差分隐私是深度学习领域中一个新兴的话题。它的核心在于确保当我们的神经网络从敏感数据中学习时,它们只学习了应该从数据中学习的内容,而不涉及其他隐私信息。
差分隐私是隐私保护数据分析中的一个概念,旨在保护个人隐私,同时仍允许从数据中获取有用的见解。在深度学习的背景下,这一点尤为重要,因为训练模型可能会使用大量敏感数据。以下是差分隐私在深度学习中的一些应用方式:
- 向数据添加噪声: 在深度学习中实现差分隐私的一种常见方法是在训练期间向数据添加噪声。这有助于确保模型不会过度拟合数据中的特定个体或敏感信息。可以使用各种技术(如拉普拉斯机制或高斯机制)向训练数据添加噪声。
使用教师集成私有聚合(PATE): PATE 是一个用于训练具有差分隐私的机器学习学习框架,这在深度学习背景下特别有用。PATE 涉及在数据的不相交子集上训练多个“教师”模型,然后使用这些模型为训练数据生成“带噪声的标签”。然后,最终的“学生”模型在这些带噪声的标签上进行训练,这有助于确保差分隐私。
联邦学习: 联邦学习是一种深度学习方法,其中训练数据保留在用户的设备上,只有模型参数被发送到中央服务器进行聚合。这有助于保护用户隐私,因为原始数据永远不会离开用户的设备。差分隐私可用于为联邦学习增加一层额外的保护,通过确保模型更新的聚合不会泄露有关用户数据的敏感信息。
在深度学习中使用差分隐私的一些潜在优势包括:提高隐私性、增强对模型的信任以及提高公平性。然而,也存在一些潜在的缺点,例如增加了计算复杂性和降低了准确性。重要的是要仔细权衡这些利弊,并针对特定用例设计适当的差分隐私机制。
Cynthia Dwork 提出的隐私的稳健定义(出自她的书《算法基础》):
> “差分隐私”描述了数据持有者或管理者向数据主体做出的承诺,该承诺如下:“无论有什么其他研究、数据集或信息源可用,允许将您的数据用于任何研究或分析都不会对您产生不利或其他影响。”
差分隐私的一般目标是确保不同类型的统计分析不会损害隐私,如果在分析之后,分析者对数据集中的特征一无所知,即意味着隐私得到了保留,也就是说,在其他地方公开的信息不会对个人造成伤害。
为了在简单数据库的背景下定义隐私,我们要对数据库执行一些查询,如果我们将一个人从数据库中删除,而查询结果没有改变,那么那个人的隐私将受到完全保护。
让我们通过一个例子来理解
给定一个数据库,其中包含一些数字 ‘1‘ 和 ‘0‘,这些是某种敏感数据,例如个体是否患有某种疾病(可能患者不想透露这些数据)。
db = [1, 0, 1, 1, 0, 1, 0, 1, 0, 0]
现在,你有了删除了每个条目的数据库,这些被称为并行数据库。如果原始数据库的长度是 ‘n‘,那么就有 ‘n‘ 个并行数据库,在我们的例子中是 10 个。现在,我们考虑其中一个并行数据库,让我们以第一个为例,其中第一个个体被移除了,我们会得到什么?
pdbs[0] = [0, 1, 1, 0, 1, 0, 1, 0, 0]
所以你会看到这个数据库现在的长度是 ‘n-1‘。为了计算敏感性,我们需要一个查询函数,所以我们假设最简单的 ‘sum‘(求和)。所以我们现在关注两个结果:
sum(db) = 5
sum(pdbs[0]) = 4
上述两者之间的差异是 ‘1‘,我们知道我们需要找到所有这些差异中的最大值,因为这个数据库只包含 ‘1‘ 和 ‘0‘,所有这些差异要么是 ‘1‘(如上所示,当移除 1 时),要么是 ‘0‘(当移除 0 时)。
因此,我们在这个例子中得到的敏感性是 ‘1‘,这确实是一个很高的值,因此可以使用这个 ‘sum‘ 查询轻松进行差分攻击。
敏感性应该保持较低,以便对差分攻击可能揭示信息/泄露隐私的程度提供定量的概念。
在 Python 中实现差分隐私的代码:
Python3
“`python
import torch
# 我们数据库中的条目数
num_entries = 5000
db = torch.rand(num_entries) > 0.5
# 生成并行…