[发明专利]个性化信息检索中用户隐私保护方法

说明书

技术领域

该发明所属信息、计算机技术领域。 

背景技术

实现个性化信息检索，需要跟踪和学习用户的兴趣和行为，生成用户兴趣模型，根据用户兴趣过滤信息以达到准确提供给用户所需信息的目的。然而，个性化检索面临一个重要问题：用户隐私泄露。如何在保证用户隐私的前提下，提高用户兴趣模型在个性化信息检索中的共享是一个值得认真研究的问题。 

发明内容

为了克服现有隐私保护技术的不足，提出了基于差分隐私非交互机制的用户兴趣模型匿名化方法。解决了用户隐私保护和提升个性化信息检索性能之间的矛盾。 

该发明解决其技术问题所采用的技术方案是：针对隐匿用户兴趣模型中的标示符后的匿名化，即去掉其中的标示符(如用户ID、姓名、身份证号、SSN等)后，利用差分隐私的相关技术对用户兴趣模型中准标示符(如年龄、性别、邮编等)的匿名化。 

技术方案所依据的科学原理：数据发布中隐私保护的差分隐私技术。差分隐私是一种新的数据隐私保护方法，可假定攻击(入侵)者具有任意背景知识，该保护方法可保证在一个数据集中删除和增加一条记录不影响任何计算结果(如查询)，最关键的是即使攻击(入侵)者知道了除了某一个记录之外的所有记录的敏感信息，该记录的敏感信息仍然无法预测。本发明的有益效果是，在保证用户隐私安全的前提下，能够保持或提升个性化服务性能。 

附图说明

下面结合附图和实例对本发明进一步说明。 

图1是用户兴趣模型准标示属性泛化的示意图。 

图1中，数据泛化是通过将相对低层次的值(如属性age的数值)用高层的概念(如青年，中年和老年)替换来汇总数据。在示例学习中我们将泛化的规则看作一棵树，如图1所示。文献中多称为分类树(Hierarchy tree)。每个属性的泛化规则不一样，它们都独立对应一棵分类树，一般分类树是事先人为规定好的。 

具体实施方式

个性化信息检索中用户隐私保护方法，具体步骤如下： 

(1)隐匿用户模型中的标示符，设置合理的隐私预算参数ε初值。 

(2)采用自上而下的方法，概率性的泛化准标示符，可将数据集划分成一些等价组。 

(3)添加Lap(2/ε)噪音到每一组数据中。 

(4)将满足差分隐私的数据集进行发布。 

(5)完成个性化信息检索中用户隐私保护方法。 

个性化信息检索中用户隐私保护方法的详细描述如下： 

注： 

ε-差分隐私：给定两个数据集D和D′，D和D′之间至多相差一条记录，给定一个隐私算法A，Range(A)为A的取值范围，若算法A在数据集D和D′上任意输出结果满足下列不等式，则A满足ε-差分隐私，也就是说，D和D′上输出结果的概率分布最大比率至多为e^ε。 

其中，概率Pr[·]由算法A的随机性所控制，也表示隐私被披露的风险；ε为隐私预算(隐私预算代价参数)，表示隐私保护程度，ε越小隐私保护程度越高。算法A可以表示交互式的查询方法，或者是非交互式的发布方法。 

差分隐私的相关实现技术 

(1)拉普拉斯(Laplace)机制。对于任何函数f：隐私算法A，A提供ε-差分隐私 

A(D)＝f(D)+Laplace(GS_Q/ε)  ② 

其中，GS是全局敏感度：对于任意的相邻数据库D₁和D₂，查询Q的敏感度是D₁和D₂查询结果的最大不同， 

GS_Q＝max‖Q(D₁)-Q(D₂)‖₁  ③ 

(2)指数机制：基本思想是从一个私有分布中抽样来回答非数值查询。关键是如何设计函数q(D，r)，r表示从输出域中所选择的输出项。对于数据集D，给定一个效用函数q：(D×R)→R，