基于差分隐私的联邦学习
本文主要介绍了笔者对于将差分隐私与联邦学习相结合以保护客户端隐私这一类办法的理解。
[https://www.yangwenzhuo.top/]
什么是差分隐私
也就是说,对于任何一个所谓的”查询“任务,我们要防范出现上述这种情况,这里就用到了差分隐私研究领域涉及到的一些防范方法,即对于每次”查询“我们都加入一定的偶然性,也就是每次都添加一定量的噪音,引用那个专栏的例子:
这里注意,由于2和3是真实结果,加上一个随机变量(也就是噪音,它可能呈拉普拉斯分布或者其他分布)的概率密度分布就可以得到如上图所示。
这样做也就是说,我一次查询,对于2来说,有较大的概率输出2,也有其他概率输出其他结果,这个概率是由噪音的概率密度函数所决定的。其实这就是所谓的差分隐私,加上的噪音有很多种方案,很多文章都是变换了加噪音的分布函数,然后检测它是否满足差分隐私定义的一些要求,然后告诉大家我们的这个可以用,效果怎么样等等。
联邦学习中的差分隐私
本地计算
客户端 ii 根据本地数据库 和接受的服务器的全局模型作为本地的参数,即,进行梯度下降策略进行本地模型训练得到 (t 表示当前round)。模型扰动
每个客户端产生一个随机噪音, 是符合高斯分布的,使用扰动本地模型(这里注意是一个矩阵,那么就对矩阵的每一个元素产生噪音)。模型聚合
服务器使用FedAVG算法聚合从客户端收到的得到新的全局模型参数,也就是扰动过的模型参数。模型广播
服务器将新的模型参数广播给每个客户端。本地模型更新
每个客户端接受新的模型参数,重新进行本地计算。
为什么FL需要差分隐私
[3].Hitaj et al. Deep models under theGAN: information leakage from collaborative deep http://learning.In ACM SIGSAC Conference
现在回到标题问题,为什么要用差分隐私?
https://zhuanlan.zhihu.com/p/266134450
FL中的噪声是如何产生的?
首先每个client根据自己的隐私保护要求程度,产生一个差分隐私的值,越大隐私保护程度越弱
每个client是需要裁剪(Clip)梯度,要把梯度bound在和之间的话,那么差分隐私的,n为本地sample的数量。 根据 和的值就可以求出拉普拉斯分布或者高斯分布的参数了(高斯分布可能还需要δ ,这个也是client自己规定的)
然后从高斯分布或者拉普拉斯分布中sample出一个值加上模型参数值就可以了。
的推导可以看这两篇论文:
1.Federated Learning with Differential Privacy:Algorithms and Performance Analysis
2.The Value of Collaboration in Convex Machine Learning with Differential Privacy
需要注意的点是:
每个client可能要求的是不一样的。 每个client添加的噪音是独立的,但是不一定同分布(,不一样)。
为何可以加噪声?
参考文献
1.https://www.zhihu.com/column/c_1293586488769040384
2.Melis etal. Exploiting Unintended Feature Leakage in Collaborative Learning. In lEEE Symposium on Security & Privacy,2019.
3.Hitaj et al. Deep models under theGAN: information leakage from collaborative deep http://learning.In ACM SIGSAC Conference on
4.http://www.huaxiaozhuan.com/%E6%B7%B1%E5%BA%A6%E5%AD%A6%E4%B9%A0/chapters/3_regularization.html
5.https://www.bookstack.cn/read/huaxiaozhuan-ai/spilt.4.d07cc9a8a1364f3d.md
6.http://yongxintong.group/static/talks/2019/federated-DP.pdf
往期推荐