差分隐私——高斯机制(The Gaussian Mechanism)

最新推荐文章于 2025-03-23 13:48:39 发布
最新推荐文章于 2025-03-23 13:48:39 发布
阅读量1.1w 收藏 57
点赞数 11
文章标签: 概率论 机器学习 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_43424329/article/details/121650574
版权
本文解析了Dwork女士著作中关于高斯机制的(ε, δ)-差分隐私定义,探讨了隐私损失函数的计算与(ε, δ)-DP的证明过程,并解释了σ=cΔf/ε的形式及c的上限。涉及关键概念如查询函数、邻域数据集和高斯噪声的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近实验室的师弟汇报高斯机制,自己也经常遇到,所以学习一下。本文来自Dwork女士的《The Algorithmic Foundations of Differential Privacy》的附录A,其中有一些细节没有看懂,期盼有明白的同学能够给予解答,同时也希望能指出本文存在的错误。

高斯机制

( ϵ , δ ) − D P (\epsilon, \delta)-DP (ϵ,δ)DP

定义一(隐私损失 privacy loss)对于两个相邻的数据集 D , D ′ D,D' D,D(即 ∣ ∣ D − D ′ ∣ ∣ 1 = 1 ||D-D'||_1=1 DD1=1),输出 o o o 和随机函数 M M M ,该随机函数造成的隐私损失 c M ( o , D , D ′ ) c_M(o,D,D') cM(o,D,D)定义为 c M ( o , D , D ′ ) : = l n P r [ M ( D ) = o ] P r [ M ( D ′ ) = o ] c_M(o,D,D'):=ln\frac{Pr[M(D)=o]}{Pr[M(D')=o]} cM(o,D,D):=lnPr[M(D)=o]Pr[M(D)=o]
定理一随机函数 M M M ( ϵ , δ ) (\epsilon, \delta) (ϵ,δ)-DP 的充分条件是其隐私损失 c M ( o , D , D ′ ) c_M(o,D,D') cM(o,D,D)满足 P r [ c M ( o , D , D ′ ) > ϵ ] ≤ δ Pr[c_M(o,D,D')>\epsilon]\leq\delta Pr[cM(o,D,D)>ϵ]δ

证明:定义 B = { o : c M ( o , D , D ′ ) > ϵ } B=\{o:c_M(o,D,D')>\epsilon\} B={o:cM(o,D,D)>ϵ}
P r [ M ( D ) ∈ S ] = P r [ M ( D ) ∈ S ∩ B ] + P r [ M ( D ) ∈ ( S − B ) ] ≤ P r [ M ( D ) ∈ B ] + P r [ M ( D ) ∈ ( S − B ) ] ≤ P r [ M ( D ) ∈ B ] + e ϵ P r [ M ( D ′ ) ∈ ( S − B ) ] ≤ P r [ M ( D ) ∈ B ] + e ϵ P r [ M ( D ′ ) ∈ S ] \begin{aligned} Pr[M(D) \in S]&=Pr[M(D)\in S\cap B] + Pr[M(D)\in (S-B)] \\ &\leq Pr[M(D)\in B]+Pr[M(D)\in(S-B)] \\ &\leq Pr[M(D)\in B]+e^\epsilon Pr[M(D')\in(S-B)]\\ &\leq Pr[M(D)\in B]+e^\epsilon Pr[M(D')\in S] \\ \end{aligned} Pr[M(D)S]=Pr[M(D)SB]+Pr[M(D)(SB)]Pr[M(D)B]+Pr[M(D)(SB)]Pr[M(D)B]+eϵPr[M(D)(SB)]Pr[M(D)B]+eϵPr[M(D)S]
如果 P r [ c M ( o , D , D ′ ) > ϵ ] < δ Pr[c_M(o,D,D')>\epsilon]<\delta Pr[cM(o,D,D)>ϵ]<δ ,
则Pr[M(D) ∈ \in S] ≤ \leq Pr[M(D) ∈ \in B] + e ϵ ^\epsilon ϵPr[M(D’) ∈ \in S].
即算法M满足 ( ϵ , δ ) − D P (\epsilon,\delta)-DP (ϵ,δ)DP.
说明: ( ϵ , δ ) − D P (\epsilon, \delta)-DP (ϵ,δ)DP的充分条件是隐私损失被限制在 ϵ \epsilon ϵ之内,同时也允许很小的概率 δ \delta δ打破这个限制。
在这里插入图片描述其中 △ 2 f = m a x a d j a c e n t D , D ′ ∣ ∣ f ( D ) − f ( D ′ ) ∣ ∣ 2 \triangle_2f=max_{{adjacent}_{D,D'}}||f(D)-f(D')||_2 2f=maxadjacentD,Df(D)f(D)2,f为查询函数。
P r [ M ( D ) = o ] P r [ M ( D ′ ) = o ] = P r [ f ( D ) + N = o ] P r [ f ( D ′ ) + N = o ] = P r [ N = o − f ( D ) ] P r [ N = o − f ( D ′ ) ] = e − [ o − f ( D ) ] 2 2 σ 2 e − [ o − f ( D ′ ) ] 2 2 σ 2 = e − [ o − f ( D ) ] 2 2 σ 2 e − [ o − f ( D ) + Δ f ] 2 2 σ 2 = e − x 2 2 σ 2 e − ( x + Δ f ) 2 2 σ 2 \begin{aligned} \frac{Pr[M(D)=o]}{Pr[M(D')=o]}&=\frac{Pr[f(D)+N=o]}{Pr[f(D')+N=o]}\\&=\frac{Pr[N=o-f(D)]}{Pr[N=o-f(D')]}\\&=\frac{e^{-{\frac{[o-f(D)]^2}{2\sigma^2}}}}{e^{-{\frac{[o-f(D')]^2}{2\sigma^2}}}}\\&=\frac{e^{-{\frac{[o-f(D)]^2}{2\sigma^2}}}}{e^{-\frac{[o-f(D)+\Delta f]^2}{2\sigma^2}}}\\&=\frac{e^{-{\frac{x^2}{2\sigma^2}}}}{e^{-\frac{(x+\Delta f)^2}{2\sigma^2}}} \end{aligned} Pr[M(D)=o]Pr[M(D)=o]=Pr[f(D)+N=o]Pr[f(D)+N=o]=Pr[N=of(D)]Pr[N=of(D)]=e2σ2[of(D)]2e2σ2[of(D)]2=e2σ2[of(D)+Δf]2e2σ2[of(D)]2=e2σ2(x+Δf)2e2σ2x2
由于概率恒正
∣ l n e − x 2 2 σ 2 e − ( x + Δ f ) 2 2 σ 2 ∣ = ∣ l n e − 1 2 σ 2 [ x 2 − ( x + Δ f ) 2 ] ∣ = ∣ − 1 2 σ 2 [ x 2 − ( x 2 + 2 x Δ f + Δ f 2 ) ] ∣ = ∣ 1 2 σ 2 ( 2 x Δ f + ( Δ f ) 2 ) ∣ < ϵ \begin{aligned} |ln\frac{e^{-{\frac{x^2}{2\sigma^2}}}}{e^{-\frac{(x+\Delta f)^2}{2\sigma^2}}}|&=|lne^{\frac{-1}{2\sigma^2}[x^2-(x+\Delta f)^2]}|\\&=|-\frac{1}{2\sigma^2}[x^2-(x^2+2x\Delta f +\Delta f^2)]|\\&=|\frac{1}{2\sigma^2}(2x\Delta f+(\Delta f)^2)|\\&<\epsilon \end{aligned} lne2σ2(x+Δf)2e2σ2x2=lne2σ21[x2(x+Δf)2]=2σ21[x2(x2+2xΔf+Δf2)]=2σ21(2xΔf+(Δf)2)<ϵ
在这里插入图片描述
说明:书上少写了一个t
P r [ x > t ] = ∫ t ∞ 1 2 π σ e − x 2 2 σ 2 d x ≤ − σ 2 π ∫ t ∞ 1 t e − x 2 2 σ 2 d − x 2 2 σ 2 ≤ σ 2 π t e − t 2 2 σ 2 \begin{aligned} Pr[x>t]&=\int_{t}^{\infty}\frac{1}{\sqrt{2\pi}\sigma}e^{-\frac{x^2}{2\sigma^2}}dx\\&\le-\frac{\sigma}{\sqrt{2\pi}}\int_{t}^{\infty}\frac{1}{t}e^{-\frac{x^2}{2\sigma^2}}d-\frac{x^2}{2\sigma^2}\\&\le\frac{\sigma}{\sqrt{2\pi}t}e^{-\frac{t^2}{2\sigma^2}} \end{aligned} Pr[x>t]=t2π σ1e2σ2x2dx2π σtt1e2σ2x2d2σ2x22π tσe2σ2t2
在这里插入图片描述
在这里插入图片描述
1 2 σ 2 ( σ 2 ϵ Δ f − Δ f 2 ) 2 = 1 2 σ 2 [ Δ f ( c 2 ϵ − 1 2 ) ] 2 = [ Δ f ( c 2 ϵ − 1 2 ) ] 2 [ ϵ 2 c 2 ( Δ f ) 2 ] 1 2 = 1 2 ( c 2 ϵ − 1 2 ) 2 ϵ 2 c 2 = 1 2 ( c 2 − ϵ + ϵ 2 / 4 c 2 ) \begin{aligned} \frac{1}{2\sigma^2}(\frac{\sigma^2\epsilon}{\Delta f}-\frac{\Delta f}{2})^2&=\frac{1}{2\sigma^2}[\Delta f(\frac{c^2}{\epsilon}-\frac{1}{2})]^2\\&=[\Delta f(\frac{c^2}{\epsilon}-\frac{1}{2})]^2[\frac{\epsilon ^2}{c^2(\Delta f)^2}]\frac{1}{2}\\&=\frac{1}{2}(\frac{c^2}{\epsilon}-\frac{1}{2})^2\frac{\epsilon^2}{c^2}\\&=\frac{1}{2}(c^2-\epsilon+\epsilon^2/4c^2) \end{aligned} 2σ21(Δfσ2ϵ2Δf)2=2σ21[Δf(ϵc221)]2=[Δf(ϵc221)]2[c2(Δf)2ϵ2]21=21(ϵc221)2c2ϵ2=21(c2ϵ+ϵ2/4c2)
先讨论第一项 l n ( ( σ 2 ϵ / Δ f − Δ f / 2 ) / σ ) ln((\sigma^2\epsilon/\Delta f-\Delta f/2)/\sigma) ln((σ2ϵ/ΔfΔf/2)/σ),得出c的一个不太紧的界,由第二项 ( σ 2 ϵ / Δ f − Δ f / 2 ) 2 / 2 σ 2 (\sigma^2\epsilon/\Delta f-\Delta f/2)^2/2\sigma^2 (σ2ϵ/ΔfΔf/2)2/2σ2得出一个关于c更紧的界(tighter)。不清楚 c ≥ 1 c\ge1 c1这一条件怎么来的,由对数函数的性质可推出 c ≥ 3 / 2 c\ge3/2 c3/2.
在这里插入图片描述
这里能去掉第一项的原因是当 c = 3 / 2 c=3/2 c=3/2时,第一项为0;当 c > 3 / 2 c>3/2 c>3/2时,第一项大于0.故只留第二项这个不等式也是成立的.
在这里插入图片描述
证明结束.

总结

1、为什么 σ = c Δ f / ϵ \sigma=c\Delta f/\epsilon σ=cΔf/ϵ要写成这种形式;
2、不清楚 c ≥ 1 c\ge1 c1怎么来的;
3、再看看高斯在DP- SGD中的应用.

references:

The Algorithmic Foundations of Differential Privacy
Composition Theorem

夏季八起
关注
差分隐私与联邦学习安全原理与代码实战案例讲解
AI天才研究院
06-24 1771
在大数据和人工智能的时代,数据隐私和安全性成为了至关重要的问题。传统的数据处理方法往往需要集中化的数据存储和处理,这带来了数据泄露和隐私侵犯的风险。为了应对这些挑战,差分隐私和联邦学习作为两种新兴的技术,提供了有效的解决方案。差分隐私是一种保护数据隐私的技术,通过在数据分析过程中引入噪声,确保个体数据的隐私不被泄露。联邦学习则是一种分布式机器学习方法,允许多个参与方在不共享原始数据的情况下,共同训练模型。这两种技术的结合,可以在保护数据隐私的同时,实现高效的数据分析和模型训练。差分隐私(Differenti
隐私保护联邦学习之差分隐私原理
whdeast的博客
11-28 5580
联邦学习中的隐私保护方法之差分隐私,包含差分隐私的原理以及深度学习与联邦学习中的差分隐私技术
拉普拉斯定理_差分隐私(三)- 指数,高斯,拉普拉斯机制
weixin_39732866的博客
12-11 2912
差分隐私中的三种机制在应用差分隐私进行隐私保护中,需要处理的数据主要分为两大类,一类是数值型的数据,比如说数据集中已婚人士的数量;另外一类是非数值型的数据,比如喜欢人数最多的颜色。这两者,主体分别是数量(连续数据)和颜色(离散数据) 对于数值型的数据,一般采用Laplace或者高斯机制,对得到数值结果加入随机噪声即可实现差分隐私;而对于非数值型的数据,一般采用指数机制并引入一个打分函数,对每一种可...
差分隐私早期学习笔记__含差分隐私notes与高斯机制(The Gaussian Mechanism)详细文档.rar
02-02
差分隐私早期学习笔记。 含"差分隐私_notes"的汇报文档,以及包含高斯机制(The Gaussian Mechanism)详细证明的文档
【中文翻译】第2章-The Algorithmic Foundations of Differential Privacy
最新发布
Python领域优质萌新学习笔记
03-23 918
在数据分析的背景下可以这样定义隐私,即:要求分析人员在分析完成后对数据集中的任何个人的了解不超过分析开始前的了解。这一目标的形式化也是很自然的,要求对手对个人的前后认知(即访问数据库之前和之后的认知)不应该“差别过多”,或者对数据库的访问不应该“过多”地改变对手对任何个人的认知。如果数据库能提供任何信息,那么这种隐私的概念是不可能实现的。例如,假设对手的先前的错误认知是每个人都有2个左脚。对统计数据库的访问告诉我们,几乎每个人都有一只左脚和一只右脚。攻击者现在每个人是否有两个左脚持完全不同的看法。
高斯差分隐私
daxuan1881的博客
07-11 1603
这篇文章的背景是说在深度学习下的隐私保护中,差分隐私在组合和采样等方面存在隐私退化问题,从而对训练神经网络进行隐私分析变得十分复杂。所以文章提出一种新的定义叫做f-DP,用于对训练神经网络进行细化的隐私分析。并且利用f-DP的组合和采样属性推导出SGD和Adam优化算法的隐私保证的表达式。在DP中,我们用概率分布来确定样本是否在两个数据集中,如果背景知识强大的攻击者不能够区分样本来自哪个数据集,那么证明这个随机算法是好的。那么从统计学假设检验的角度来看的话,我们可以把问题等价成,原假设H0和备择假设H1。将
差分隐私(二)指数,高斯,拉普拉斯机制
weixin_45758115的博客
05-24 5173
差分隐私的三种机制
差分隐私(Differential Privacy)
热门推荐
Michale_L的博客
04-25 1万+
差分隐私,拉普拉斯机制高斯机制的证明
潜在因子模型(Latent Factor Model)差分隐私+高斯噪声和证明
Python领域优质萌新学习笔记
03-22 1314
为了简化推导,我们假设每个用户只对少量物品进行评分,且每个物品也只被少数用户评分,这样数据矩阵是非常稀疏的。为了满足差分隐私,我们需要保证相邻的数据集只有微小的变化会导致输出的概率分布变化也很小。是差分隐私的隐私参数。表示两个数据集的对称差分,即只包含在其中一个数据集中的元素。,它们生成的噪声是独立的,因此它们对应的乘积矩阵元素也是独立的。由于加入的噪声是独立同分布的,因此对于每个查询。由于加入的噪声是独立同分布的,因此对于任意的两个查询。,然后将它们替换成原来的矩阵,在加噪声的乘积矩阵。
差分隐私高斯机制的详细学习指南
资源摘要信息:"差分隐私早期学习笔记__含差分隐私notes与高斯机制(The Gaussian Mechanism)详细文档.rar" 知识点详细说明: 1. 差分隐私概念 差分隐私(Differential Privacy)是一种旨在提供隐私保护的数据发布...
差分隐私之随机响应,拉普拉斯机制高斯机制,指数机制
大步流星的博客
11-28 1744
差分隐私(Differential Privacy)是指一种严格的隐私定义,确保一个算法的输出不受单个数据点的显著影响。换句话说,无论一个个体的数据是否包含在数据集中,算法的输出结果应保持几乎相同。这个定义通常通过一个隐私参数ε(epsilon)来量化,该参数衡量算法在隐私和数据准确性之间的平衡。对于所有的集合S⊆RangeMS⊆RangeM且对于所有xy∈N∣x∣xy∈N∣x∣,如果∥x−y∥1≤1∥x−y∥1​≤1。
条件滤波噪声下基于期望数据效用的自适应高斯机制
03-09
差异隐私已广泛应用于统计分析,其主要目的是确保噪声数据的实用性与个人敏感信息的隐私保护之间的权衡。 但是,由于增加的噪声是随机的,因此个人无法在不同的隐私机制下实现预期的数据实用性。 为此,我们提出了一种在条件滤波噪声下基于期望数据效用的自适应高斯机制。 首先,对高斯机制噪声进行了条件滤波。 其次,我们根据相对误差的绝对值定义了期望数据效用。 最后,我们通过将预期数据效用与条件滤波噪声相结合,提出了一种自适应高斯机制。 通过比较分析,自适应高斯机制可满足差异性隐私并获得预期的数据实用性,以提供任何隐私预算。 此外,我们的方案很容易扩展到工程实施。
高斯机制-暂时还没完全搞懂
Tiko的博客
05-09 4242
文章目录差分隐私分类区别加噪方式分类高斯机制Gaussian机制差分隐私分类 中心化差分隐私(ϵ−DP\epsilon-DPϵ−DP) 本地化差分隐私(ϵ−LDP\epsilon-LDPϵ−LDP) 区别 中心化差分隐私的随机函数运行在服务器上,而本地化差分隐私运行在本地。 服务器上具有全局敏感度,而本地查询中任意用户之间并不知晓其他人的数据记录。 机制选择 中心化差分隐私一般选择Laplace和指数噪声等方法 本地化差分隐私主要采用随机响应技术 加噪方式分类 扰动 对输入数据扰动:
【我们为什么用高斯机制?】差分隐私代码实现系列(七)
谈论现实
12-06 8124
差分隐私代码实现系列(六)写在前面的话回顾松弛差分隐私(Approximate Differential Privacy)高斯机制The Gaussian Mechanism)矢量值函数及其灵敏度(Vector-Valued Functions and their Sensitivities)L1 和 L2 规范(L1 and L2 Norms)L1 和 L2 灵敏度(L1 and L2 Sensitivities)在 L1 和 L2 之间进行选择(Choosing Between L1 and L2)灾
隐私保护新突破:高斯差分隐私框架与深度学习结合
喜欢打酱油的老鸟
05-02 2585
2020-04-30 13:12:09 机器之心发布 机器之心编辑部 人工智能中的隐私问题已经公认为一个重要并且严肃的问题。近日,宾夕法尼亚大学的研究组开发了一个新的数据隐私分析框架,可以在多个类型的机器学习问题中有效保护个人隐私。这个框架现已成功和深度学习结合,并在多个需要保障隐私的深度学习任务中达到最高准确率。 什么是差分隐私 在这个大数据时代,如何妥善获取和使用与真人相关的数据...
差分隐私--概念
maff的专栏
06-23 2372
【多方安全计算】差分隐私(Differential Privacy)解读
Danger的博客
04-05 3380
【多方安全计算】差分隐私(Differential Privacy)解读
differential privacy 学习笔记(二)
qq_41079489的博客
12-11 502
拉普拉斯实现机制 拉普拉斯分布 如果一个随机变量的概率密度函数满足 那么称这个随机变量满足拉普拉斯分布,其中b是尺度参数,u是位置参数,其分布图如下: 均值为u,方差为2b^2 敏感度 对于一个查询函数q(),敏感度函数S(q)定义为:函数在邻近数据集D和D’上查询结果差值的最大值即为敏感度S(q)。 例如对于求和查询函数,敏感度S(q)=1 拉普拉斯机制的实现 如果对于一个查询函数q的敏感度为...
差分隐私迁移学习
03-22
### 差分隐私与迁移学习的结合 差分隐私是一种保护个人数据隐私的技术,通过向计算结果中加入噪声来防止敏感信息泄露。而迁移学习则旨在利用源域的知识提升目标域的学习效果。两者的结合可以实现在保护隐私的同时完成有效的模型迁移。 一种常见的实现方式是在迁移过程中引入差分隐私机制。例如,在基于特征表示的迁移学习方法中,可以通过在提取到的特征上添加拉普拉斯噪声或高斯噪声来满足差分隐私的要求[^1]。这种方法能够有效减少因共享中间层特征而导致的信息泄漏风险。 另一种方法涉及模型参数级别的隐私保护。具体而言,可以在梯度更新阶段采用差分隐私技术。例如,《Differentially Private Hypothesis Transfer Learning》一文中提出了如何在假设转移学习的过程中融入差分隐私的概念[^2]。该研究展示了如何通过对梯度施加约束并注入随机扰动来保障隐私安全,同时维持较高的模型性能。 以下是伪代码示例展示如何在迁移学习框架下实施差分隐私: ```python import torch from opacus import PrivacyEngine def apply_differential_privacy(model, data_loader, max_grad_norm=1.0, noise_multiplier=0.5): privacy_engine = PrivacyEngine() # Wrap the model with Opacus' differential privacy engine model, optimizer, data_loader = privacy_engine.make_private( module=model, optimizer=torch.optim.SGD(model.parameters(), lr=0.01), data_loader=data_loader, noise_multiplier=noise_multiplier, max_grad_norm=max_grad_norm, ) return model, optimizer, data_loader class FeatureExtractor(torch.nn.Module): def __init__(self): super(FeatureExtractor, self).__init__() self.layers = torch.nn.Sequential( torch.nn.Conv2d(3, 64, kernel_size=3, stride=1, padding=1), torch.nn.ReLU(), torch.nn.MaxPool2d(kernel_size=2) ) def forward(self, x): features = self.layers(x) noisy_features = add_noise(features) # Add Laplace or Gaussian noise here to ensure DP. return noisy_features def transfer_learning_with_dp(source_model, target_data_loader): feature_extractor = source_model.feature_extractor private_feature_extractor, _, _ = apply_differential_privacy(feature_extractor, target_data_loader) classifier = torch.nn.Linear(private_feature_extractor.output_dim, num_classes) combined_model = torch.nn.Sequential(private_feature_extractor, classifier) return combined_model ``` 上述代码片段演示了如何将差分隐私应用于迁移学习中的特征提取器部分。它使用 `Opacus` 库简化了 PyTorch 模型上的差分隐私配置过程。 ####
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值