论文部分内容阅读
深度学习(DL)在许多领域都取得了显著成果。深度神经网络(DNNs)的最新进展促使现代人工智能(AI)应用取得重大突破。基于DNN的模型广泛应用在计算机视觉、语音识别、人脸识别和自然语言处理等领域。由于模型包含大量的参数,对计算能力和存储空间有较高需求,从而模型在许多现实场景中不易部署,因此模型压缩是解决部署难题的有效方法。但是,压缩DNNs在深度学习管道系统中面临机密性攻击、完整性攻击和可用性攻击即CIA攻击,在训练阶段和推理阶段威胁模型安全及数据隐私。针对这些威胁,本文针对卷积神经网络(CNNs)展开研究,提出隐私深度学习方法和模型鲁棒机制,保护数据的隐私和提高模型的鲁棒性能。论文内容和主要贡献总结如下:针对模型泄露数据隐私的问题,设计基于隐私的压缩CNN模型的服务提供系统。在系统中,云服务器将大规模的预训练模型压缩为小规模的压缩模型,将压缩模型部署到边缘服务器,边缘服务器为邻近物联网设备提供优质的服务。为了保护训练数据的隐私,需要保证压缩模型和预训练模型的机密性。这是因为:一方面敌手可以通过压缩模型提取训练数据的隐私信息;另一方面压缩模型是由预训练模型通过裁剪得到的,压缩模型的权重分布也会暴露预训练模型的权重分布,从而敌手可通过预训练模型推测数据隐私。为了解决以上问题,引入差分隐私机制,提出一种基于差分隐私的压缩CNN模型的生成方案。压缩模型主要通过隐私预训练和隐私压缩训练两个步骤构成。在这两个步骤中分别使用差分隐私来保证训练数据的隐私。针对MNIST数据集和CIFAR-10数据集进行一系列实验,结果表明压缩模型能够同时兼顾高隐私性和高可用性。针对DNNs容易遭受对抗样本攻击的脆弱性,研究提高DNN模型抵御依赖于模型梯度生成的这类对抗样本的鲁棒性能,设计基于鲁棒的压缩CNN模型的系统架构。由于移动设备的计算能力有限,模型分割部署在移动设备和边缘服务器,移动设备和边缘服务器协同训练模型。为了增强压缩模型的鲁棒性,提出协同训练生成鲁棒的压缩CNN模型机制。为了保证压缩模型较高的测试准确率,向模型添加Laplace噪声时,考虑模型压缩后的权重分布,提出基于模型权重分布的防御机制。生成的压缩模型可作为移动设备和边缘服务器协同推理模型为邻近移动设备提供识别服务。同时,压缩模型适合部署在移动设备上。压缩后的模型可以保持高的鲁棒性和高的可用性。针对快速梯度标记法(FGSM)和基本迭代法(BIM)攻击,通过训练MNIST数据集评估模型的性能。通过与无防御机制的模型比较,实验结果表明生成的鲁棒的压缩模型抵御对抗样本更加有效。模型的性能取决于训练数据集的规模。然而,单个机构的训练数据数量有限。这两个原因驱动多方机构通过分布式深度学习训练方式,提高模型的可用性。但是,如果数据直接发送给第三方或者通过各方之间共享数据的方式训练模型,会泄露各方数据集的隐私。而且,模型一旦生成,会遭受对抗样本的攻击。因此,设计了MMD-ED系统,提出基于分布式隐私深度学习生成鲁棒的压缩模型机制,边缘服务器协助多个移动设备训练得到本地鲁棒的压缩模型,模型部署在移动设备和边缘服务器之间。每个移动设备首先训练一部分模型,边缘服务器学习另一部分模型。为了保护任一方移动设备的训数据集的隐私不被其它方移动设备推测出,安全多方计算(MPC)应用在深度学习中,提出分布式隐私深度学习机制,多个移动设备利用秘密共享计算中间结果的平均值并将其发送给边缘服务器。为了提高模型针对对抗攻击的鲁棒性,引入鲁棒机制。此外,由于向模型中加入Laplace噪声,对训练数据集起到隐私保护的作用。边缘服务器将模型压缩后发送给移动设备,各移动设备最终得到本地鲁棒的压缩模型。