Różniczkowo prywatne uczenie federacyjne: perspektywa na poziomie klienta

Robin Geyer, Tassilo Klein i Moin Nabi (ML Research Berlin)

Zasadniczo standardowe metody uczenia maszynowego powodują potrzebę przechowywania danych szkoleniowych w jednym centralnym miejscu. Jednak w związku z niedawnym wzrostem ochrony prywatności w uczeniu maszynowym nowa dziedzina badań, zwana uczeniem federacyjnym, wzbudziła globalne zainteresowanie. W tym poście na blogu przedstawiamy nasze pierwsze wyniki dotyczące uczenia maszynowego opartego na zachowaniu prywatności, będące kontynuacją poprzedniego postu na blogu, przedstawiającego trzy różne podejścia do rozwiązania problemów związanych z prywatnością w tym obszarze.

Zanim jednak zagłębimy się w nasze proponowane podejście, przejrzyjmy ponownie główne punkty tej koncepcji. Ideą federacyjnego uczenia się jest szkolenie modeli uczenia maszynowego bez jawnego udostępniania danych lub ukrywania uczestnictwa w szkoleniu. Ten scenariusz jest odpowiedni dla całej branży, a także na poziomie osobistym i staje się szczególnie ważny w scenariuszach, w których złośliwi klienci mogą chcieć wywnioskować udział innego klienta.

Jako prosty przykład rozważmy współpracę wielu szpitali i zakładów ubezpieczeń szkolących uniwersalny model z danymi poszczególnych pacjentów i klientów, aby uzyskać lepszy przegląd aktualnych chorób, diagnoz i kosztów leczenia. Wyobraź sobie teraz, że jedno z ubezpieczycieli uczestniczących chciałoby dołączyć do tej współpracy, mając nadzieję na uzyskanie szczegółowych informacji na temat pacjentów należących do zbioru danych szpitala wnoszącego wkład. Gdyby szpital ujawnił poufne dane podczas ogólnego szkolenia w zakresie uczenia maszynowego, prywatność jego pacjentów zostałaby naruszona, a ubezpieczenie mogłoby wykorzystać te podstawy do obciążenia niektórych pacjentów wyższą ceną.

Inna możliwa sytuacja pojawia się, gdy klienci próbują zrezygnować z usługi, do której wnieśli wkład w zakresie szkolenia modeli, nie pozostawiając zbyt konkretnego odcisku palca danych w modelu. Wracając do przykładu szpitali i ubezpieczeń, jeśli jedno ubezpieczenie chciałoby przestać przyczyniać się do szkolenia modelu, jego wycofanie ujawniłoby pewne poufne informacje o kliencie, które mogłyby zostać wykorzystane na korzyść innych konkurencyjnych ubezpieczeń w modelu.

Krótko mówiąc, aby zabezpieczyć prywatność w kontekście uczenia maszynowego, musimy zapobiegać możliwości śledzenia poszczególnych klientów uczestniczących w tworzeniu modelu. Staje się to szczególnie istotne, gdy liczba instancji szkoleniowych dla modelu nie jest nadmiernie duża. Nasze ustalenia są zatem szczególnie ważne dla instytucji takich jak szpitale lub ubezpieczenia, które chcą skorzystać z ogólnych modeli prognozowania, ale doświadczają dużych fluktuacji klientów, a jednocześnie muszą przestrzegać surowych wymogów dotyczących prywatności.

Uczenie się federacyjne - niektóre szczegóły

Rozważamy federacyjne ustawienie uczenia się, w którym zaufany kustosz zbiera parametry zoptymalizowane w sposób zdecentralizowany przez wielu klientów, których dane są zazwyczaj nieobjęte, niezrównoważone i masowo dystrybuowane. Powstały model jest następnie dystrybuowany z powrotem do wszystkich klientów, ostatecznie konwergując do wspólnego reprezentatywnego modelu bez konieczności jawnego udostępniania danych przez klientów.

Dla każdej nowej rundy komunikacji i alokacji nowego modelu centralnego informacje o wyciekach danych klientów. W rezultacie wycieki informacji, a tym samym utrata prywatności, kumulują się w trakcie szkolenia. Chociaż prawdopodobieństwo to może być nieskończenie małe, model uczenia maszynowego jest zwykle szkolony w ciągu kilku rund, co oznacza, że ​​taki wyciek prywatności może znacznie się sumować.

W tym ustawieniu komunikacja między kuratorem a klientami może być ograniczona i / lub podatna na przechwytywanie, dlatego uczenie się przez stowarzyszenie ma na celu określenie modelu z minimalnym narzutem informacji między klientami a kuratorem. Jednak pomimo osiągnięcia tego zminimalizowanego obciążenia, protokół jest nadal podatny na ataki różnicowe, które mogą pochodzić od dowolnej strony uczestniczącej w procesie federacyjnego uczenia się. W takim ataku wkład klienta podczas szkolenia, a także informacje o jego zestawie danych, mogą zostać ujawnione poprzez analizę parametrów rozproszonych.

Biorąc pod uwagę ten problem, proponujemy algorytm różnicowej prywatności po stronie klienta, aby zachować federacyjne uczenie się. Celem jest ukrycie wkładu klientów podczas szkolenia, równoważenie kompromisu między utratą prywatności a wydajnością modelu. Wyniki naszego pierwszego studium wykonalności sugerują, że przy rosnącej liczbie uczestniczących klientów nasza proponowana procedura może dodatkowo zoptymalizować różnicową prywatność na poziomie klienta.

Nasze podejście

Co sprawia, że ​​algorytmy uczenia maszynowego są tak atrakcyjne, że czerpią one swój model predykcji, wywodząc wzorce z danych bez wyraźnego programowania. W rezultacie algorytmy te są w dużym stopniu zależne od informacji zakodowanych w danych, co stwarza potrzebę dołączenia ich do określonych właściwości w celu ochrony prywatności.

W tym miejscu ma znaczenie definicja zróżnicowanej prywatności. Można to postrzegać jako miarę wrażliwości w odniesieniu do zmian danych. W szczególności daje on gwarancję granic obecności efektu lub jego braku na poszczególnych danych wyjściowych algorytmu. Intuicyjnie podejście uczenia maszynowego, które jest inaczej prywatne, nie zmieni znacząco swojego zachowania predykcyjnego w przypadku usunięcia elementu z zestawu treningowego. Odnosząc się do poprzedniego przykładu, oznaczałoby to, że wszystkie składki ubezpieczeniowe i szpitale mogą nadal liczyć na wysoką wydajność i dokładność informacji modelu uniwersalnego, chociaż jeden ze szpitali unika dostarczania lub pobierania informacji o określonym pacjencie.

W proponowanym podejściu staramy się przenieść zróżnicowaną prywatność na nowy poziom, biorąc pod uwagę dane wykraczające poza pojedynczy element danych, a tym samym zwiększając wrażliwość. Naszym celem jest zapewnienie, że usunięcie klienta ze wszystkimi jego elementami danych nie wpłynie znacząco na wynik działania algorytmu. W naszym przykładzie oznacza to, że jeśli szpital z dużą liczbą pacjentów zdecyduje się przestać uczestniczyć w szkoleniu modelu centralnego, nie zaszkodzi to pracy innych uczestniczących instytucji.

Łączenie kropek - zróżnicowana prywatność z zachowaniem federacyjnego uczenia się

Aby chronić federacyjny protokół uczenia się przed możliwymi atakami różnicowymi, tak zwany księgowy ds. Prywatności śledzi poniesioną utratę prywatności i zatrzymuje szkolenie po osiągnięciu określonego progu.

W tym kontekście proponujemy zastosowanie mechanizmu randomizacji, który składa się z dwóch etapów: Na początku każdej rundy komunikacji wybiera się losowy podzbiór klientów. Tylko ci klienci otrzymują model centralny i udostępniają swoje aktualizacje. Następnie stosuje się mechanizm Gaussa do zniekształcania średniej aktualizacji przed przydzieleniem nowego modelu centralnego. Ma to na celu ukrycie wkładu pojedynczego klienta w agregacji, a tym samym w całej zdecentralizowanej procedurze uczenia się.

Ryc. 2 ilustruje rundę komunikacji z zastosowaniem proponowanego podejścia. W tym zoptymalizowanym ustawieniu federacyjnym uczenie się losowy klient przestaje brać udział podczas rundy komunikacji, podczas gdy inni klienci kontynuują aktualizację modelu. Wycofanie jednego z autorów nie prowadzi jednak do ujawnienia danych ani nie wpływa na wydajność modelu.

Układ eksperymentalny

Symulujemy zdecentralizowane ustawienie, aby przetestować proponowany algorytm. Nasz wybór trenowania modelu klasyfikatora obrazów pozwala na porównanie protokołu z najnowszymi technikami w scentralizowanym uczeniu się. Sfederowana konfiguracja non-iid zapewnia, że ​​każdy klient otrzymuje tylko ograniczoną liczbę próbek, przy czym próbki każdego klienta kojarzą się tylko z ułamkiem ogólnych klas. W takiej konfiguracji pojedynczy klient nigdy nie byłby w stanie wyszkolić modelu przechwytującego wszystkie klasy, biorąc pod uwagę same dane. Stawiamy dwa wymagania dla federacyjnego procesu uczenia się w różnym stopniu prywatnym:

  • Umożliwić klientom wspólną naukę modelu, który osiąga wysoką dokładność klasyfikacji
  • Podczas nauki ukryj, jakie dane przechowuje indywidualny klient, aby zachować prywatność

Nasze znaleziska

Ostatecznie nasza praca przedstawia dwa elementy. Po pierwsze, wykazujemy, że gdy zaangażowana jest wystarczająca liczba stron, nasz algorytm osiąga wysoką dokładność modelu porównywalną z tymi w scentralizowanym systemie uczenia się. Jednocześnie nasz proponowany model pozostaje w różny sposób prywatny na poziomie klienta. Chociaż inne badania pokazują podobne wyniki, nasza konfiguracja eksperymentalna różni się ze względu na wyraźną integrację środków ochrony prywatności na poziomie elementu. Po drugie, sugerujemy dynamiczne dostosowanie mechanizmu ochrony prywatności różnicowej podczas zdecentralizowanego procesu uczenia się w celu dalszego zwiększenia wydajności modelu. Chociaż poprawia to najnowsze wyniki, stosując zróżnicowaną prywatność w scentralizowanych ustawieniach, twierdzimy, że w federacyjnym ustawieniu uczenia gradienty wykazują różną wrażliwość na hałas i wielkość partii.

Zasadniczo nasze ustalenia dotyczą różnych branż. Pewnego dnia podejście oparte na badaniu może umożliwić firmom wspólną naukę modeli prognostycznych lub, jak w naszym przykładzie, pomóc wielu szpitalom w szkoleniu modeli diagnostycznych. Proponowany algorytm pozwoliłby tym różnym podmiotom korzystać z uniwersalnego modelu wyuczonego z danymi pochodzącymi od wielu współpracowników bez konieczności centralizacji danych lub podejmowania ryzyka ujawnienia prywatnych informacji.

Podczas warsztatów NIPS 2017 zaprezentowaliśmy nasze postępy w ochronie prywatności w zdecentralizowanym uczeniu się: Uczenie maszynowe w telefonie i innych urządzeniach konsumenckich. Poniżej możesz zobaczyć nasz plakat prezentowany na NIPS. Więcej informacji można znaleźć tutaj.

Więcej informacji na temat naszej pracy można znaleźć w oryginalnym badaniu: https://arxiv.org/abs/1712.07557