论文解读《Differentially Private Label Protection in Split Learning》
Threat Model
本文考虑的是Split Learning中的白盒攻击white box attack,黑盒攻击可以参考之前的解读。
白盒攻击:攻击者non-label party不仅可以得到label party传回来的梯度 g g g,还可以得到label party模型的参数 h h h。
基于上述假设,作者提出了一种最短距离攻击shortest distance attack:
假设攻击者的模型为 f θ N f_{\theta_N} fθN,label端的模型为 h θ L h_{\theta_L} hθL,由于攻击者知道 h θ L h_{\theta_L} hθL的信息。对于一个样本X,假设label为0可以求出梯度 g 0 g_0 g0 , 假设label为1可以求出梯度 g 1 g_1 g1。如果不对 g g g 加噪声处理,就已经可以推出标签是什么了。假设 g g g加了噪声处理得到 g ~ \tilde g g~ ,那么 shortest distance attack可以表示为:
即如果 g ~ \tilde g g~ 与 g 0 g_0 g0 接近,就可以推测出标签是0,反之亦然。
所以保护的思路就是混淆
Defence
加差分隐私噪声:
u u u根据采样得到,作者提出了两种采样加噪声的方式:拉普拉斯噪声和伯努利噪声(Discrete噪声)
两种噪声分别满足以下DP:
Experiment
不保护:SDA是作者提出的short distance attack
可以看到attack AUC很高,隐私泄露严重。
加噪声:拉普拉斯噪声、Discrete噪声、朴素的高斯噪声
结论:
- 拉普拉斯噪声、Discrete噪声有差分隐私的保障, ϵ \epsilon ϵ 越小,噪声越大,隐私保护效果越好,模型效果越差。
- 不考虑差分隐私的理论保障,拉普拉斯>高斯>Discrete,但从实验数据上来看差距不明显。
拓展
-
可以保存每个样本的噪声,每轮训练的时候不再重新采样,可以避免对隐私预算的消耗。
-
修改噪声,也可应用于多分类问题。
样本的噪声,每轮训练的时候不再重新采样,可以避免对隐私预算的消耗。
- 修改噪声,也可应用于多分类问题。