Differentially Private Federated Learning With an Adaptive Noise Mechanism

已于 2024-04-12 22:17:50 修改
阅读量1.1k 收藏 26
点赞数 19
文章标签: 机器学习 算法
于 2024-04-12 22:12:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oracle0101/article/details/137695874
版权
文章探讨了在联邦学习中,通过自适应噪声机制来解决LDP-FL中模型参数异质性导致的精度问题。作者提出的方法根据模型参数大小动态添加噪声,有效减轻了噪声对模型准确性的影响,实现在高隐私保护下保持较高模型精度。实验结果显示,这种方法在不同参数条件下表现出良好的性能和鲁棒性。
摘要由CSDN通过智能技术生成

一、研究背景

1.1联邦学习的保护机制

在联邦学习机制中,用户会因为共享模型参数而导致隐私泄露。实现隐私保护的FL(PPFL)的一种方法是利用同态加密(HE)来加密客户端的局部模型参数,并允许参数服务器在密文上执行FL聚合。HE-based PPFL协议确实保护了客户的隐私,但一个问题是HE通常引入了巨大的计算开销,这在FL中是不切实际的。另一种方法是使用数据掩码,在这些方案中,客户端向上传输的模型参数添加掩码值,其中掩码值通常包括成对的掩码以确保在聚合结果中的消除,以及自掩码以防止意外泄露客户的隐私。这种方案的问题是它们导致了巨大的通信开销。一种流行的方法是使用差分隐私对联邦学习进行保护,在本文中,作者只使用本地差分隐私联邦学习(LDP-FL)来保护隐私。

1.2LDP-FL的误差分析

在以往的LDP-FL中,由于不同模型参数之间存在异质性,当服务器分配给用户的隐私预算大于用户所需要的隐私预算时,用户的隐私信息得不到保护,模型的准确性或上升。当服务器分配给用户的隐私预算小于用户所需要的隐私预算时,用户的隐私信息得到保护,但模型的准确性下降。所以,LDP-FL会因为不同模型参数之间存在异质性而导致模型精度下降,因此,我们亟需一种方法来解决LDP-FL的问题。

1.3作者的解决方法

自适应噪声机制:根据模型参数的大小添加变化的噪声。因为灵敏度是DP中确定噪声大小的关键概念,所以自适应噪声机制的关键是对灵敏度进行紧密估计。步骤如下:
1)客户端使用上一次FL聚合得到的全局模型参数和本地历史梯度来计算逐个模型参数的阈值,并使用该阈值来截断上传的参数;
2)然后他们可以根据其定义来估计灵敏度;
3)之后,每个客户端根据估计的灵敏度和隐私预算向本地模型参数添加适当的噪声并上传它们;
4)然后参数服务器使用收集到的扰动模型参数来执行聚合
概述图:
在这里插入图片描述

二、内容分析

2.1整体流程

在这里插入图片描述

2.2客户更新算法

在这里插入图片描述

2.3灵敏度的估计

在这里插入图片描述

三、实验分析

3.1性能评估

在这里插入图片描述
当 ε 等于 0.5 时,模型准确度分别为 87.58%(SGD)、90.45%(Momentum)、94.98%(Adam)和 96.85%(RMSPROP)。这表明作者提出的方案可以在高隐私保护级别(即 ε = 0.5)下实现满意的模型准确度。当 ε 等于 2.0 时,四种优化器的模型准确度曲线在第 20 轮后收敛。当 ε 等于 8.0 时,获得的模型的准确度约为 97%。这些结果表明作者提出的自适应噪声机制确实有效地减轻了添加到模型中的噪声所造成的损害
在这里插入图片描述
当 ε 等于 0.5 时(图 a),与没有添加任何噪声的模型相比,准确度损失分别为 SGD 3.29%、Momentum 2.38%、Adam 1.71% 和 RMSPROP 0.39%。对于 FMNIST,当 ε 等于 1.0 时(图 b),模型的准确度损失分别为 SGD 3.8%、Momentum 3.46%、Adam 1.97% 和 RMSPROP 1.67%。对于 CIFAR-10,当 ε 等于 2.0 时(图 c),模型的准确度损失分别为 SGD 3.17%、Momentum 2.96%、Adam 1.51% 和 RMSPROP 1.03%。表明作者提出的方案可以在高水平的隐私保护下实现较高的模型准确度,从而表明了作者提出的方案在隐私保护和模型准确度之间取得了良好的平衡。图d是作者的方法与其他DP-FL方法的对比。

3.2不同参数的影响

在这里插入图片描述
图a:对于 SGD,50 个和 700 个参与的客户端之间的模型准确性差异仅为 2.98%,对于 Momentum 为 2.81%,对于 Adam 为 2.90%,对于 RMSPROP 为 2.78%。即使客户端数量在一定范围内增长,作者提出的方案仍然可以有效地减轻噪声对模型准确性的影响。
图b:模型准确性在噪声水平为 26 时最高。当 σ0 等于 30 时,模型仍然表现良好:与 σ0 = 26 时相比,SGD 的模型准确性下降了 1.7%, Momentum下降了 1.04%,Adam 下降了 0.94%,RMSPROP 下降了 2.09%。这表明作者提出的方案所容忍的噪声水平很高。
图c:当参与客户端比例大于0.6时,模型准确性已经达到了相对满意的水平(SGD 为 86.67%, Momentum为 88.08%,Adam 为 91.05%,RMSPROP 为 92.21%)。因此,即使存在客户端退出,作者的方案仍然能够很好地运行。
图d:β 越小,截断的模型参数越多,因此对模型准确性的负面影响会更大。β 越大,丢弃的模型参数部分就越少。图 5(d) 显示了随着 β 的变化结果。我们观察到当 β 介于 1.0 和 1.2 之间时,模型准确性达到最高点。

总结

1.作者提出的方案要求客户端根据估计的灵敏度将不同尺度的噪声添加到局部模型的不同参数中。它减轻了 DP 导致模型精度的退化,从而在更高的隐私保护级别实现更小的模型精度损失。

2.为了在FL中没有数据可见性的情况下更准确地估计灵敏度,作者提出了一种结合局部和全局历史信息的通用方法,以准确估计客户端上传模型参数的灵敏度

R. Xue et al., “Differentially Private Federated Learning With an Adaptive Noise Mechanism,” in IEEE Transactions on Information Forensics and Security, vol. 19, pp. 74-87, 2024, doi: 10.1109/TIFS.2023.3318944. keywords: {Sensitivity;Privacy;Adaptation models;Servers;Computational modeling;Differential privacy;Data models;Federated learning;differential privacy;adaptive noise},

米粒糕
关注
差分隐私与联邦学习安全原理与代码实战案例讲解
AI天才研究院
06-24 1056
在大数据和人工智能的时代,数据隐私和安全性成为了至关重要的问题。传统的数据处理方法往往需要集中化的数据存储和处理,这带来了数据泄露和隐私侵犯的风险。为了应对这些挑战,差分隐私和联邦学习作为两种新兴的技术,提供了有效的解决方案。差分隐私是一种保护数据隐私的技术,通过在数据分析过程中引入噪声,确保个体数据的隐私不被泄露。联邦学习则是一种分布式机器学习方法,允许多个参与方在不共享原始数据的情况下,共同训练模型。这两种技术的结合,可以在保护数据隐私的同时,实现高效的数据分析和模型训练。差分隐私(Differenti
Learning Rate Adaptation for Differentially Private Learning
daxuan1881的博客
09-20 347
中间定理7是MA的组合定理,是说隐私损失的总矩是小于等于各个机制之和的矩,因为算法G1和G2都是独立的,所以有了定理9,根据定理9,相同的参数值q,σ和C,算法2运行的迭代次数是DP-SGD的一半。并且通过MA说明了该算法的优点。最右边是ADADP算法,可以看到他和DPSGD不同的是,DPSGD是把数据划分为固定大小的批次,ADADP算法是在每一轮需要迭代两个小批次,用于分别计算G1和G2,因此需要迭代N/2B次,最后通过判断条件去改变模型的学习率。
Differentially Private Learning with Adaptive Clipping
daxuan1881的博客
05-17 823
motivation:这篇文章是在模型训练阶段添加满足DP的噪声从而达到隐私保护的目的,在之前读的论文中,不同的数据集大小,优化器,激活函数的不同都会影响整个模型的性能。看的比较多的就是在裁剪阈值C上进行优化,过大过小都不利于模型训练,所以需要找一个合适的阈值C。 在联邦学习(FL)设置中,使用用户级差分隐私(例如DP联邦平均)训练神经网络的现有方法涉及到通过将每个用户的模型更新裁剪为某个常数值来限制其贡献。 method:基于这样的前提,文章提出了一种分位数的思想,用分位数去找一个合适的裁剪临界值。左
论文阅读:Differentially Private Learning with Adaptive Clipping
三金samkam的博客
03-30 1377
论文名字 Differentially Private Learning with Adaptive Clipping 来源 年份 2019 作者 Galen Andrew, Om Thakkar, H. Brendan McMahan, Swaroop Ramaswamy 核心点 提出对更新的范数的自适应裁剪方法 ...
论文阅读:DP-FL: a novel differentially private federated learning framework for the unbalanced data
三金samkam的博客
07-05 877
论文名字 DP-FL: a novel differentially private federated learning framework for the unbalanced data 来源 World wide web (2020) 年份 2020 作者 Xixi Huang, Ye Ding, Zoe L. Jiang, ·Shuhan Qi,...
论文阅读:LDP-FL: Practical Private Aggregation in Federated Learning with Local Differential Privacy
三金samkam的博客
12-04 2150
论文名字 LDP-FL: Practical Private Aggregation in Federated Learning with Local Differential Privacy 来源 期刊 arXiv:2007.15789v1 预印本。审查中。 年份 2020.7 作者 Lichao Sun, Jianwei Qian, Xun Chen...
第十一周工作报告LDP-FL: Practical Private Aggregation in Federated Learning with Local Differential Privacy
三金samkam的博客
12-04 1039
【论文记录】Adaptive Clipping for Private SGD
Liu, Q. B. 的博客
03-06 654
Differential privacy for machine learning models can be obtained in four ways: input perturbation, output perturbation, objective perturbation, and change in optimization algorithm.
【论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
【论文阅读笔记】NeurIPS2020文章列表Part2
zincrain的博客
12-09 6022
Online Multitask Learning with Long-Term Memory Fewer is More: A Deep Graph Metric Learning Perspective Using Fewer Proxies Adaptive Graph Convolutional Recurrent Network for Traffic Forecasting On Reward-Free Reinforcement Learning with Linear Function A.
AAAI 2022 论文列表
gbstack08的专栏
02-15 2万+
链接及代码之后会更新 GitHub链接:https://github.com/gbstack/AAAI-2022-papers Scaled ReLU Matters for Training Vision Transformers Pichao Wang, Xue Wang, Hao Luo, Jingkai Zhou, Zhipeng Zhou, Fan Wang, Hao Li, Rong Jin Search Strategies for Topological Network Optimizat
论文阅读 LDP-FL: Practical Private Aggregation in Federated Learning with Local Differential Privacy
TMummy的博客
01-12 634
论文阅读笔记,LDP-FL: Practical Private Aggregation in Federated Learning with Local Differential Privacy
AI之FL:联邦学习(Federated Learning,分布式机器学习技术)的简介(背景/思想/特点/优势/未来展望/发展史)、系统及其架构、场景应用之详细攻略
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
04-27 1万+
​ AI之FL:联邦学习(Federated Learning,分布式机器学习技术)的简介(背景/思想/特点/优势/未来展望/发展史/系统及其架构)、系统及其架构、场景应用之详细攻略 目录 联邦学习的简介 联邦学习系统及其架构 联邦学习的场景应用 联邦学习的简介 1、联邦学习诞生的背景 背景 随着公众对保护隐私数据诉求的日趋强烈,以及政策制定者也越来越意识到隐私的重要性。同时,在数据实践中,对保护隐私的机器学习的需求也正在上升,对于数据的访问受到越来越多的审查,对联邦
Machine Learning Specialization 学习笔记(5)
qq_41136689的博客
10-08 1184
博客仅记录个人学习进度和一些查缺补漏。学习内容:BV1Bq421A74G。
2 机器学习之基本术语
此博客内容主要是小可日常工作中的一些问题解决的记录整理而成
10-11 721
这组记录的集合称为一个“数据集”(data set),其中每条记录是关于一个事件或对象(这里是一个西瓜)的描述,称为一个“示例”(instance)或“样本”(sample)反映事件或对象在某方面的表现或性质的事项,例如“色泽”​“根蒂”​“敲声”​,称为“属性”(attribute)或“特征”(feature);xid)是d维样本空间中的一个向量,xi∈,其中xij是xi在第j个属性上的取值(例如上述第3个西瓜在第2个属性上的值是“硬挺”​)​,d称为样本xi的“维数”(dimensionality)。
机器学习Python实战-第三章-分类问题-2.逻辑回归算法
最新发布
Hdejac的博客
10-12 1205
逻辑回归算法详解以及实验源码。
机器学习笔记(五)--神经网络
weixin_43899239的博客
10-08 928
神经元接收来自其他n个神经元传递过来的信号,这些信号通过有权重的连接进行传递,神经元接收到的总输入值将与神经元的阈值进行对比,通过激活函数的处理产生神经元的输出。
线性回归损失函数的推导
qq_72175463的博客
10-08 1088
此损失函数是均方误差损失的一种形式,广泛应用于线性回归等模型中。通过这种方式,我们既可以有效地表示损失,也可以在模型优化时更容易计算梯度。
4 机器学习之归纳偏好
此博客内容主要是小可日常工作中的一些问题解决的记录整理而成
10-11 745
例如,若认为相似的样本应有相似的输出(例如,在各种属性上都很相像的西瓜,成熟程度应该比较接近)​,则对应的学习算法可能偏好图1.3中比较“平滑”的曲线A而不是比较“崎岖”的曲线B。敲声=沉闷)​”​,学得模型时而告诉我们它是好的、时而告诉我们它是不好的,这样的学习结果显然没有意义。对“根蒂”还是对“敲声”更重视,看起来和属性选择,亦称“特征选择”(featureselection)有关,但需注意的是,机器学习中的特征选择仍是基于对训练样本的分析进行的,而在此处我们并非基于特征选择做出对“根蒂”的重视;
Complete the code for Differentially Private Stochastic Gradient Descent. a. Fill in the code for per-example clipping and adding Gaussian noise. b. Implement the privacy budget composition. Calculate the privacy budget of the training process, which means calculating $\epsilon$ based on the variance of Gaussian noise $\sigma^2$ and the given $\delta = 10^{-5}$ in different epochs. You can use basic composition to complete the code. If you correctly apply the Moments Accountant method, you will receive bonus points. import numpy as np from scipy import optimize from scipy.stats import norm import math """ Optionally you could use moments accountant to implement the epsilon calculation. """ def get_epsilon(epoch, delta, sigma, sensitivity, batch_size, training_nums): """ Compute epsilon with basic composition from given epoch, delta, sigma, sensitivity, batch_size and the number of training set. """ return epsilon
06-12
Here is the completed code for Differentially Private Stochastic Gradient Descent, including per-example clipping and adding Gaussian noise as well as privacy budget composition: ```python import numpy as np from scipy import optimize from scipy.stats import norm import math def per_example_clipping(grad, clip_factor): """ Clip the gradient per example with a given clip factor. """ return np.clip(grad, -clip_factor, clip_factor) def add_gaussian_noise(grad, sigma): """ Add Gaussian noise to the gradient with a given standard deviation. """ return grad + np.random.normal(0, sigma, grad.shape) def get_epsilon(epoch, delta, sigma, sensitivity, batch_size, training_nums): """ Compute epsilon with basic composition from given epoch, delta, sigma, sensitivity, batch_size and the number of training set. """ steps = math.ceil(training_nums / batch_size) * epoch epsilon = sigma * math.sqrt(2 * math.log(1.25 / delta)) / sensitivity return epsilon * steps def dp_sgd(X, y, epochs, batch_size, clip_factor, sigma, delta): n, d = X.shape w = np.zeros(d) for epoch in range(epochs): for i in range(0, n, batch_size): X_batch = X[i:i+batch_size] y_batch = y[i:i+batch_size] grad = np.mean(X_batch * (sigmoid(X_batch.dot(w)) - y_batch).reshape(-1, 1), axis=0) clipped_grad = per_example_clipping(grad, clip_factor) noise_grad = add_gaussian_noise(clipped_grad, sigma) w -= noise_grad epsilon = get_epsilon(epoch+1, delta, sigma, clip_factor/batch_size, batch_size, n) print("Epoch {}: Epsilon = {}".format(epoch+1, epsilon)) return w ``` The `per_example_clipping` function clips the gradient per example with a given clip factor. The `add_gaussian_noise` function adds Gaussian noise to the gradient with a given standard deviation. The `get_epsilon` function computes epsilon with basic composition from given epoch, delta, sigma, sensitivity, batch_size and the number of training set. The `dp_sgd` function performs Differentially Private Stochastic Gradient Descent. For each epoch, it loops over the training set in batches and computes the gradient of the loss function using the sigmoid function. It then clips the gradient per example, adds Gaussian noise to the clipped gradient, and updates the weight vector. Finally, it computes the privacy budget using the `get_epsilon` function and prints it out. Note that the `get_epsilon` function uses basic composition to compute the privacy budget. It calculates the total number of steps based on the number of epochs and the batch size, and then uses the formula for epsilon with basic composition to compute the privacy budget for each epoch. It is worth noting that basic composition may not provide the tightest bound on privacy, and using the Moments Accountant method may provide a tighter bound.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值