差分隐私
1. 防御描述
差分隐私随机梯度下降(Differentially Private Stochastic Gradient Descent,DP-SGD)是一种应用差分隐私的机器学习优化方法。
2. 防御流程示意图
流程:
定义差分隐私参数
定义敏感度、隐私预算和裁剪梯度。敏感度表示损失函数相对于一个个体样本的梯度的最大变化。对于梯度下降算法,通常使用二范数来度量。隐私预算表示在一次查询中允许的隐私泄露程度。裁剪系数决定了裁剪后的梯度范围。
计算梯度并裁剪
对于每个小批量数据,计算模型的梯度。梯度计算后进行裁剪,限制在裁剪系数内。
添加高斯噪声
对裁剪后的梯度向量添加符合高斯分布的随机噪声。高斯噪声的标准差通常为裁剪系数除以隐私预算。
更新模型参数
使用添加了噪声的、并经过裁剪的梯度来更新模型参数。一般情况下使用随机梯度下降方法更新模型的参数。
3. 指标情况
| 攻击类型 | 数据集 | 模型 | 推断成功率 |
| 白盒攻击 | CIFAR-10 | VGG-16 | 50.27% |
| CIFAR-10 | ResNet-20 | 50.57% | |
| MNIST | VGG-16 | 49.81% | |
| MNIST | ResNet-20 | 50.17% | |
| 黑盒攻击 | CIFAR-10 | VGG-16 | 49.74% |
| CIFAR-10 | ResNet-20 | 50.06% | |
| MNIST | VGG-16 | 50.19% | |
| MNIST | ResNet-20 | 49.94% |
