技术实践|安全高效的联邦神经网络框架
在数据融合需求加强和数据流通安全政策要求的双重作用下,各行业和机构的客户已开始有纵向联邦学习的诉求。而神经网络因其具有表征能力强、泛化能力强等优点,是电商、金融、医疗、汽车等领域客户常用的建模模型。因此,客户亟需安全的纵向联邦神经网络解决方案,即在保证数据安全与合规的前提下,结合双方数据,完成神经网络模型的联合建模与预测。
基于此,Dataphin隐私计算通过差分隐私技术,实现了全链路安全的联邦神经网络,目前已支持两方二分类、多分类和回归千万量级训练任务,算法包括MLP、Wide&Deep、DeepFM。相比于同态加密或安全多方计算实现,差分隐私技术计算和通信性能与直接明文计算几乎无区别,隐私保护强度依赖于隐私参数,且支持定制化神经网络开发,配置灵活,效率较高。
01
联邦学习
传统神经网络
前向传播:训练数据分批从输入层送入网络,逐层进行前向计算,直至输出层 比较当前网络输出标签与真实标签,并利用损失函数计算出损失(可以理解为预测标签与真实标签的差值) 反向传播:根据 loss 计算梯度,根据梯度下降算法,逐层更新网络权重参数 多次重复 1-3 过程,直至模型收敛(loss 为 0),停止训练。
联邦神经网络
前向传播阶段,Alice(无标签方)将本侧模型的 Foward Tensor 发送给 Bob(有标签方); 反向传播阶段,Bob 首先更新本侧模型,并将模型第一层 Gradients 发送回 Alice,Alice 进行本地模型权重更新;
业务应用场景
汽车-线索评级:引导关注高价值客户线索并快速呼出。
车企线下店铺获客方式主要为预约试驾/到店参观,对车企而言很难通过一次的“到店/试驾行为” 评估客户是否为高意向客户。
同时对车企而言,用户的“到店”信息为车企的核心数据,其不希望第三方数据源知道客户的信息。
解决方案:通过Dataphin联邦学习功能,完成客户的精准查询和建模,提升模型auc。
02
差分隐私
差分隐私(Differential Privacy,DP)是2006年微软研究院Cynthia Dwork提出的隐私保护技术,通过增加满足适当分布的噪声,将个体信息隐匿在总体信息中,以实现对用户数据的隐私保护。差分隐私机制保证任意一个个体的数据加入或离开时,数据集的数据分析结果从概率视角看不会发生太大的变化。由于这一要求对于任意一个个体均成立,因此差分隐私可以提供个体级别的隐私保护。
隐私成本--衡量差分隐私技术所能提供的“隐私量”,越小,意味着能提供更高等级的隐私性。
差分隐私训练
噪声方差--高斯噪声分布,噪声方差越大,噪声越大。 敏感度--增加或删除一条记录,的变化量。比如:的感度是1,因为改变1,改变量为1。
训练算法--模型 选择和配置隐私机制--加噪策略 计算最终的隐私成本,以保证--衡量隐私量
为什么选择差分隐私
03
Dataphin隐私计算方案
联合深度学习(FL-DNN)框架
在两方纵向联邦神经网络中,不同的参与方所持有的数据有 ID 重叠的数据集,但其特征空间不同(即数据属性不同)。根据服务器端(标签方)是否有特征,DataTrust 所实现的联邦神经网络架构可支持两种特征分布。
第一种情况x&x+y训练:
slave方:特征- host方:特征-,标签-
本地客户端(slave)利用己方数据进行本地DNN模型前向训练,得到中间层的前向计算结果,即Forward Tesnor,并发送给server; 服务器(host)也利用本地DNN模型执行与slave方相同的过程,并接收slave方的Forward Tensor, 在融合层将slave方的Forward Tensor与己方计算的Forward Tensor聚合后,继续进行前向传播,直至输出层; host方完成整个前向传播过程后,基于己方的标签,计算梯度; host方将梯度信息发送给slave方,双方分别完成己方模型的参数更新; 多次重复1-5过程,直至模型收敛,停止训练。
第二种情况(x&y):
slave方:特征- host方:标签-
本地客户端(slave)利用己方数据进行本地DNN模型前向训练,得到中间层的前向计算结果,即Forward Tesnor),并发送给server; 服务器(host)接收来自slave的Forward Tensor,作为己方模型的输入送入网络,继续进行前向传播,直至输出层; host比较当前网络输出标签与真实标签,并利用损失函数计算出损失以及梯度 host反向传播更新模型权重参数至本侧模型第一层,并将该层梯度发送给slave方; slave方根据收到的梯度进行反向传播,逐层更新模型权重参数; 多次重复1-5过程,直至模型收敛,停止训练。
安全加固框架
在此联邦深度学习框架基础上,DataTrust 增加以下模块来进行安全加固,主要分为 3 个阶段:
通过对前向传播和反向传播过程所传递的中间参数信息添加高斯噪声,实现对参与方数据特征以及标签的差分隐私保护。其次,DataTrust提出组合降噪方法,该降噪方法可在不牺牲隐私的情况下,缓解梯度裁剪和加噪带来的副作用,提升模型的准确度以及收敛速度。
差分训练流程如图:
加噪模块
分别在前向传播的通信Forward Tensor以及反向传播的通信梯度Gradients中加差分,即添加高斯噪声,实现对FL-DNN的安全加固。
噪声类型--高斯噪声
噪声量--由噪声方差决定,噪声方差越大,噪声量越大,提供的保护越强 噪声添加位置--通信Forward Tensor以及通信梯度Gradients
降噪模块
隐私开销模块
串行组合 高级组合 RDP(Rényi Differential Privacy) f-DP(2020)
04
Dataphin隐私计算性能
实验效果
噪声越大,隐私成本越低,方案所提供的隐私保护越强,同时对模型的性能损伤越大。
Dataphin隐私计算性能
1、Survey of artificial intelligence data security and privacy protection,翻译:https://www.secrss.com/articles/29040
2、Fu C, Zhang X, Ji S, et al. Label inference attacks against vertical federated learning[C]//31st USENIX Security Symposium (USENIX Security 22). 2022: 1397-1414.
3、Gupta O, Raskar R. Distributed learning of deep neural network over multiple agents[J]. Journal of Network and Computer Applications, 2018, 116: 1-8.
4、Ceballos I, Sharma V, Mugica E, et al. SplitNN-driven vertical partitioning[J]. arXiv preprint arXiv:2008.04137, 2020.
5、Wei K, Li J, Ding M, et al. Federated learning with differential privacy: Algorithms and performance analysis[J]. IEEE Transactions on Information Forensics and Security, 2020, 15: 3454-3469.
6、McMahan H B, Andrew G, Erlingsson U, et al. A general approach to adding differential privacy to iterative training procedures[J]. arXiv preprint arXiv:1812.06210, 2018.
7、Wang Y X, Balle B, Kasiviswanathan S P. Subsampled rényi differential privacy and analytical moments accountant[C]//The 22nd International Conference on Artificial Intelligence and Statistics. PMLR, 2019: 1226-1235.
8、Mironov I, Talwar K, Zhang L. R'enyi differential privacy of the sampled gaussian mechanism[J]. arXiv preprint arXiv:1908.10530, 2019.
9、Bu Z, Dong J, Long Q, et al. Deep learning with gaussian differential privacy[J]. Harvard data science review, 2020, 2020(23): 10.1162/99608f92. cfc5dd25.