One-shot Empirical Privacy Estimation for Federated Learning

要約

差分プライベート (DP) アルゴリズムのプライバシー推定技術は、分析限界と比較したり、既知の分析限界が厳しくない設定でのプライバシー損失を経験的に測定したりするのに役立ちます。
しかし、既存のプライバシー監査技術は通常、敵対者について強い仮定を置き (中間モデルの反復やトレーニング データの分布に関する知識など)、特定のタスク、モデル アーキテクチャ、または DP アルゴリズムに合わせて調整されており、モデルを何度も再トレーニングする必要があります。
(通常は数千のオーダー)。
これらの欠点により、実際には、特にモデルのトレーニングに数日から数週間かかる可能性があるフェデレーション設定では、このような手法を大規模に展開することが困難になります。
この研究では、これらの課題に体系的に対処できる新しい「ワンショット」アプローチを紹介します。これにより、モデルのパラメーターを適合させるために使用される同じ 1 回のトレーニング実行中に、モデルのプライバシー損失を効率的に監査または推定することができ、何も必要としません。
モデル アーキテクチャ、タスク、または DP トレーニング アルゴリズムに関する先験的な知識。
私たちの方法がガウスメカニズムに基づいてプライバシー損失の正しい推定を提供することを示し、いくつかの敵対的脅威モデルの下で確立された FL ベンチマークデータセットでそのパフォーマンスを実証します。

要約(オリジナル)

Privacy estimation techniques for differentially private (DP) algorithms are useful for comparing against analytical bounds, or to empirically measure privacy loss in settings where known analytical bounds are not tight. However, existing privacy auditing techniques usually make strong assumptions on the adversary (e.g., knowledge of intermediate model iterates or the training data distribution), are tailored to specific tasks, model architectures, or DP algorithm, and/or require retraining the model many times (typically on the order of thousands). These shortcomings make deploying such techniques at scale difficult in practice, especially in federated settings where model training can take days or weeks. In this work, we present a novel ‘one-shot’ approach that can systematically address these challenges, allowing efficient auditing or estimation of the privacy loss of a model during the same, single training run used to fit model parameters, and without requiring any a priori knowledge about the model architecture, task, or DP training algorithm. We show that our method provides provably correct estimates for the privacy loss under the Gaussian mechanism, and we demonstrate its performance on well-established FL benchmark datasets under several adversarial threat models.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google