PLRV-O: Advancing Differentially Private Deep Learning via Privacy Loss Random Variable Optimization
2509.06264v1
cs.CR, cs.LG
2025-09-12
Авторы:
Qin Yang, Nicholas Stout, Meisam Mohammady, Han Wang, Ayesha Samreen, Christopher J Quinn, Yan Yan, Ashish Kundu, Yuan Hong
Резюме на русском
## Контекст
В статье рассматривается одна из самых распространенных проблем в области машинного обучения — обеспечение конфиденциальности данных при обучении моделей глубокого обучения. Данная проблема становится актуальна при обработке конфиденциальных данных, таких как личные данные или медицинские данные. Основным методом обеспечения конфиденциальности является Differentially Private Stochastic Gradient Descent (DP-SGD), который использует механизм шума для защиты информации. Однако существуют ряд ограничений в существующих подходах. Например, стандартные механизмы шума, такие как гауссовский и лапласианский, ограничены в своей гибкости, так как их параметры не позволяют оптимизировать по отдельности эффект защиты и качество модели. Это приводит к проблемам при оптимизации требуемого уровня конфиденциальности и максимального качества модели, особенно в условиях разных задач и ограничений, таких как время обучения и размер батча.
## Метод
Для решения этой проблемы предлагается новый подход, основанный на оптимизации Privacy Loss Random Variable (PLRV). Ранее, параметры шума в DP-SGD были ограничены двумя факторами: значением шума и уровнем конфиденциальности (эпсилон). В новом подходе предлагается расширить поиск пространства параметров шума, чтобы включить в него дополнительные параметры, такие как размер модели и количество итераций обучения. Это позволяет оптимизировать качество модели и уровень конфиденциальности независимо друг от друга. Архитектура фреймворка PLRV-O включает в себя многоуровневую оптимизацию, позволяющую учесть задачи с различными ограничениями, такими как размер батча и стратегии выбора данных.
## Результаты
На практике проведены эксперименты на двух датасетах: CIFAR-10 и SST-2. На CIFAR-10 был использован модель ViT, а на SST-2 — RoBERTa-large. Результаты показали, что новый подход PLRV-O значительно улучшает качество модели в сравнении с традиционными методами, такими как Gaussian Noise. Например, fine-tuned ViT на CIFAR-10 достиг 94.03% точности при epsilon примерно 0.5, в то время как Gaussian Noise дал только 83.93%. Аналогичные результаты были получены и для SST-2, где RoBERTa-large показал 92.20% точности при epsilon 0.2, в то время как Gaussian Noise дал лишь 50.25%. Эти результаты указывают на значительную улучшение качества моделей при применении PLRV-O.
## Значимость
Предложенный подход имеет широкие применения в области конфиденциального машинного обучения. Он позволяет улучшить качество моделей в условиях жестких ограничений конфиденциальности. Благодаря гибкости PLRV-O, модели могут быть оптимизированы для различных задач, включая обучение с учетом размера модели
Abstract
Differentially Private Stochastic Gradient Descent (DP-SGD) is a standard
method for enforcing privacy in deep learning, typically using the Gaussian
mechanism to perturb gradient updates. However, conventional mechanisms such as
Gaussian and Laplacian noise are parameterized only by variance or scale. This
single degree of freedom ties the magnitude of noise directly to both privacy
loss and utility degradation, preventing independent control of these two
factors. The problem becomes more pronounced when the number of composition
rounds T and batch size B vary across tasks, as these variations induce
task-dependent shifts in the privacy-utility trade-off, where small changes in
noise parameters can disproportionately affect model accuracy. To address this
limitation, we introduce PLRV-O, a framework that defines a broad search space
of parameterized DP-SGD noise distributions, where privacy loss moments are
tightly characterized yet can be optimized more independently with respect to
utility loss. This formulation enables systematic adaptation of noise to
task-specific requirements, including (i) model size, (ii) training duration,
(iii) batch sampling strategies, and (iv) clipping thresholds under both
training and fine-tuning settings. Empirical results demonstrate that PLRV-O
substantially improves utility under strict privacy constraints. On CIFAR-10, a
fine-tuned ViT achieves 94.03% accuracy at epsilon approximately 0.5, compared
to 83.93% with Gaussian noise. On SST-2, RoBERTa-large reaches 92.20% accuracy
at epsilon approximately 0.2, versus 50.25% with Gaussian.
Ссылки и действия
Дополнительные ресурсы: