[发明专利]用于训练模型的方法和装置

说明书

本申请实施例公开了用于训练模型的方法和装置。该方法的一具体实施方式包括：获取用户数据集；初始化待训练模型；利用用户数据集对待训练模型进行训练，得到基于用户数据集中的用户数据计算得到的原始模型参数梯度；对基于用户数据集中的用户数据计算得到的原始模型参数梯度进行差分隐私处理，得到基于用户数据集中的用户数据计算得到的处理模型参数梯度；利用基于用户数据集中的用户数据计算得到的处理模型参数梯度更新待训练模型的模型参数，得到训练完成模型。该实施方式提供了一种能够抵抗模型逆向攻击的方法，有效保护用户数据的隐私。

技术领域

本申请实施例涉及计算机技术领域，具体涉及用于训练模型的方法和装置。

背景技术

当前机器学习技术已经广泛应用在很多行业。例如，在金融、医疗、交通、网络安全等诸多领域，训练好的机器学习模型正在发挥着越来越重要的、具有革命性的作用。大规模数据是训练机器学习模型的原材料。然而，使用大量用户数据训练出来的模型在提供服务的同时，也面临着各种各样的威胁和攻击，模型逆向攻击就是其中一种典型的攻击。模型逆向攻击能够在正常使用模型服务的同时发起攻击，从模型预测结果中提取训练集数据的信息，从而获取到用户数据的敏感特征，造成隐私泄露。

目前，针对模型逆向攻击问题，普遍采取如下三种解决方案：其一，改变训练过程中敏感特征的训练位置。比如，在决策树模型的训练过程中，将敏感特征放在模型的顶部或者底部，降低训练出来的模型在敏感特征上的敏感性，更好地保护用户数据的敏感特征。其二，模型的预测结果近似处理，增大攻击者根据预测结果进行模型逆向攻击的难度。比如，对于物体分类或人脸识别的模型，对模型返回的每一类预测结果的概率值进行四舍五入之类的处理或者减少预测的种类数量，而不是精确地返回每一类别下的概率值。其三，对训练好的模型做处理。比如，使用差分隐私的方法在训练好的模型上做处理，以提供更加严格的隐私保护程度的证明。

发明内容

本申请实施例提出了用于训练模型的方法和装置。

第一方面，本申请实施例提出了一种用于训练模型的方法，包括：获取用户数据集；初始化待训练模型；利用用户数据集对待训练模型进行训练，得到基于用户数据集中的用户数据计算得到的原始模型参数梯度；对基于用户数据集中的用户数据计算得到的原始模型参数梯度进行差分隐私处理，得到基于用户数据集中的用户数据计算得到的处理模型参数梯度；利用基于用户数据集中的用户数据计算得到的处理模型参数梯度更新待训练模型的模型参数，得到训练完成模型。

在一些实施例中，初始化待训练模型，包括：初始化待训练模型的训练参数和模型参数，其中，训练参数包括以下至少一项：总隐私预算、系统参数和学习速率。

在一些实施例中，利用用户数据集对待训练模型进行训练，得到基于用户数据集中的用户数据计算得到的原始模型参数梯度，包括：对于用户数据集中的第t批用户数据，执行以下训练步骤：确定总隐私预算是否有剩余；若总隐私预算有剩余，从总隐私预算中分配训练第t批用户数据所需的隐私预算；从第t批用户数据中选择敏感特征；按照第t批用户数据的维度d将训练第t批用户数据所需的隐私预算切分成d份隐私预算，其中，d份隐私预算中的前m份隐私预算对应第t批用户数据中的非敏感特征，d份隐私预算中的后n份隐私预算对应第t批用户数据中的敏感特征；基于第t批用户数据和损失函数计算基于第t批用户数据计算得到的原始模型参数梯度。

在一些实施例中，对基于用户数据集中的用户数据计算得到的原始模型参数梯度进行差分隐私处理，得到基于用户数据集中的用户数据计算得到的处理模型参数梯度，包括：将满足d份隐私预算的差分隐私的高斯噪声加入基于第t批用户数据计算得到的原始模型参数梯度，得到基于第t批用户数据计算得到的处理模型参数梯度。