연방 학습에서 단일 실험을 통한 경험적 프라이버시 추정

연방 학습에서 단일 실험을 통해 프라이버시 손실을 효율적으로 추정할 수 있는 새로운 방법을 제안한다. 이 방법은 모델 아키텍처, 작업 또는 DP 훈련 알고리즘에 대한 사전 지식 없이도 작동하며, 모델 품질에 거의 영향을 미치지 않는다.

이 논문은 연방 학습(FL) 환경에서 차별적 프라이버시(DP) 알고리즘의 프라이버시 손실을 효율적으로 추정하는 새로운 방법을 제안한다. 기존의 프라이버시 감사 기술은 중간 모델 반복 또는 훈련 데이터 분포에 대한 강한 가정을 필요로하거나, 특정 작업, 모델 아키텍처 또는 DP 알고리즘에 맞춰져 있으며, 수천 번의 모델 재학습을 요구한다. 이러한 단점으로 인해 실제 배포에 어려움이 있다. 저자들은 단일 실험을 통해 프라이버시 손실을 추정하는 새로운 방법을 제안한다. 이 방법은 모델 아키텍처, 작업 또는 DP 훈련 알고리즘에 대한 사전 지식 없이도 작동하며, 모델 품질에 거의 영향을 미치지 않는다. 이 방법은 가우시안 메커니즘에 대해 이론적으로 정확한 추정치를 제공하며, 다양한 적대적 위협 모델에 대해 성능을 입증한다. 구체적으로 다음과 같은 내용을 다룬다: 가우시안 메커니즘에 대한 단일 실험 기반 프라이버시 추정 방법 제안 및 이론적 분석 연방 학습 환경에서 단일 실험을 통한 프라이버시 추정 방법 제안 중간 모델 반복을 관찰할 수 있는 경우와 최종 모델만 관찰할 수 있는 경우에 대한 실험 결과 제시 클라이언트 참여 제한과 같이 이론적 분석이 어려운 상황에서의 프라이버시 변화 탐색

모델 차원 d가 클수록(d ≥ 1000) 랜덤 캐너리 벡터와 최종 모델 벡터의 코사인 유사도 분포가 근사적으로 정규분포를 따른다. 중간 모델 반복을 관찰할 수 있는 경우, 낮은 수준의 노이즈에서 추정된 ε이 이론적 상한에 가깝다. 최종 모델만 관찰할 수 있는 경우, 추정된 ε이 중간 반복을 관찰할 때보다 크게 낮다.

"DP는 강력한 공격자 – 다른 모든 사용자의 데이터, 알고리즘에 대한 모든 세부 사항(DP를 위해 추가된 노이즈 값 제외), 그리고 모든 중간 모델 업데이트를 알고 있는 공격자 – 도 해당 사용자의 존재 여부나 데이터에 대해 확신할 수 없게 보장한다." "이러한 데이터 최소화 접근 방식으로는 최종 모델을 직접 질의하여 일부 개인 정보를 학습할 수 있는 가능성을 배제할 수 없다."