Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Adaptive Machine Unlearning

Varun Gupta, Christopher Jung|arXiv (Cornell University)|2021. 06. 08.
Privacy-Preserving Technologies in Data참고 문헌 25인용 수 45
한 줄 요약

요약: 본 논문은 기계 학습에서 unlearning에 대한 적응적 삭제 보장을 가능하게 하는 일반적 환원법을 제시하며, 임의의 모델 클래스와 학습 방법에서의 적응적 삭제 시퀀스를 다루기 위해 차등 프라이버시(DP)와 max-information을 결합하고, 이론과 실험을 통해 기존의 비적응적(non-adaptive) 방법의 한계를 보여준다.

ABSTRACT

Data deletion algorithms aim to remove the influence of deleted data points from trained models at a cheaper computational cost than fully retraining those models. However, for sequences of deletions, most prior work in the non-convex setting gives valid guarantees only for sequences that are chosen independently of the models that are published. If people choose to delete their data as a function of the published models (because they don't like what the models reveal about them, for example), then the update sequence is adaptive. In this paper, we give a general reduction from deletion guarantees against adaptive sequences to deletion guarantees against non-adaptive sequences, using differential privacy and its connection to max information. Combined with ideas from prior work which give guarantees for non-adaptive deletion sequences, this leads to extremely flexible algorithms able to handle arbitrary model classes and training methodologies, giving strong provable deletion guarantees for adaptive deletion sequences. We show in theory how prior work for non-convex models fails against adaptive deletion sequences, and use this intuition to design a practical attack against the SISA algorithm of Bourtoule et al. [2021] on CIFAR-10, MNIST, Fashion-MNIST.

연구 동기 및 목표

  • 규제 및 보안 요건하에서 데이터 삭제(unlearning)를 장려하고 재학습 비용을 줄인다.
  • 게시된 모델에 의존하는 적응적 삭제 요청 시퀀스에 대한 보장을 제공한다.
  • 비적응 보장을 적응적 설정으로 확장하기 위해 DP와 max-information을 활용하는 모듈형 프레임워크를 개발한다.
  • 기존의 비적응적 방법의 한계를 보여주고 실용적인 DP 기반 분산형 unlearning 접근법을 제안한다.
  • 데이터세트와 모델 계열 전반에 걸친 적응적 삭제 보장을 검증하는 이론적 및 경험적 결과를 제시한다.

제안 방법

  • 적응적 삭제 시퀀스에 대해 alpha, beta, gamma 보장을 갖는 형식적 unlearning 프레임워크를 정의한다.
  • 일반적인 환원: 학습/언링킹 쌍이 비적응적 삭제 보장을 가지며 게시가 내부 난수에서 차등 프라이버시로 보호되면, 적응적 보장도 성립한다.
  • 독립적으로 학습된 샤드와 DP 기반 집계를 갖춘 분산형 ‘SISA-유사’ 아키텍처를 채택하여 적응적 보장을 가능하게 한다.
  • 내부 난수와 업데이트 사이의 max-information을 제한하기 위해 차등 프라이버시를 사용하여 적응적 적대자를 제어한다.
  • 개인화된 집계와 DP 예산 관리가 적응적 보장과 재훈련 트리거를 어떻게 제공하는지 보인다.
  • CIFAR-10, MNIST, Fashion-MNIST에 대한 이론적 분석 및 실험적 검증을 제공한다.

실험 결과

연구 질문

  • RQ1삭제 보장을 비적응에서 적응적 삭제 요청 시퀀스로 연장하려면 어떻게 해야 하는가?
  • RQ2차등 프라이버시 및 max-information을 활용해 임의의 모델 계열에 대해 강건한 적응적 언링클링 보장을 제공할 수 있는가?
  • RQ3적응적 삭제 시퀀스에 직면했을 때 기존의 비적응적 삭제 방법들(예: SISA)의 한계는 무엇인가?
  • RQ4성과를 유지하면서 입증 가능한 적응적 삭제 보장을 제공하는 분산형/언링클링 프레임워크를 어떻게 설계할 수 있는가?

주요 결과

  • 일반적 환원은 적응적 삭제 보장이 비적응적 보장과 내부 난수의 DP 게시로부터 도출됨을 보인다.
  • 샤드 데이터가 독립적으로 선택되고 난수가 DP로 보호될 때 SISA-유사 분산 아키텍처가 적응적 보장을 달성할 수 있다.
  • 선행 비볼록 삭제 방법은 적응적 삭제 시퀀스에서 실패할 수 있으며, DP 기반 환원의 필요성을 시사한다.
  • 실험은 라벨-전용 및 화이트박스 설정에서 SISA의 적응적 삭제 취약점을 드러내며, DP가 이론적 보장 이상으로 완화책을 제공한다.
  • 비공개 집계와 DP 예산 관리가 전체 재훈련에 비해 허용 가능한 정확도 트레이드오프를 가진 실용적 적응적 언링클링을 가능하게 한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.