差分隐私
informal examples
如果算法不具有 privacy-preserving, 可能会有下述情况出现:
- adversary 可以通过算法的输出重构得到用户敏感的数据集
- adversary 可以判断某一个用户是否在数据集中
一个例子是 adversary 可以通过数据库的查询语句重现整个数据集, 由下面的缓解方式:
-Anonymity: 如果 query 涉及到少于 人则算法拒绝给出结果 Noise Addition: 给查询结果添加 noise, 这是差分隐私使用的一种方法
定义
设
这个定义的 intuition 是一个数据的改变不会导致输出的分布大幅度改变.
Privacy Loss: 对于
对于连续的随机变量, 可以使用密度函数定义
Basic Mechanism: Noise Addition
加噪的直觉是噪声需要足够大以隐藏用户的贡献. 噪声的选取取决于
的敏感程度
Discrete Laplace Mechanism
假设
Discrete Laplace Distribution 的定义是对每一个整数
w.p. - 3 w.p.
- 4 w.p.
等等.
定理 2 假定
定理 3 Discrete Laplace Mechanism 有
. .
定理 3 说明误差与数据集大小无关.
定理 4 假定
Laplace Mechanism
连续版本
定理 5 假定
Gaussian Mechanism
定理 6 假定
定义
这和 Pure-DP condition 的区别在于, Pure-DP Condition 是充要条件, 而 approximation-DP Condition 只是充分条件.
定理 7 random noise 是
DP 的性质
定理 8 如果
定理 8 是在说 DP 具有 Post-Processing 的性质, 即 “Result of DP algorithm can be used in arbitrary manner and it remains DP.”
Composition
定理 9 (Basic Composition Theorem) 一个数据集通过
Proof 考虑验证
即可. 以及 上式成立的原因是 是相互独立的算法, 它们之间互不影响.
推论:
Approx-DP Condition:
Advanced Composition Theorem: 所有的输出组合是
Proof Sketch:
- Recall that PLD of M is convolution of PLDs of
- For pure-DP:
- Each PLD of
is bounded in - Can be shown to have mean at most
- Apply concentration inequality to the sum
PLD of exceeds with less than probability - For approx-DP:
- (Not tight) Truncate the PLD to be at most, say,
- (Tight) Use a characterization of approx-DP in terms of pure-DP
composition 可以进行 adaptive setting, 即将第
Amplification by Subsampling
subsampling 会使算法更具有隐私性.
步骤: 从一个大小为
Proof. 我们在这里只证明
设
- 选择
- 随机采样
, 满足 , , 其中 . - 将
作为最终采样出的结果输出
那么就有
定义
Proof. 这个证明就是类似的, 考虑等价的采样方法,
根据构造出的几个数据集间的
Exponential Mechanisms
解决 Selection Problem:
- 输入
为 candidate set, 每一个 以及数据集 有一个分数 - 输出
with approx max score
且
EM:
指数机制是: 以
定理: 指数机制是