Differentially Private SGD Without Clipping Bias: An Error-Feedback Approach

要約

勾配クリッピングを使用した微分プライベート確率的勾配降下法 (DPSGD-GC) は、機密データを使用して深層学習モデルをトレーニングするための強力なツールであり、理論上の確実なプライバシー保証と高効率の両方を提供します。
ただし、DPSGD-GC を使用して差分プライバシー (DP) を確保すると、DP ノイズ挿入と勾配クリッピングによるモデルのパフォーマンスの低下が発生します。
既存の研究では、DPSGD-GC の理論的収束を広範囲に分析しており、問題固有のパラメーターに依存する大きなクリッピングしきい値を使用した場合にのみ収束することが示されています。
残念ながら、これらのパラメータは実際には不明なことが多く、最適なクリッピングしきい値を選択することが困難になります。
したがって、実際には、DPSGD-GC は、クリッピングによって導入された {\it constant} バイアスによりパフォーマンスが低下します。
私たちの研究では、DPSGD-GC の代替として、新しいエラー フィードバック (EF) DP アルゴリズムを提案します。これは、一定のクリッピング バイアスを誘発することなく、ユーティリティ境界の減少を提供するだけでなく、より重要なことに、これにより、任意の選択が可能になります。
問題とは独立したクリッピングしきい値。
私たちは、提案したアルゴリズムに対してアルゴリズム固有の DP 分析を確立し、R{\’e}nyi DP に基づいてプライバシーを保証します。
さらに、穏やかな条件下では、アルゴリズムが勾配クリッピングなしで DPSGD とほぼ同じユーティリティ境界を達成できることを示します。
Cifar-10/100 および E2E データセットに関する実験結果は、提案されたアルゴリズムが同じレベルの DP 保証を維持しながら、DPSGD よりも高い精度を達成することを示しています。

要約(オリジナル)

Differentially Private Stochastic Gradient Descent with gradient clipping (DPSGD-GC) is a powerful tool for training deep learning models using sensitive data, providing both a solid theoretical privacy guarantee and high efficiency. However, using DPSGD-GC to ensure Differential Privacy (DP) comes at the cost of model performance degradation due to DP noise injection and gradient clipping. Existing research has extensively analyzed the theoretical convergence of DPSGD-GC, and has shown that it only converges when using large clipping thresholds that are dependent on problem-specific parameters. Unfortunately, these parameters are often unknown in practice, making it hard to choose the optimal clipping threshold. Therefore, in practice, DPSGD-GC suffers from degraded performance due to the {\it constant} bias introduced by the clipping. In our work, we propose a new error-feedback (EF) DP algorithm as an alternative to DPSGD-GC, which not only offers a diminishing utility bound without inducing a constant clipping bias, but more importantly, it allows for an arbitrary choice of clipping threshold that is independent of the problem. We establish an algorithm-specific DP analysis for our proposed algorithm, providing privacy guarantees based on R{\’e}nyi DP. Additionally, we demonstrate that under mild conditions, our algorithm can achieve nearly the same utility bound as DPSGD without gradient clipping. Our empirical results on Cifar-10/100 and E2E datasets, show that the proposed algorithm achieves higher accuracies than DPSGD while maintaining the same level of DP guarantee.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google