差分隐私

1. 防御描述

差分隐私随机梯度下降(Differentially Private Stochastic Gradient Descent,DP-SGD)是一种应用差分隐私的机器学习优化方法。

2. 防御流程示意图

成员推断攻击

流程:

  1. 定义差分隐私参数

    定义敏感度、隐私预算和裁剪梯度。敏感度表示损失函数相对于一个个体样本的梯度的最大变化。对于梯度下降算法,通常使用二范数来度量。隐私预算表示在一次查询中允许的隐私泄露程度。裁剪系数决定了裁剪后的梯度范围。

  2. 计算梯度并裁剪

    对于每个小批量数据,计算模型的梯度。梯度计算后进行裁剪,限制在裁剪系数内。

  3. 添加高斯噪声

    对裁剪后的梯度向量添加符合高斯分布的随机噪声。高斯噪声的标准差通常为裁剪系数除以隐私预算。

  4. 更新模型参数

    使用添加了噪声的、并经过裁剪的梯度来更新模型参数。一般情况下使用随机梯度下降方法更新模型的参数。

3. 指标情况

攻击类型 数据集 模型 推断成功率
白盒攻击 CIFAR-10 VGG-16 50.27%
CIFAR-10 ResNet-20 50.57%
MNIST VGG-16 49.81%
MNIST ResNet-20 50.17%
黑盒攻击 CIFAR-10 VGG-16 49.74%
CIFAR-10 ResNet-20 50.06%
MNIST VGG-16 50.19%
MNIST ResNet-20 49.94%