保持饥饿,保持傻x 😄
Balle B, Wang Y X. Improving the gaussian mechanism for differential privacy: Analytical calibration and optimal denoising[J]. arXiv preprint arXiv:1805.06530, 2018.
提出了两种方法让bound更紧:
The first improvement is an algorithmic noise calibration strategy that uses numerical evaluations of the Gaussian cumulative density function (CDF) to obtain the optimal variance to achieve DP using Gaussian perturbation.
第一种是通过高斯的CDF来直接调整方差,以得到更优的高斯机制。
Lee J, Kifer D. Concentrated differentially private gradient descent with adaptive per-iteration privacy budget[C]//Proceedings of the 24th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. ACM, 2018: 1656-1665.
这篇文章思路很巧妙,当时我也觉得在梯度上加入随机噪声,梯度方向一定会变来变去,加上之前做GBDT的那个实验,也有很不靠谱的时候,怎么就没有再往下想一下通过某些方法来保证梯度一定可以有效下降呢。。
传统的DP-SGD类算法有两个缺点:一是需要预先给出迭代次数T,如果T太小,可能算法还没有收敛到最优,如果T太大,那么每次迭代需要的$\epsilon_t$就会小,每次计算梯度引入到噪声量就会大,可能结果也不好;第二个是通常在优化的最开始,梯度是比较大的,这时少量噪声对梯度的影响就比较小,但随着迭代的进行梯度减小时,如果还是采用同样的噪声量,则对梯度的影响就会变大,可能影响收敛。
DP-SGD主要是利用了差分隐私对梯度下降过程进行扰动,以达到学习出一个满足差分隐私的模型:Song S, Chaudhuri K, Sarwate A D. Stochastic gradient descent with differentially private updates[C]//2013 IEEE Global Conference on Signal and Information Processing. IEEE, 2013: 245-248.
先引用一下知乎大佬[2]的线性分类模型泄漏什么隐私?
首先简单说说线性分类模型的隐私泄露问题。最为直观地,在一维情况下,线性分类器会返回样本的中位数,而中位数通常是一个具体样本的取值,那么这个样本的即被暴露给了获得模型的使用者,我们认为这侵犯到了他的隐私。在高维情况下依然存在相似的情况。具体见发表于SODA13的The Power of Linear Reconstruction Attacks一文。
我们期望得到一类在差分隐私框架下的机器学习模型A,使得原先的机器学习模型具有隐私保护能力。具体而言,即一类经验误差最小化模型,再具体而言…一类线性核的经验误差最小化模型(Logistic Regression/SVM/Least squares…)
https://www.youtube.com/watch?v=o6HBIGzQfJs
youtube看到的视频,底下有个评论说讲的清楚,记一些有用的结论留存。
Mishra N, Thakurta A. (Nearly) optimal differentially private stochastic multi-arm bandits[C]//Proceedings of the Thirty-First Conference on Uncertainty in Artificial Intelligence. AUAI Press, 2015: 592-601.
UAI 2015的文章,主要是针对UCB算法和TS算法进行了隐私保护,声称达到了接近于non-private版本算法的效果(较低的regret)。
在motivation中提到了practical的一点,是说在广告点击中,可以获得点击广告的反馈,而未点击的候选广告则没有任何反馈,而bandit learning的方式正适用于这一点,且有良好的理论保证。(这就很practical了?)