击可以间接地推断出训练数据中的敏感信息,其危害不容小觑。
为了缓解隐私攻击导致的隐私泄露问题,多种隐私保护机制相继提出,传统隐私保护机制可以分为两大类,分别是基于扰动的隐私保护机制和基于加密的隐私保护机制,其中,基于扰动的隐私保护机制有k匿名技术,基于加密的隐私保护机制有同态加密和安全多方计算。虽然这些隐私保护机制能实现一定程度上的隐私泄露控制,但仍在许多不足之处。k匿名技术在高维数据上表现效果差,不能够提供量化隐私保护程度的证明;同态加密涉及大量计算,计算性能开销大、运算速度低;安全多方计算虽然在计算性能方面优于同态加密,但是相对于不加密机制来说开销仍较大,并且要求所有参与者必须在线,通信成本较高。
针对传统隐私保护机制的不足之处,有研究者提出了基于差分隐私(Differential Privacy,DP)的隐私保护机制。相较于上述传统隐私保护机制,差分隐私提供了隐私预算用以量化隐私保护程度分析,且其不涉及加密操作,计算性能开销相对较低。差分隐私是目前广泛使用的隐私保护技术,其主要思想在于限制相邻数据集查询结果对于任意一条数据的敏感度,即攻击者无法通过观察查询结果判断某一条数据是否存在于相邻数据集中。差分隐私算法具有严格的数学证明,目前,差分隐私随机梯度下降算法应用较为广泛,其采用在神经网络训练参数梯度中加入噪声的方式来实现深度学习模型训练数据集的隐私保护。由于噪声的添加,会带来模型准确性的损失,这使隐私性-准确性权衡成为一大关键问题。
发明内容
本发明提供一种基于差分隐私的深度学习模型隐私保护方法,旨在设计一种更有效平衡模型隐私性和准确性的差分隐私算法,实现使用差分隐私算法训练深度学习模型优化迭代次数的减少和收敛速度的提升,实现在相同的隐私预算下更高的准确度。
本发明所采用的技术方案是,基于差分隐私的深度学习模型隐私保护方法,具体按照以下步骤实施:
步骤1,构建深度学习模型,给定训练数据集,输入学习率、噪声参数、梯度裁剪阈值;
步骤2,初始化训练迭代次数t=1,初始化模型参数;
步骤3,以L/N的概率从大小为N的训练数据集中随机采样,作为第t次迭代的训练样本Lt;
步骤4,根据非线性指数衰减公式计算动态更新的梯度裁剪阈值Ct;
步骤5,对于每个样本,应用深度学习模型使用的损失函数对第t次迭代的模型优化参数θt求偏导数,获得第t次迭代的样本梯度值;
步骤6,更新第t次迭代每个样本的优化梯度值;
步骤7,对优化梯度值进行裁剪;
步骤9,更新第t次迭代的模型优化参数θt,并使用隐私会计方法计算t次迭代的累计隐私损失;
步骤10,更新训练迭代次数,判断是否完成预定训练迭代次数。
本发明的特点还在于,
步骤4中的梯度裁剪阈值Ct的计算方式为:
其中,C为梯度裁剪阈值初始值,t为当前迭代次数,T为预定训练迭代次数;
步骤5中的第t次迭代的样本梯度值的计算方式为:
其中,θt为第t次迭代的模型优化参数,xi为第i个样本。
步骤6具体按照以下步骤实施:
步骤6.1,更新有偏二阶矩估计值,得到vt,计算方式为:
其中,β2为二阶矩估计的指数衰减率;
步骤6.4,更新一阶矩估计的指数衰减率,得到β1,t,计算方式为:
其中,β0、a均为预先设定的超参数,使用二阶矩估计值来实现β1,t的自适应更新,同时为了避免超大惯性,对β1,t进行裁剪操作;
步骤6.5,更新有偏一阶矩估计值,得到mt,计算方式为:
mt←β1,t·mt-1+(1-β1,t)·gt(xi)
步骤6.7,更新优化梯度值,得到g't(xi)
步骤7中的优化梯度值裁剪表示为:
具体按照以下步骤实施:
步骤7.1,将优化梯度值的L2范数与梯度裁剪阈值Ct进行比较;
步骤7.2,若||g't(xi)||2≤Ct,则第t次迭代的优化梯度值g't(xi)保持不变;
步骤7.3,若||g't(xi)||2>Ct,则将第t次迭代的优化梯度值g't(xi)更新为梯度裁剪阈值Ct,即g't(xi)=Ct;
步骤8中,对裁剪后的优化梯度值添加噪声表示为:
步骤10具体按照以下步骤实施:
步骤10.1,令t=t+1,将当前训练迭代次数t与预定训练迭代次数T进行比较;
步骤10.2,若t<T,则转至步骤3,进行下一次迭代;
步骤10.3,若t≥T,则输出最终模型优化参数θt和总体隐私损失(ε,δ),得到使用差分隐私保护方法训练好的深度学习模型;
本发明的有益效果是:通过对梯度裁剪阈值采用非线性指数衰减以实现添加噪声量的限制和收敛速度的提升;梯度更新部分使用学习率控制变量来实现动量超参数的自适应更新,使动量更新在平坦方向有更大的动量超参数,进一步提升模型训练的收敛速度,减少模型优化的迭代次数,实现深度学习模型在相同的隐私预算下更高的准确性。本发明的显著性特点主要体现在以下几点:
(1)根据差分隐私随机梯度下降算法得知,添加噪声部分采用高斯噪声,即噪声分布符合均值为0,标准差为σ·C的高斯噪声,添加的噪声量与梯度裁剪阈值C的大小成正比,当C过大时,会导致添加的噪声量过大;当C过小时,会导致梯度估计的较大偏差,难以保留有效梯度的学习特征,收敛缓慢。在训练过程中,随着迭代次数增加,梯度范数呈现衰减趋势。因此,本发明采用一种动态更新梯度裁剪阈值C的方案,对C采用非线性指数衰减,即以缓解C过大或过小导致的问题;
(2)在差分隐私随机梯度下降算法中,参数更新仅依赖于当前梯度值,存在收敛不稳定、缓慢等问题。因此,本发明采用步骤6中的方式来更新优化梯度值,采用指数移动平均来对一阶矩和二阶矩进行估计以增加稳定性,其中,一阶矩估计值可以理解为用于控制模型更新的方向,二阶矩估计值可以理解为用于控制学习率。本发明将一阶矩估计值的指数衰减率由通常的标量β1改进为向量β1,t,使用二阶矩估计值vt来实现β1,t的自适应更新,即使用学习率控制变量来实现动量超参数的自适应更新,最终实现动量更新在平坦方向有更大的动量超参数,进一步加速模型收敛。
附图说明
图1为本发明基于差分隐私的深度学习模型隐私保护方法的流程图。
具体实施方式
为了更好地理解本发明,下面结合附图对本发明的实施例做进一步详细说明。
现有的使用差分隐私梯度下降算法训练卷积神经网络以实现分类预测任务的隐私保护中,梯度裁剪阈值过大会导致添加噪声量过大,从而导致训练模型准确度下降,梯度裁剪阈值过小会导致梯度估计的较大偏差,难以保留有效梯度的学习特征,收敛缓慢。针对该问题,本发明采用一种动态更新梯度裁剪阈值的方案,对梯度裁剪阈值采用非线性指数衰减。此外,在本发明中,差分隐私算法的梯度更新方式与现有方式不同,首先使用指数移动平均计算梯度二阶矩估计并对其进行偏差修正和取平均,再利用经过偏差修正的二阶矩估计值和其平均值来实现梯度一阶矩估计值计算过程中用到的指数衰减率的自适应更新,然后利用更新后的指数衰减率来计算梯度一阶矩估计,再对一阶矩估计值进行偏差修正,最终得到梯度更新值。
本发明一种基于差分隐私的深度学习模型隐私保护方法的流程图如图1所示,该图描述了本发明方法的完整过程,本发明方法具体包括如下步骤:
步骤1,构建深度学习模型,所采用的深度学习模型具体为卷积神经网络CNN模型,模型包含一个输入层、两个卷积层、两个池化层、一个全连接层和一个输出层,给定训练数据集,所使用的训练数据集从公开网站获取,并对数据进行归一化和标准化预处理操作,输入学习率、噪声参数、梯度裁剪阈值;
步骤2,初始化训练迭代次数t=1,初始化模型参数;
步骤3,以L/N的概率从大小为N的训练数据集中随机采样,作为第t次迭代的训练样本Lt;
步骤5,对于每个样本,使用交叉熵损失函数对第t次迭代的模型优化参数θt求偏导数,获得第t次迭代的样本梯度值。第t次迭代的样本梯度值的计算方式为:其中,θt为第t次迭代的模型优化参数,xi为第i个样本;
步骤6,更新第t次迭代每个样本的优化梯度值,具体按照以下步骤实施:
步骤6.5,更新有偏一阶矩估计值,得到mt,计算方式为:mt←β1,t·mt-1+(1-β1,t)·gt(xi);
步骤6.7,更新优化梯度值,得到g't(xi);
步骤7.1,将优化梯度值的L2范数与梯度裁剪阈值Ct进行比较;
步骤7.2,若||g't(xi)||2≤Ct,则第t次迭代的优化梯度值g't(xi)保持不变;
步骤7.3,若||g't(xi)||2>Ct,则将第t次迭代的优化梯度值g't(xi)更新为梯度裁剪阈值Ct,即g't(xi)=Ct;
步骤8,对Lt中裁剪后的优化梯度值进行求和,加入符合均值为0,标准差为σ·Ct的高斯分布的高斯噪声,再对其取平均值,得到加噪梯度值表示为:其中,表示概率密度函数服从均值为0,标准差为σ·Ct的高斯分布的高斯噪声,σ为噪声参数,Ct为梯度裁剪阈值,I为维数与样本数量和梯度数量相关的单位矩阵;
步骤9,更新第t次迭代的模型优化参数θt,并使用隐私会计方法计算t次迭代的累计隐私损失;
步骤10,更新训练迭代次数,判断是否完成预定训练迭代次数,具体按照以下步骤实施:
步骤10.1,令t=t+1,将当前训练迭代次数t与预定训练迭代次数T进行比较;
步骤10.2,若t<T,则转至步骤3,进行下一次迭代;
步骤10.3,若t≥T,则输出最终模型优化参数θt和总体隐私损失(ε,δ),得到使用差分隐私保护方法训练好的深度学习模型。
Claims (8)
1.一种基于差分隐私的深度学习模型隐私保护方法,其特征在于,该方法包括如下步骤:
步骤1、构建深度学习模型,给定训练数据集,输入学习率、噪声参数、梯度裁剪阈值;
步骤2、初始化训练迭代次数t=1,初始化模型参数;
步骤3、以L/N的概率从大小为N的训练数据集中随机采样,作为第t次迭代的训练样本Lt;
步骤4、根据非线性指数衰减公式计算动态更新的梯度裁剪阈值Ct;
步骤5、对于每个样本,使用深度学习模型使用的损失函数对第t次迭代的模型优化参数θt求偏导数,获得第t次迭代的样本梯度值;
步骤6、更新第t次迭代每个样本的优化梯度值;
步骤7、对优化梯度值进行裁剪;
步骤9、更新第t次迭代的模型优化参数θt,并使用隐私会计方法计算t次迭代的累计隐私损失;
步骤10、更新训练迭代次数,判断是否完成预定训练迭代次数。
4.根据权利要求1所述的一种基于差分隐私的深度学习模型隐私保护方法,其特征在于,所述步骤6具体按照以下步骤实施:
步骤6.1、更新有偏二阶矩估计值,得到vt,计算方式为:
其中,β2为二阶矩估计的指数衰减率;
步骤6.4、更新一阶矩估计的指数衰减率,得到β1,t,计算方式为:
其中,β0、a均为预先设定的超参数,使用二阶矩估计值来实现β1,t的自适应更新,同时为了避免超大惯性,对β1,t进行裁剪操作;
步骤6.5、更新有偏一阶矩估计值,得到mt,计算方式为:
mt←β1,t·mt-1+(1-β1,t)·gt(xi)
′
步骤6.7、更新优化梯度值,得到gt(xi)
8.根据权利要求1所述的一种基于差分隐私的深度学习模型隐私保护方法,其特征在于,所述步骤10具体按照以下步骤实施:
步骤10.1、令t=t+1,将当前训练迭代次数t与预定训练迭代次数T进行比较;
步骤10.2、若t<T,则转至步骤3,进行下一次迭代;
步骤10.3、若t≥T,则输出最终模型优化参数θt和总体隐私损失(ε,δ),得到使用差分隐私保护方法训练好的深度学习模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310037325.6A CN115935436A (zh) | 2023-01-10 | 2023-01-10 | 一种基于差分隐私的深度学习模型隐私保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310037325.6A CN115935436A (zh) | 2023-01-10 | 2023-01-10 | 一种基于差分隐私的深度学习模型隐私保护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115935436A true CN115935436A (zh) | 2023-04-07 |
Family
ID=86557776
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310037325.6A Pending CN115935436A (zh) | 2023-01-10 | 2023-01-10 | 一种基于差分隐私的深度学习模型隐私保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115935436A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117788983A (zh) * | 2024-02-28 | 2024-03-29 | 青岛海尔科技有限公司 | 基于大模型的图像数据处理方法及装置、存储介质 |
-
2023
- 2023-01-10 CN CN202310037325.6A patent/CN115935436A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117788983A (zh) * | 2024-02-28 | 2024-03-29 | 青岛海尔科技有限公司 | 基于大模型的图像数据处理方法及装置、存储介质 |
CN117788983B (zh) * | 2024-02-28 | 2024-05-24 | 青岛海尔科技有限公司 | 基于大模型的图像数据处理方法及装置、存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110048827B (zh) | 一种基于深度学习卷积神经网络的类模板攻击方法 | |
CN111881935B (zh) | 一种基于内容感知gan的对抗样本生成方法 | |
CN113642717B (zh) | 一种基于差分隐私的卷积神经网络训练方法 | |
CN111598210B (zh) | 面向基于人工免疫算法对抗攻击的对抗防御方法 | |
CN114118407B (zh) | 一种面向深度学习的差分隐私可用性度量方法 | |
CN115935436A (zh) | 一种基于差分隐私的深度学习模型隐私保护方法 | |
CN112733458B (zh) | 一种基于自适应变分模态分解的工程结构信号处理方法 | |
CN112085050A (zh) | 基于pid控制器的对抗性攻击与防御方法及系统 | |
CN111311324B (zh) | 基于稳定神经协同过滤的用户-商品偏好预测系统和方法 | |
Liu et al. | Smoothed nonparametric derivative estimation using weighted difference quotients | |
Jensen et al. | Simulation of conditioned semimartingales on riemannian manifolds | |
CN116824232A (zh) | 一种数据填充式的深度神经网络图像分类模型对抗训练方法 | |
CN116226897A (zh) | 一种结合训练损失和隐私损失的改进Prim区块链网络传输优化方法 | |
Hu et al. | Adaptive clipping bound of deep learning with differential privacy | |
Levy | An easy implementation of CV-TMLE | |
CN112800471A (zh) | 多源域迁移中的对抗域自适应差分隐私保护方法 | |
CN112766336A (zh) | 一种最大化随机平滑下提高模型可验证防御性能的方法 | |
CN113468957A (zh) | 基于降噪自编码的多视图防御方法 | |
Zhao et al. | Graph similarity metric using graph convolutional network: Application to malware similarity match | |
CN111416595A (zh) | 一种基于多核融合的大数据滤波方法 | |
Jia | The application of Monte Carlo methods for learning generalized linear model | |
Qian et al. | DPFL-AES: Differential Privacy Federated Learning Based on Adam Early Stopping | |
Cheng et al. | An improved stochastic gradient descent algorithm based on Rényi differential privacy | |
CN110572251B (zh) | 一种模板攻击方法以及设备抗模板攻击的评估方法 | |
Ye et al. | C2FMI: Corse-to-Fine Black-Box Model Inversion Attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |