混合差分隐私在计算机视觉中的应用
许多实用的计算机视觉模型基于大型公共数据集(如ImageNet)训练。但在某些应用场景(如分析医学影像疾病指标的模型)中,需使用数据所有者希望保持私有的数据训练。此类情况下,需确保无人能从训练后的模型输出中推断任何特定训练样本信息。
差分隐私提供了一种量化机器学习模型可能泄露的私有信息量及对策有效性的方法。标准防泄漏方法是在模型训练过程中添加噪声,虽可模糊从模型输出到特定训练样本的推断路径,但往往会降低模型精度。
AdaMix算法的双阶段训练
自然语言处理领域已成功通过混合公有和私有数据训练模型,在保证差分隐私(DP)的同时几乎不影响模型精度。但将这些方法泛化至计算机视觉的效果较差——仅用公共数据训练模型后对私有任务进行零样本学习,效果反而优于混合数据模型。
在CVPR 2022会议提出的AdaMix算法中,我们要求至少存在少量标签集与私有数据相同(或相似)的公共数据。以医学影像为例,可拥有标注目标疾病证据的小型公共数据集。
AdaMap分两阶段工作:
- 首先在公共数据上训练以确定目标模型权重的"可行范围"
- 随后联合训练公有和私有数据以优化解决方案,同时激励模型保持在可行范围附近
公共数据还有助于在每次训练迭代中制定自适应决策,从而以最小整体模型扰动满足DP标准。
性能提升与理论保障
AdaMix模型在私有数据任务上表现优于零样本模型,相较于传统混合数据模型将误差增长降低60%-70%。虽然误差仍显著增加,但在隐私保护至关重要的场景中,所得模型仍具实用性(而传统混合模型往往无法实现)。
此外,我们为AdaMix性能提供了强理论保证:即使极小的公共数据集也能带来精度显著提升(可证明保证),且算法享有形式化差分隐私保证。
信息传递与记忆机制
计算机视觉模型学习识别与特定任务相关的图像特征。例如猫识别器可能学习从多视角识别尖耳朵特征。由于训练数据中多数图像包含尖耳朵猫,识别器将以通用方式建模该特征,无法追溯至任何特定训练样本。
但当训练数据仅含少量折耳猫(具独特塌耳朵)时,模型可能学习仅针对这些图像的特征,此过程称为"记忆化"。记忆化确实可能让精明的对手识别训练数据中的特定图像。
信息理论可量化模型训练过程从训练样本到模型参数的信息传递量,防止记忆化的明显方法是限制该信息传递。但如我们其中一位作者所述,神经网络训练初期会记忆大量个体训练样本信息,随时间推移逐渐遗忘多数细节——即通过从具体化模型中逐步剔除无关细节来开发抽象模型。(这一发现对生物学家并不意外,因为动物大脑发育也涉及持续剔除无用信息并巩固有用信息。)
DP可证明防止意外记忆个体训练样本,但这也普遍限制了训练样本与模型参数间的信息传递,可能抑制学习过程。而特定训练样本的特征常需用于绘制学习算法应探索的可能性空间。
这正是我们CVPR论文利用的洞见:允许模型记忆小规模公共数据集特征以绘制探索空间,随后在公共数据预训练后,限制私有数据与模型参数间的信息传递。我们根据模型参数当前值定制该限制,并在每次训练迭代后更新限制,确保对私有数据集中每个样本仅添加必要噪声以保护隐私。
本方法在测试数据上的特定改进表明,它可实现同时满足隐私保证的更实用计算机视觉模型。更重要的是,希望其包含的理论洞见——计算机视觉的DP方案需关注遗忘的重要性——将催生更有效的隐私保护方法。
致谢:Aaron Roth, Michael Kearns, Stefano Soatto