5、差分隐私机制对比与本地差分隐私攻击防范

差分隐私机制对比与本地差分隐私攻击防范

1. 差分隐私机制对比

在差分隐私领域，本地差分隐私（LDP）和中央差分隐私（CDP）是两种重要的机制。我们通过白盒成员推理（MI）攻击对这两种机制进行了比较，旨在为数据科学家在选择差分隐私机制和隐私参数 ϵ 时提供参考。

1.1 隐私参数 ϵ 的局限性

在比较 LDP 和 CDP 时，我们发现仅依靠隐私参数 ϵ 来评估和选择差分隐私机制是不合适的。理论上，LDP 中 ϵ 所反映的推理风险上限比 CDP 高出数百甚至数千倍，但在实际的白盒 MI 攻击中，在相似的模型精度下，LDP 的隐私保护能力并没有明显减弱。

例如，在德克萨斯医院住院数据集中，LDP 在整体 ϵ = 6382 时就能减轻白盒 MI 攻击，而 CDP 的 ϵ 值在 C = 100 时为 0.9，在 C = 300 时为 0.3。在购物车购买数据集和标记人脸数据集（LFW）中也有类似的情况。这表明，仅基于 ϵ 来评估隐私是不够的，数据科学家除了考虑 ϵ 之外，还应该通过实证攻击（如白盒 MI）来量化隐私。

1.2 LDP 和 CDP 的隐私 - 精度曲线

我们的研究表明，在 MI 攻击下，CDP 和 LDP 的广泛隐私范围可以通过我们的方法进行比较。对于大多数数据集，使用 LDP 或 CDP 训练的泛化良好的模型（即采用早停策略防止过度过拟合）可以获得相似的隐私 - 精度组合。

我们还进行了黑盒 MI 实验（即仅使用模型输出），发现白盒 MI 所做的额外假设（如访问内部梯度和损失信息）仅使平均精度（AP）提高了 3 - 5%。隐私 - 精度散点图显示，对于购物车购买数据集、LFW 数据集和