[논문 리뷰] SEALion: a Framework for Neural Network Inference on Encrypted Data
SEALion은 평문 데이터로 신경망을 학습하고 동형암호화된 데이터에서 추론을 수행할 수 있게 해주는 확장 가능한 프레임워크로, 자동 암호화 매개변수 선택 기능을 제공합니다. 활성화 희소화를 통한 암호화 추론 성능 향상을 보여주고, 서버 측 VAE를 이용한 암호화 전이 학습을 소개합니다.
We present SEALion: an extensible framework for privacy-preserving machine learning with homomorphic encryption. It allows one to learn deep neural networks that can be seamlessly utilized for prediction on encrypted data. The framework consists of two layers: the first is built upon TensorFlow and SEAL and exposes standard algebra and deep learning primitives; the second implements a Keras-like syntax for training and inference with neural networks. Given a required level of security, a user is abstracted from the details of the encoding and the encryption scheme, allowing quick prototyping. We present two applications that exemplifying the extensibility of our proposal, which are also of independent interest: i) improving efficiency of neural network inference by an activity sparsifier and ii) transfer learning by querying a server-side Variational AutoEncoder that can handle encrypted data.
연구 동기 및 목표
- ML에서 프라이버시를 보호하는 예측의 중요성을 제고하고 암호화된 데이터에서 실용적인 신경망을 가능하게 한다.
- TensorFlow 유사한 학습과 SEAL 기반 암호화 추론을 결합한 확장 가능 소프트웨어 아키텍처를 제공한다.
- 보안 보장을 충족하면서 성능을 최대화하기 위해 암호화 매개변수 선택을 자동화한다.
- (i) 암호화 추론의 속도를 높이기 위해 활성화를 희소화하고, (ii) 서버 측 VAE 표현을 통한 암호화 전이 학습을 시연한다.
제안 방법
- 암호화된 데이터에서 다변수 다항식 함수를 평가하기 위해 SEAL 위의 프리미티브 레이어로 SEALion을 구축한다.
- Keras와 같은 구문을 갖춘 HEras로 평문 학습과 암호화된 데이터에 대한 추론을 가능하게 하는 TensorFlow 유사 인터페이스를 노출한다.
- 배치처리(SIMD)와 중국 나머지 정리(CRT)를 사용해 평문 모듈을 관리하고 처리량을 개선한다.
- 노이즈 예산에 대해 검증하면서 (n, t) 후보를 탐색하여 자동 암호화 매개변수 선택을 구현한다.
- 동형암호화가 요구하는 다항식 연산에 맞도록 신경망을 이산화(discretize)한다.
- 암호화 연산을 줄이고 추론을 가속화하기 위한 활성화의 희소화를 시연한다.
- 서버 측 VAE를 조회하여 암호화된 표현을 얻는 암호화 전이 학습을 도입한다.
실험 결과
연구 질문
- RQ1입력 데이터를 노출하지 않고도 평문에서 신경망을 학습하고 암호화된 추론에 배포할 수 있는가?
- RQ2SEAL 기반 추론에서 보안, 깊이, 성능의 균형을 맞추기 위해 암호화 매개변수를 어떻게 자동으로 선택할 수 있는가?
- RQ3활성화의 희소화가 정확도를 희생하지 않으면서 암호화된 신경망의 지연 시간을 크게 줄이고 처리량을 증가시키는가?
- RQ4클라이언트 개인정보 보호를 유지하면서 유용한 표현을 얻기 위한 서버 측 VAE를 통한 암호화 전이 학습이 가능한가?
- RQ5MNIST의 대표적 아키텍처에서 SEALion의 실용적 성능 및 정확도 트레이드오프는 어떤가?
주요 결과
| 모델 | 매개변수 | 활성화 | n,t | 지연 [초] | 처리량 [1/시간] | 정확도 [%] |
|---|---|---|---|---|---|---|
| CryptoNets | 126,375 | 945 | 4096,2 | 250 | 58,982 | 98.95 |
| Faster CryptoNets | — | 945 | 8192,2 | 39.1 | 754,250 | 98.71 |
| DiNN-30 | 26,520 | 30 | — | 0.491 | 6,990 | 93.46 |
| DiNN-100 | 79,400 | 100 | — | 1.64 | 2,143 | 96.35 |
| TAPAS | — | — | — | 32[h] | — | 98.60 |
| Our Work - DNN-30 | 26,520 | 30 | 4096,1 | 1.14 | 12,933,344 | 97.40 |
| Our Work - DNN-100 | 79,400 | 100 | 4096,1 | 3.28 | 4,494,965 | 98.01 |
| Our Work - CNN-16 | 79,800 | 3,236 | 8192,2 | 192 | 153,600 | 98.96 |
| Our Work - CNN-16 L0 | 79,800 | 762 | 8192,2 | 60 | 491,520 | 98.91 |
- 암호화 기반 추론은 이산화된 다항식 네트워크로도 경쟁적인 정확도를 달성할 수 있습니다.
- 활성화 희소화(L0 활성 희소화기)는 암호화 추론의 지연 시간과 처리량을 크게 개선합니다(예: L0이 있는 CNN-16은 정확도를 유지하면서 상당한 속도향상).
- Dense 결과에는 CryptoNets 및 기타 기준선과의 비교가 포함되며, DNN-30, DNN-100, CNN-16 및 L0가 적용된 CNN-16과 같은 모델이 MNIST에서 높은 정확도를 달성하고 지연/처리량 프로필이 크게 다릅니다.
- 암호화 전이 학습을 위한 이산화된 VAE(dVAE)는 프라이버시 제약 하에서 다운스트림 분류기의 성능을 향상시키는 표현을 추출할 수 있게 합니다.
- 자동 매개변수 선택은 다항 차수 n과 평문 모듈러스 t를 탐색하여 지연시간과 처리량 사이의 균형을 맞추고, 노이즈 예산 소진을 피하면서 목표 보안 수준을 보장합니다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.