Novas Estruturas para Privacidade em Aprendizado Federado
APES e S-APES melhoram a privacidade no aprendizado federado sem perder precisão.
― 7 min ler
Índice
Aprendizado Federado (FL) é um método onde muitos usuários podem trabalhar juntos pra melhorar um modelo compartilhado sem precisar compartilhar os dados deles de verdade. Cada usuário treina um modelo no próprio dispositivo usando os dados pessoais e só manda atualizações pra um servidor central. Assim, as informações sensíveis continuam privadas e seguras. Mas essa abordagem enfrenta ameaças de ataques à Privacidade, onde entidades maliciosas podem inferir informações pessoais a partir do modelo compartilhado ou suas atualizações.
Necessidade de Privacidade no Aprendizado Federado
No FL, os dados dos usuários ficam nos dispositivos deles, mas o modelo que eles treinam ainda pode expor algumas informações privadas. Se uma pessoa mal-intencionada conseguir acessar o modelo ou atualizações intermediárias, pode deduzir quais dados um usuário tem, comprometendo a privacidade. Duas fases principais são vulneráveis: durante o processo de publicação do modelo e quando os usuários enviam suas atualizações. Por isso, proteções fortes são necessárias pra garantir que tanto o modelo compartilhado quanto as atualizações dos usuários permaneçam privadas.
O Desafio dos Diferentes Níveis de Privacidade
Nem todos os usuários têm as mesmas necessidades de privacidade. Alguns podem querer controles de privacidade mais rigorosos do que outros, dependendo do conforto deles em compartilhar dados. Uma abordagem uniforme pra privacidade pode resultar em perda de precisão no modelo ou em privacidade ruim pra quem precisa de uma proteção mais forte. Então, é crucial encontrar uma solução que satisfaça tanto a privacidade central forte pro modelo quanto a privacidade local personalizada pra cada usuário.
Soluções Atuais e Suas Limitações
Recentemente, surgiram estruturas como a Privacidade Diferencial Local Personalizada (PLDP). A PLDP busca oferecer um equilíbrio entre a privacidade do usuário e a utilidade do modelo, permitindo diferentes níveis de privacidade. No entanto, essa abordagem ainda tem uma troca significativa: a privacidade geral do modelo é muitas vezes equivalente à configuração de privacidade mais fraca entre os usuários.
Pra superar essas limitações, foi introduzido o conceito de um modelo de embaralhamento. Esse modelo melhora a privacidade central misturando aleatoriamente os dados após as perturbações locais, tornando mais difícil pros adversários rastrearem de volta aos usuários individuais. No entanto, os estudos existentes sobre modelos de embaralhamento assumiram principalmente necessidades de privacidade uniformes, o que não reflete cenários do mundo real, onde os usuários têm preferências de privacidade variadas.
Introduzindo Novas Estruturas: APES e S-APES
Pra enfrentar esses desafios, a gente propõe duas estruturas: APES e S-APES.
APES: Estrutura de Amplificação pra Privacidade Personalizada
APES significa Amplificação pra Aprendizado Federado Privado Personalizado com Modelo de Embaralhamento. Essa estrutura combina os benefícios do embaralhamento com as necessidades de privacidade personalizadas. Ao embaralhar tanto os dados quanto os parâmetros de privacidade, a APES busca melhorar a privacidade central sem prejudicar a privacidade de nível usuário.
A estrutura funciona em três etapas principais:
- Atualização Local: Cada usuário modifica o gradiente do modelo no dispositivo dele. Depois, eles enviam os dados atualizados pra um servidor central.
- Embaralhamento: Um terceiro confiável, o embaralhador, mistura as atualizações de diferentes usuários, ajudando a proteger os pontos de dados individuais.
- Análise: O servidor central coleta as atualizações misturadas pra melhorar o modelo global.
Essa estrutura garante que o nível de privacidade de cada usuário esteja adequadamente protegido e que a privacidade geral do modelo seja melhorada.
S-APES: Privacidade Aumentada em Altas Dimensões
A estrutura S-APES se baseia na APES ao introduzir uma técnica chamada pós-esparsificação. Dados de alta dimensão podem piorar os problemas de privacidade devido à quantidade maior de informações em risco. A S-APES aborda esse problema selecionando apenas as dimensões mais valiosas das atualizações do modelo.
As etapas envolvidas incluem:
- Usuários escolhem dimensões significativas dos dados deles após a perturbação pra manter a privacidade.
- A estrutura embaralha essas dimensões selecionadas, ajudando a proteger os dados subjacentes enquanto reduz o risco de perda de privacidade.
Ao focar em menos dimensões, a S-APES não só economiza em custos de privacidade, mas também oferece garantias de privacidade mais fortes.
Analisando o Efeito de Amplificação da Privacidade
Uma parte crucial de ambas as estruturas é a capacidade de amplificar a privacidade. O conceito de "ecos" dos vizinhos desempenha um papel vital nesse efeito de amplificação. A perturbação dos dados de cada usuário pode afetar os outros próximos, criando camadas adicionais de privacidade através da aleatoriedade introduzida durante o embaralhamento.
Pra quantificar esse efeito, a gente introduziu um conceito conhecido como Divergência de Vizinhos. Isso mede quão diferentes são as saídas de um usuário em comparação com os outros, permitindo uma avaliação mais clara das diferenças de privacidade entre os usuários.
O mecanismo Clip-Laplace também é empregado dentro dessas estruturas pra manter um intervalo de saída, garantindo que os dados permaneçam consistentes e precisos enquanto ainda alcançam os níveis de privacidade desejados.
Resultados Experimentais: Validando a APES e a S-APES
Pra validar nossas estruturas propostas, realizamos experimentos detalhados usando conjuntos de dados do mundo real. Os testes tinham como objetivo ilustrar que a APES e a S-APES fornecem forte privacidade central enquanto mantêm ou até melhoram a precisão do modelo global final.
Desempenho da Estrutura
Os resultados iniciais mostraram melhorias promissoras em privacidade. A APES obteve uma redução notável na perda de privacidade, garantindo uma privacidade central mais forte enquanto mantinha a utilidade do modelo intacta. Os usuários relataram níveis de precisão mais altos em comparação com métodos anteriores, indicando um equilíbrio bem-sucedido entre preservação da privacidade e eficácia do modelo.
A S-APES melhorou ainda mais os níveis de privacidade, demonstrando reduções significativas na perda de privacidade ao selecionar dimensões informativas. Embora houvesse uma leve queda na precisão, ela permaneceu mais alta do que em métodos alternativos, provando que a troca foi justificada.
Efeito de Amplificação da Privacidade
Nossos experimentos também destacaram a eficácia da amplificação da privacidade proporcionada pelo eco dos vizinhos. Os resultados demonstraram que, à medida que mais pontos de dados eram embaralhados, o limite geral de privacidade se tornava mais apertado, significando menos risco de vazamento de informações.
O mecanismo Clip-Laplace se mostrou eficaz em garantir estabilidade e consistência em várias condições, solidificando ainda mais a utilidade de nossas estruturas em aplicações do mundo real.
Conclusão
O aprendizado federado representa uma abordagem promissora pra treinamento colaborativo de modelos enquanto protege a privacidade dos usuários. No entanto, as estruturas existentes muitas vezes não atendem às variadas preferências de privacidade dos usuários. Ao introduzir a APES e a S-APES, oferecemos soluções robustas que amplificam a privacidade sem comprometer a precisão.
Essas estruturas não só melhoram a privacidade central do modelo global, mas também permitem que os usuários mantenham controle sobre suas configurações de privacidade local. Nossos experimentos mostram melhorias significativas, abrindo caminho pra aplicações práticas do aprendizado federado que priorizam a privacidade do usuário no mundo orientado por dados de hoje.
Ao adotar esses novos métodos, podemos avançar rumo a um futuro onde os dados dos usuários permanecem confidenciais enquanto ainda possibilitam avanços coletivos em aprendizado de máquina através das metodologias de aprendizado federado.
Título: Echo of Neighbors: Privacy Amplification for Personalized Private Federated Learning with Shuffle Model
Resumo: Federated Learning, as a popular paradigm for collaborative training, is vulnerable against privacy attacks. Different privacy levels regarding users' attitudes need to be satisfied locally, while a strict privacy guarantee for the global model is also required centrally. Personalized Local Differential Privacy (PLDP) is suitable for preserving users' varying local privacy, yet only provides a central privacy guarantee equivalent to the worst-case local privacy level. Thus, achieving strong central privacy as well as personalized local privacy with a utility-promising model is a challenging problem. In this work, a general framework (APES) is built up to strengthen model privacy under personalized local privacy by leveraging the privacy amplification effect of the shuffle model. To tighten the privacy bound, we quantify the heterogeneous contributions to the central privacy user by user. The contributions are characterized by the ability of generating "echos" from the perturbation of each user, which is carefully measured by proposed methods Neighbor Divergence and Clip-Laplace Mechanism. Furthermore, we propose a refined framework (S-APES) with the post-sparsification technique to reduce privacy loss in high-dimension scenarios. To the best of our knowledge, the impact of shuffling on personalized local privacy is considered for the first time. We provide a strong privacy amplification effect, and the bound is tighter than the baseline result based on existing methods for uniform local privacy. Experiments demonstrate that our frameworks ensure comparable or higher accuracy for the global model.
Autores: Yixuan Liu, Suyun Zhao, Li Xiong, Yuhan Liu, Hong Chen
Última atualização: 2023-05-26 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2304.05516
Fonte PDF: https://arxiv.org/pdf/2304.05516
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.