- どんなもの?
- DeepNNのパラメータを、そこから学習データが漏れないように匿名化する研究。匿名化方法としてDifferential Privacy(DP:差分プライバシ)、特に、Concentrated Differential Privacy(CDP)を使っている。本論文は、CDP適用の際問題となるプライバシ配置問題について動的に配置することで、効率的な配置を行い、学習器の精度を向上させた。
- 先行研究と比べてどこがすごい?
- プライバシバジェットの分配をプライバシバジェットを使用せずに行い。学習初期にノイズが集中するようにした。こうすることで、同じプライバシバジェットでもより精度の良いモデルをも構築できた。
- 技術や手法のキモはどこ?
- どうやって有効だと検証した?
- 自分の提案した4つの手法を比べて
- 議論はある?
- 現実的なプライバシパラメータが見つかっていない
- パラメータ(ε、δ、ρ)
- エンドユーザへの説明ができない
- 提案1はεとδの関係に関して説明能力がある
- データ依存性
- プライバシリスクや攻撃に対する回復性
- DPニューラルネットはDPの範疇でパラメータを保護する
- 攻撃手法
- Model inversion attacks(モデル逆推論攻撃)
- モデルのパラメータから学習データにアクセスを試みる
- Membership inference attacks(メンバシップ推論攻撃)
- Membership(会員数)?つまりは、予測の結果からどの程度対象の属性を持つ人物がいるかを推論する攻撃(攻撃なのか?機械学習器の通常営業な気がするんだが)
- Model inversion attacks(モデル逆推論攻撃)
- これらの攻撃がDPによって保護できるか公式の見解はない。また、DeepNNのDPで具体的に何が守れてるのかよくわからない。
- 216はDPによるプライバシ推論への上限を保証していることを示した
- DPは推論を防ぐものではない。これはDPや一般のプライバシ保護において大きな問題だ
- 現実的なプライバシパラメータが見つかっていない
- 関連研究
- 攻撃
- 防御
- 結論
2016.
-
M. Bun and T. Steinke. Concentrated Differential Privacy: Simplifications, Extensions, and Lower Bounds. CoRR, 5 ↩
-
C. Dwork and G. N. Rothblum. Concentrated Differential Privacy. CoRR, 3 2016. ↩
-
B. Hitaj, G. Ateniese, and F. Perez-Cruz. Deep models under the gan: Information leakage from collaborative deep learning. In Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security, CCS ’17, pages 603–618, New York, NY, USA, 2017. ↩
-
D. Kifer and A. Machanavajjhala. No free lunch in data privacy. In Proceedings of the 2011 ACM SIGMOD International Conference on Management of Data, SIGMOD ’11, pages 193–204, New York, NY, USA, 2011. ↩
-
H. B. McMahan, D. Ramage, K. Talwar, and L. Zhang. Learning differentially private language models without losing accuracy. CoRR, abs/1710.06963, 2017. ↩
-
A. Ghosh and R. Kleinberg. Inferential privacy guarantees for differentially private mechanisms. CoRR, abs/1603.01508, 2016. ↩
-
M. Fredrikson, S. Jha, and T. Ristenpart. Model Inversion Attacks That Exploit Confidence Information and Basic Countermeasures. In Proc. of ACM CCS, pages 1322–1333, New York, NY, USA, 2015. ↩
-
M. Fredrikson, E. Lantz, S. Jha, S. Lin, D. Page, and T. Ristenpart. Privacy in pharmacogenetics: An end-to-end case study of personalized warfarin dosing. In USENIX Security Symposium, pages 17–32, San Diego, CA, 2014. ↩
-
Shokri, M. Stronati, and V. Shmatikov. Membership Inference Attacks against Machine Learning Models. In IEEE Symposium on Security and Privacy (S&P), 2017. ↩
-
F. Tram`er, F. Zhang, A. Juels, M. K. Reiter, and T. Ristenpart. Stealing Machine Learning Models via Prediction APIs. In USENIX Security Symposium, pages 601–618, Austin, TX, 2016. ↩
-
K. Chaudhuri and C. Monteleoni. Privacy-preserving logistic regression. In Proc of NIPS, pages 289–296, USA, 2008. ↩
-
J. Zhang, Z. Zhang, X. Xiao, Y. Yang, and M. Winslett. Functional mechanism: Regression analysis under differential privacy. Proc. VLDB Endow., 5(11):1364–1375, July 2012. ↩
-
B. I. P. Rubinstein, P. L. Bartlett, L. Huang, and N. Taft. Learning in a large function space: Privacy-preserving mechanisms for svm learning. CoRR, abs/0911.5708, 2009. ↩
-
M. Abadi, A. Chu, I. Goodfellow, H. B. McMahan, I. Mironov, K. Talwar, and L. Zhang. Deep Learning with Differential Privacy. In Proc. of ACM CCS, pages 308–318, New York, NY, USA, 2016. ↩