动态梯度阈值裁剪的差分隐私生成对抗网络算法(NDBC2022+P00105)

• •

动态梯度阈值裁剪的差分隐私生成对抗网络算法(NDBC2022+P00105)

陈少权¹,蔡剑平¹,孙岚²

1. 福州大学计算机与大数据学院
2. 福州大学数学与计算机科学学院

收稿日期:2022-08-01 修回日期:2022-08-10 发布日期:2022-09-23
通讯作者: 陈少权

Differential privacy generative adversarial network algorithm for dynamic gradient threshold clipping

Received:2022-08-01 Revised:2022-08-10 Online:2022-09-23

摘要/Abstract

摘要： 摘要：现有的生成对抗网络（GAN）和差分隐私相结合的方法大多采用梯度扰动的方法实现隐私保护，即在优化过程中利用梯度裁剪约束优化器对单个数据的敏感性，并对裁剪后的梯度添加随机噪声达到保护模型的目的；但大多方法在训练时裁剪阈值固定，阈值过大或过小均会影响模型的性能。针对该问题，提出动态梯度阈值裁剪的DGC_DPGAN算法以兼顾隐私保护和模型的性能。该算法结合预训练技术，在优化过程中先求取每批次隐私数据的梯度F-范数均值作为动态梯度裁剪阈值，再对梯度进行扰动。考虑不同的裁剪顺序，提出先裁剪再加噪的CLIP_DGC_DPGAN算法和先加噪再裁剪的DGC_DPGAN算法，并采用Rényi Accountant求取隐私损失。实验结果表明，在相同的隐私预算下，所提出的两种动态梯度裁剪算法与固定梯度阈值裁剪方法相比，在Mnist数据集上，IS评分，SSIM指标，CNN分类准确率分别提升了0.32-3.92，0.03-0.27，0.06-0.28；在Fashion-Mnist数据集上，IS评分，SSIM指标，CNN分类准确率分别提升了0.4-4.32，0.01-0.44，0.11-0.23；同时GAN模型生成图像的可用性更好。

关键词: 生成对抗网络, 差分隐私, 动态梯度阈值裁剪, Rényi Accountant

Abstract: Abstract: Most of the existing methods that combine the generative adversarial network (GAN) and differential privacy used gradient perturbation to achieve privacy protection. In the process of optimization, gradient clipping technology was used to constrain the sensitivity of the optimizer to single data, and random noise was added to the clipped gradient to achieve the purpose of protecting the model. However, most methods took the clipping threshold as a fixed parameter during training. When the threshold was too large or too small, the performance of the model would be affected. To solve this problem, DGC_DPGAN with dynamic gradient threshold clipping was proposed to consider privacy protection and model performance. Combined with the pre-training technology, and in the process of optimization, the gradient F-norm average of each batch of privacy data was obtained as the dynamic gradient clipping threshold, and then the gradient was perturbed. Considering different clipping orders, CLIP_DGC_DPGAN and DGC_DPGAN were proposed, and used Rényi Accountant to calculate the privacy loss. The experimental results show that under the same privacy budget, the two dynamic gradient clipping algorithms are better than the fixed gradient threshold clipping method. On the Mnist dataset, the IS, SSIM, and CNN classification accuracy are improved by 0.32-3.92, 0. 03-0.27, and 0.06-0.28 respectively; On the Fashion-Mnist dataset, the IS, SSIM, and CNN classification accuracy are improved by 0.4-4.32, 0.01-0.44 and 0.11-0.23 respectively; At the same time, the availability of the images generated by GAN model is better.

Key words: Keywords: generative adversarial network, differential privacy, dynamic gradient clipping, Rényi Accountant

中图分类号:

TP309.2

陈少权蔡剑平孙岚. 动态梯度阈值裁剪的差分隐私生成对抗网络算法(NDBC2022+P00105)[J]. 计算机应用.

[1]	郑毅, 廖存燚, 张天倩, 王骥, 刘守印. 面向城区的基于图去噪的小区级RSRP估计方法[J]. 《计算机应用》唯一官方网站, 2024, 44(3): 855-862.
[2]	彭鹏, 倪志伟, 朱旭辉, 陈千. 改进萤火虫群算法协同差分隐私的干扰轨迹发布[J]. 《计算机应用》唯一官方网站, 2024, 44(2): 496-503.
[3]	周辉, 陈玉玲, 王学伟, 张洋文, 何建江. 基于生成对抗网络的联邦学习深度影子防御方案[J]. 《计算机应用》唯一官方网站, 2024, 44(1): 223-232.
[4]	徐雪冉, 杨庚, 黄喻先. 横向联邦学习中差分隐私聚类算法[J]. 《计算机应用》唯一官方网站, 2024, 44(1): 217-222.
[5]	刘安阳, 赵怀慈, 蔡文龙, 许泽超, 解瑞灯. 基于主动判别机制的自适应生成对抗网络图像去模糊算法[J]. 《计算机应用》唯一官方网站, 2023, 43(7): 2288-2294.
[6]	黄硕, 李艳辉, 曹建秋. 本地化差分隐私下的频繁序列模式挖掘算法PrivSPM[J]. 《计算机应用》唯一官方网站, 2023, 43(7): 2057-2064.
[7]	陈少权, 蔡剑平, 孙岚. 动态梯度阈值裁剪的差分隐私生成对抗网络算法[J]. 《计算机应用》唯一官方网站, 2023, 43(7): 2065-2072.
[8]	靳鑫, 刘仰川, 朱叶晨, 张子健, 高欣. 基于残差编解码-生成对抗网络的正弦图修复的稀疏角度锥束CT图像重建[J]. 《计算机应用》唯一官方网站, 2023, 43(6): 1950-1957.
[9]	郭劲文, 马兴华, 骆功宁, 王玮, 曹阳, 王宽全. 基于Transformer的结构强化IVOCT导丝伪影去除方法[J]. 《计算机应用》唯一官方网站, 2023, 43(5): 1596-1605.
[10]	吴家皋, 章仕稳, 蒋宇栋, 刘林峰. 基于状态精细化长短期记忆和注意力机制的社交生成对抗网络用于行人轨迹预测[J]. 《计算机应用》唯一官方网站, 2023, 43(5): 1565-1570.
[11]	樊小宇, 蔺素珍, 王彦博, 刘峰, 李大威. 基于残差图卷积神经网络的高倍欠采样核磁共振图像重建算法[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1261-1268.
[12]	尹春勇, 屈锐. 基于个性化差分隐私的联邦学习算法[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1160-1168.
[13]	王昊, 王子成, 张超, 马韵升. 基于生成对抗网络的数据不确定性量化方法[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1094-1101.
[14]	尹春勇, 周立文. 基于再编码的无监督时间序列异常检测模型[J]. 《计算机应用》唯一官方网站, 2023, 43(3): 804-811.
[15]	朱利安, 张鸿. 基于双分支条件生成对抗网络的非均匀图像去雾[J]. 《计算机应用》唯一官方网站, 2023, 43(2): 567-574.