Skip to main content
QUICK REVIEW

[論文レビュー] Differentially Private Data Analysis of Social Networks via Restricted Sensitivity

Jeremiah Blocki, Avrim Blum|arXiv (Cornell University)|Aug 22, 2012
Privacy-Preserving Technologies in Data参考文献 15被引用数 1
ひとこと要約

この論文は、社会的ネットワークにおける次数の上限など、データ構造に関する事前信念を活用することで、正確性を向上させる、差分プライバシーのための新しいアプローチ「制限付き感度(restricted sensitivity)」を導入する。制限付き仮説クラス(例えば、最大次数kのグラフ)上で、グローバル感度が低いようにクエリを変換することにより、仮説が誤っていてもプライバシーが保たれる中で、より正確なプライベート解析が可能になる。

ABSTRACT

We introduce the notion of restricted sensitivity as an alternative to global and smooth sensitivity to improve accuracy in differentially private data analysis. The definition of restricted sensitivity is similar to that of global sensitivity except that instead of quantifying over all possible datasets, we take advantage of any beliefs about the dataset that a querier may have, to quantify over a restricted class of datasets. Specifically, given a query f and a hypothesis H about the structure of a dataset D, we show generically how to transform f into a new query f_H whose global sensitivity (over all datasets including those that do not satisfy H) matches the restricted sensitivity of the query f. Moreover, if the belief of the querier is correct (i.e., D is in H) then f_H(D) = f(D). If the belief is incorrect, then f_H(D) may be inaccurate. We demonstrate the usefulness of this notion by considering the task of answering queries regarding social-networks, which we model as a combination of a graph and a labeling of its vertices. In particular, while our generic procedure is computationally inefficient, for the specific definition of H as graphs of bounded degree, we exhibit efficient ways of constructing f_H using different projection-based techniques. We then analyze two important query classes: subgraph counting queries (e.g., number of triangles) and local profile queries (e.g., number of people who know a spy and a computer-scientist who know each other). We demonstrate that the restricted sensitivity of such queries can be significantly lower than their smooth sensitivity. Thus, using restricted sensitivity we can maintain privacy whether or not D is in H, while providing more accurate results in the event that H holds true.

研究の動機と目的

  • 社会的ネットワークの差分プライバシー解析における高いグローバル感度およびスムーズ感度の課題に対処し、過剰なノイズが発生して実用性が低下するのを防ぐ。
  • 頂点次数の上限など、ネットワーク構造に関する事前知識を組み込むことで、プライバシーを損なわず正確性を向上させるフレームワークを構築する。
  • 基礎となるデータが構造的仮説(例:次数の上限)を満たしている場合に、正確なプライベートクエリ応答を可能にするが、仮説が成り立たなくても差分プライバシーが保たれるようにする。
  • 特に部分グラフカウントおよびローカルプロファイルクエリに対して、制限付き感度に基づく低グローバル感度を持つクエリへの変換を効率的に設計する。
  • 自然な社会的ネットワーククエリにおいて、制限付き感度がスムーズ感度よりも顕著に低くなることを示し、実用的な正確性の向上を実現する。

提案手法

  • 制限付き感度を、すべての可能なデータセットではなく、仮説クラスH内の隣接データセット上でのクエリ出力の最大変化として定義する。
  • 任意のクエリfを、D ∈ HのときfH(D) = f(D)を満たすが、すべてのデータセット上でグローバル感度が低い新しいクエリfHに変換する一般的な変換を提案する。
  • 特定の仮説Hk(次数の上限k)に対して、部分グラフカウントおよびローカルプロファイルクエリのfHを構築するための効率的な投影ベースの技術を設計する。
  • エッジおよび頂点の隣接モデルを用いてプライバシー保証を形式化し、DがHを満たすかどうかに関わらず差分プライバシーが成立することを保証する。
  • 構造的制約(例:次数の上限)を活用してクエリの制限付き感度を抑え、このより小さい感度に比例したノイズを追加する。
  • 一般には計算が困難な変換を実用的に行うために、一般グラフから仮説クラスHkへの効率的なマッピングを構築する。

実験結果

リサーチクエスチョン

  • RQ1制限付き感度を用いることで、グローバル感度やスムーズ感度に基づくものよりも顕著に正確性の高い差分プライバシー機構を設計できるか?
  • RQ2社会的ネットワークにおける事前構造的信念(例:次数の上限)をどれだけ活用して感度を低くし、プライベートクエリ公開における正確性を向上させられるか?
  • RQ3仮説Hが誤っていても、低感度を維持する効率的な差分プライバシークエリ機構を構築することは可能か?
  • RQ4三角形カウントやローカルプロファイルクエリといった一般的な社会的ネットワーククエリにおいて、制限付き感度はスムーズ感度と比べてどのように異なるか?
  • RQ5任意のグラフを仮説クラスHkに射影する効率的かつ計算可能なマッピングを構築できるか?

主な発見

  • 最大次数kのグラフにおける部分グラフカウントクエリに関して、エッジおよび頂点の隣接モデルの両方で、制限付き感度はtkt−1で抑えられる。ここでtは部分グラフの頂点数である。
  • ローカルプロファイルクエリに関しては、頂点隣接モデルでは最大2k + 1、エッジ隣接モデルでは最大k + 1であり、最悪ケースではO(n)のスムーズ感度に比べて顕著に低い。
  • 頂点隣接モデルにおいて、ローカルプロファイルクエリの制限付き感度は2k + 1で抑えられるが、そのスムーズ感度はn − 1に達する可能性があり、これは超多項式のギャップを示している。
  • 三角形カウント(部分グラフカウントの特殊ケース)に関しては、制限付き感度は最大3k²であり、クエリの最大値がnk²であるのと比較して、ノイズ効率の面で顕著な改善が得られる。
  • 仮説Hk(次数の上限)が成り立つ場合、本手法はスムーズ感度に基づく手法よりも高い正確性を達成するが、Hkが誤っていても差分プライバシーが保たれる。
  • Hkに対して、投影技術を用いたfHの効率的構成が可能であり、一般には計算困難な変換でも実用的導入が可能である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。