CN113961967B - 基于隐私保护联合训练自然语言处理模型的方法及装置 - Google Patents

基于隐私保护联合训练自然语言处理模型的方法及装置 Download PDF

Info

Publication number
CN113961967B
CN113961967B CN202111517113.5A CN202111517113A CN113961967B CN 113961967 B CN113961967 B CN 113961967B CN 202111517113 A CN202111517113 A CN 202111517113A CN 113961967 B CN113961967 B CN 113961967B
Authority
CN
China
Prior art keywords
privacy
target
sentence
noise
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111517113.5A
Other languages
English (en)
Other versions
CN113961967A (zh
Inventor
杜健
莫冯然
王磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202111517113.5A priority Critical patent/CN113961967B/zh
Publication of CN113961967A publication Critical patent/CN113961967A/zh
Application granted granted Critical
Publication of CN113961967B publication Critical patent/CN113961967B/zh
Priority to PCT/CN2022/125464 priority patent/WO2023109294A1/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Medical Informatics (AREA)
  • Molecular Biology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Machine Translation (AREA)

Abstract

本说明书实施例提供一种基于隐私保护联合训练自然语言处理NLP模型的方法,其中NLP模型包括位于第一方的编码网络和位于第二方的处理网络。根据该方法,第一方获取本地的目标训练语句后,将其输入编码网络,基于所述编码网络的编码输出,形成句子表征向量。然后,在句子表征向量上添加符合差分隐私的目标噪声,得到目标加噪表征。将该目标加噪表征发送至第二方,用于处理网络的训练。

Description

基于隐私保护联合训练自然语言处理模型的方法及装置
技术领域
本说明书一个或多个实施例涉及机器学习领域,尤其涉及一种基于隐私保护联合训练自然语言处理模型的方法及装置。
背景技术
机器学习的迅猛发展使得各种机器学习的模型在各种各样的业务场景得到应用。自然语言处理NLP(natural language processing)是一种常见的机器学习任务,广泛应用于多种业务场景中,例如,用户意图识别,智能客服问答,机器翻译,文本分析分类,等等。针对NLP任务,已经提出了多种神经网络模型和训练方法,来增强其语义理解能力。
可以理解,对于机器学习模型来说,模型预测性能极大地依赖于训练样本的丰富程度和可用程度,为了得到性能更加优异更符合实际业务场景的预测模型,往往需要大量贴合该业务场景的训练样本。针对具体NLP任务的NLP模型更是如此。为了具有丰富的训练数据,提升NLP模型的性能,在一些场景中,提出利用多个数据方的训练数据,共同训练NLP模型。然而,各个数据方本地的训练数据往往包含本地业务对象的隐私,特别是用户隐私,这为多方的联合训练带来安全和隐私方面的挑战。例如,智能问答作为一项具体的下游NLP任务,其训练数据需要大量的问题-答案对。在实际业务场景中,问题常常由用户端提出。然而,用户问题中往往包含用户个人的隐私信息,如果直接将用户端的用户问题发往例如服务端的另一方,可能存在隐私泄露的风险。
因此,希望能有改进的方案,在多方共同训练自然语言处理NLP模型的场景中,保护数据安全和数据隐私。
发明内容
本说明书一个或多个实施例描述了一种联合训练自然语言处理NLP模型的方法及装置,能够在联合训练过程中,保护训练样本提供方的数据隐私安全。
根据第一方面,提供一种基于隐私保护联合训练自然语言处理NLP模型的方法,所述NLP模型包括位于第一方的编码网络和位于第二方的处理网络,所述方法由第一方执行,包括:
获取本地的目标训练语句;
将所述目标训练语句输入所述编码网络,基于所述编码网络的编码输出,形成句子表征向量;
在所述句子表征向量上添加符合差分隐私的目标噪声,得到目标加噪表征;所述目标加噪表征被发送至所述第二方,用于所述处理网络的训练。
根据一种实施方式,获取本地的目标训练语句,具体包括:根据预设的采样概率p,从本地样本总集中进行采样,得到用于当前迭代轮次的样本子集;从所述样本子集中读取所述目标训练语句。
在一种实施方式中,基于所述编码网络的编码输出,形成句子表征向量,具体包括:获取所述编码网络针对所述目标训练语句中各个字符进行编码的字符表征向量;针对所述各个字符的字符表征向量进行基于预设裁剪阈值的裁剪操作,基于裁剪后的字符表征向量形成所述句子表征向量。
进一步的,在上述实施方式的一个实施例中,裁剪操作可以包括:若所述字符表征向量的当前范数值超过所述裁剪阈值,确定所述裁剪阈值与所述当前范数值的比例,将所述字符表征向量按照所述比例进行裁剪。
在上述实施方式的一个实施例中,形成句子表征向量具体可以包括:将所述各个字符的裁剪后的字符表征向量拼接,形成所述句子表征向量。
根据一种实施方式,在添加目标噪声之前,上述方法还包括:根据预设的隐私预算,确定针对所述目标训练语句的噪声功率;在根据所述噪声功率确定的噪声分布中,采样得到所述目标噪声。
在一个实施例中,上述确定针对所述目标训练语句的噪声功率具体包括:根据所述裁剪阈值,确定所述目标训练语句对应的敏感度;根据预设的单句隐私预算和所述敏感度,确定针对所述目标训练语句的噪声功率。
在另一实施例中,上述确定针对所述目标训练语句的噪声功率具体包括:根据预设的用于总迭代轮数T的总隐私预算,确定当前迭代轮次t的目标预算信息;根据所述目标预算信息,确定针对所述目标训练语句的噪声功率。
在以上实施例的一个具体示例中,目标训练语句是从用于当前迭代轮次t的样本子集中依次读取得到的,所述样本子集是根据预设的采样概率p,从本地样本总集中采样得到的;在这样的情况下,确定针对所述目标训练语句的噪声功率具体包括:将所述总隐私预算转换为高斯差分隐私空间中的总隐私参数值;在所述高斯差分隐私空间中,根据所述总隐私参数值、所述总迭代轮数T和所述采样概率p,确定当前迭代轮次t的目标隐私参数值;根据所述目标隐私参数值,所述裁剪阈值,以及所述样本子集中各个训练句子的字符数目,确定所述噪声功率。
更进一步的,当前迭代轮次t的目标隐私参数值可以如下确定:基于在所述高斯差分隐私空间中计算所述总隐私参数值的第一关系式反推出所述目标隐私参数值,所述第一关系式示出,所述总隐私参数值正比于所述采样概率p,所述总迭代轮数T的平方根,并依赖于以自然指数e为底数,以所述目标隐私参数值为指数的幂运算结果。
在不同实施方式中,前述编码网络可以采用以下神经网络之一实现:长短期记忆网络LSTM,双向LSTM,transformer网络。
根据第二方面,提供一种基于隐私保护联合训练自然语言处理NLP模型的装置,所述NLP模型包括位于第一方的编码网络和位于第二方的处理网络,所述装置部署在第一方,包括:
语句获取单元,配置为获取本地的目标训练语句;
表征形成单元,配置为将所述目标训练语句输入所述编码网络,基于所述编码网络的编码输出,形成句子表征向量;
加噪单元,配置为在所述句子表征向量上添加符合差分隐私的目标噪声,得到目标加噪表征;所述目标加噪表征被发送至所述第二方,用于所述处理网络的训练。
根据第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当该计算机程序在计算机中执行时,令计算机执行上述第一方面提供的方法。
根据第四方面,提供了一种计算设备,包括存储器和处理器,存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现上述第一方面提供的方法。
在本说明书实施例提供的联合训练NLP模型的方案中,利用本地差分隐私技术,以训练语句为粒度,进行隐私保护。进一步的,在一些实施例中,通过考虑采样带来的隐私放大,以及训练过程中多轮迭代的隐私成本叠加,更好地设计为进行隐私保护所添加的噪声,使得整个训练过程的隐私成本可控。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出根据一个实施例的联合训练NLP模型的实施架构示意图;
图2示出根据一个实施例进行隐私保护处理的示意图;
图3示出根据一个实施例的基于隐私保护联合训练NLP模型的方法流程示意图;
图4示出根据一个实施例确定当前训练语句的噪声功率的步骤流程;
图5示出根据一个实施例的联合训练NLP模型的装置的结构示意图。
具体实施方式
下面结合附图,对本说明书提供的方案进行描述。
如前所述,在多方共同训练自然语言处理NLP模型的场景中,数据安全和隐私保护是需要关注的问题。如何保护各数据方数据的隐私和安全,同时尽量不影响训练出的NLP模型的预测性能,是一项挑战。
为此,本说明书实施例提出一种联合训练NLP模型的方案,其中利用本地差分隐私技术,以训练语句为粒度,进行隐私保护。进一步的,在一些实施例中,通过考虑采样带来的隐私放大,以及训练过程中多轮迭代的隐私成本叠加,更好地设计为进行隐私保护所添加的噪声,使得整个训练过程的隐私成本可控。
图1示出根据一个实施例的联合训练NLP模型的实施架构示意图。如图1所示,由第一方100和第二方200联合训练执行特定NLP任务的NLP模型。相应的,该NLP模型被划分为编码网络10和处理网络20,编码网络10部署在第一方100,用于对输入文本进行编码,该编码处理可以理解为上游的、通用文本理解任务。处理网络20部署在第二方200,用于对编码后的文本表征进行进一步处理,并执行与特定NLP任务相关的预测。换而言之,处理网络20用于执行下游的、针对特定NLP任务的处理过程。该特定NLP任务例如可以是,智能问答、文本分类、意图识别、情绪识别、机器翻译,等等。
在不同实施例中,上述第一方和第二方,可以是各种数据存储和数据处理设备/平台。在一个实施例中,第一方可以是用户终端设备,第二方是服务器设备,用户终端设备利用其本地采集的用户输入文本,与服务器进行联合训练。在另一例子中,第一方和第二方均为平台型设备,例如,第一方为客服平台,其中采集存储有大量用户问题;第二方为需要训练问答模型的平台,等等。
为训练NLP模型,可选地,第二方200可以首先利用其本地的训练文本数据,对处理网络200进行预训练;然后,联合第一方100,利用第一方100的训练数据进行联合训练。在联合训练过程中,处于上游的第一方100,需要将编码后的文本表征发送给下游的第二方200,使其利用该文本表征继续对处理网络200进行训练。这个过程中,第一方100发送的文本表征,有可能携带用户隐私信息,容易造成隐私泄露风险。尽管已提出一些例如用户匿名化的隐私保护方案,但是,仍然有可能通过反匿名化处理,还原出用户隐私信息。因此,仍需对第一方提供的信息进行隐私保护增强。
为此,根据本说明书的实施例,基于差分隐私的思想,在将用户文本作为训练语料输入编码网络10后,对编码网络10的输出进行隐私保护处理,为其添加满足差分隐私的噪声,得到加噪文本表征,然后将这样的加噪文本表征发送至第二方200。第二方200基于加噪文本表征继续训练处理网络200,并将梯度信息回传,实现两方的联合训练。在以上的联合训练过程中,第一方100所发送的文本表征含有随机噪声,使得第二方200无法获知第一方的训练文本中的隐私信息。并且,根据差分隐私的原理,可以通过设计所添加的噪声幅度,使得联合训练的NLP模型的模型性能受到尽可能小的影响。
图2示出根据一个实施例进行隐私保护处理的示意图。该隐私保护处理在图1所示的第一方100中执行。如图2所示,第一方首先从本地的用户文本数据(作为样本集)中读取一个训练语句作为当前输入文本。可选地,该训练语句可以通过在用户文本数据中采样来获得。然后,第一方将该当前输入文本输入编码网络10,得到编码网络10的编码表征。根据本说明书的实施例,在编码网络10之后,接续隐私处理层11。该隐私处理层11在下文中又简称为DP(差分隐私)层。DP层11是非参数化的网络层,根据预先设定的超参数和算法进行隐私处理,而无需进行调参和训练。在本说明书的实施例中,针对当前训练语句,DP层11根据编码网络10的编码而得到句子表征后,针对该句子表征施加符合差分隐私的噪声,得到加噪表征作为隐私处理后的文本表征发送给第二方,从而以训练语句为粒度,施加隐私保护。
在下文具体描述施加噪声的详细过程之前,首先对差分隐私的基本原理进行简单的介绍。
差分隐私DP(Differential Privacy)是密码学中的一种手段,旨在提供一种当从统计数据库查询时,最大化数据查询的准确性,同时最大限度减少识别其记录的机会。设有随机算法M,PM为M所有可能的输出构成的集合。对于任意两个邻近数据集x和x'(即x和x'仅有一条数据记录不同)以及PM的任何子集
Figure DEST_PATH_IMAGE001
,若随机算法M满足:
Figure 887948DEST_PATH_IMAGE002
(1)
则称算法M提供ε-差分隐私保护,其中参数ε称为隐私保护预算,用于平衡隐私保护程度和准确度。ε通常可以预先设定。ε越接近0,eε越接近1,随机算法对两个邻近数据集x和x'的处理结果越接近,隐私保护程度越强。
实践中,对式(1)示出的严格的ε-差分隐私可以进行一定程度放宽,实现为(ε,δ)差分隐私,即如下式(2)所示:
Figure DEST_PATH_IMAGE003
(2)
其中,δ为松弛项,又称为容忍度,可以理解为不能实现严格差分隐私的概率。
需注意的是,常规的差分隐私DP处理,是由提供数据查询的数据库拥有方执行。在图1所示的场景中,在NLP模型训练好之后,由第二方200提供针对前述特定NLP任务的预测结果查询,因此第二方200作用为提供数据查询的服务方。而根据图1和图2的示意,在本说明书的实施方式中,由第一方100在其本地对语句文本(在模型训练阶段为训练语句,在模型训练好之后的预测使用阶段,则为查询语句)进行隐私保护后,发送给第二方200。因此,上述实施方式是在终端侧进行本地差分隐私LDP(Local Differential Privacy)处理。
差分隐私的实现方式包括,噪声机制、指数机制等。在噪声机制的情况下,一般根据查询函数的敏感度,确定所添加噪声的幅度。上述敏感度表示,该查询函数在一对相邻数据集x和x'查询时其查询结果的最大差异。
在如图2所示的实施例中,利用噪声机制实现差分隐私。具体的,以训练语句为处理粒度,根据编码网络针对训练语句的输出敏感度以及预设的隐私预算,确定噪声功率,进而在句子表征上施加相应的随机噪声而实现差分隐私。由于是在句子的尺度上施加噪声,这意味着,上述实施例中隐私保护的粒度为句子层级。相对于字词粒度的隐私保护,句子粒度的隐私保护方案相当于隐藏或模糊了一整个句子(由一系列字词构成),因此隐私保护程度更强,隐私保护效果更好。
下面结合具体的实施例,描述在第一方中进行隐私保护处理的具体实施步骤。
图3示出根据一个实施例的基于隐私保护联合训练NLP模型的方法流程示意图,其中NLP模型包括位于第一方的编码网络和位于第二方的处理网络,以下步骤流程由其中的第一方执行,该第一方具体可以实现为任何具有计算、处理能力的服务器、装置、平台或设备,例如用户终端设备,平台型设备,等等。下面详细描述图3中的各个流程步骤的具体实施方式。
如图3所示,首先在步骤31,获取本地的目标训练语句。
在一个实施例中,上述目标训练语句是第一方预先采集的训练样本集中的任一训练语句。相应的,第一方可以依次或随机地从该样本集中读取语句,作为上述目标训练语句。
在另一实施例中,考虑到训练所需的多轮迭代过程,在每一迭代轮次中,从本地样本总集中采样出一小批样本(mini-batch),构成该轮次所用的样本子集。上述采样可以基于一个预设的采样概率p进行。这样的采样过程又可称为泊松采样。假定当前处于第t轮迭代过程,相应的,基于上述采样概率p,采样得到了针对当前第t轮迭代的当前样本子集
Figure 593736DEST_PATH_IMAGE004
。在这样的情况下,可以依次从该当前样本子集
Figure 460061DEST_PATH_IMAGE004
中读取语句作为目标训练语句。该目标训练语句可记为x。
可以理解,上述目标训练语句可以是第一方中预先获取到的与业务对象相关的语句,例如,一个用户问句,一句用户聊天记录,一条用户输入文本,或其他有可能涉及业务对象的隐私信息的语句文本。对于训练语句的内容在此不做限定。
接着,在步骤33,将上述目标训练语句输入编码网络,基于编码网络的编码输出,形成句子表征向量。
如前所述,编码网络用于对输入文本进行编码,即执行上游的、通用的文本理解任务。一般地,编码网络可以首先针对目标训练语句中的各个字符(token)(一个字符可以对应一个字,一个词,或者一个标点)进行编码,得到各个字符的字符表征向量;然后基于各个字符表征向量,融合形成句子表征向量。具体实践中,该编码网络可以通过多种神经网络实现。
在一个实施例中,上述编码网络通过长短期记忆LSTM网络实现。在这样的情况下,可以将目标训练语句转化为字符序列,将上述字符序列中的各个字符依次输入该LSTM网络,LSTM网络依次处理各个字符。其中,在任一时刻,LSTM网络根据之前输入字符对应的隐状态和当前输入字符,得到当前输入字符对应的隐状态作为其对应的字符表征向量,从而依次得到各个字符对应的字符表征向量。
在另一个实施例中,上述编码网络通过双向LSTM网络,即BiLSTM实现。在这样的情况下,可以将目标训练语句对应的字符序列按照正向,反向的顺序,分两次输入上述BiLSTM网络,分别得到各个字符正向输入时的第一表征和反向输入时的第二表征。融合同一字符的第一表征和第二表征,可以得到该字符经BiLSTM编码的字符表征向量。
在又一实施例中,上述编码网络通过Transformer网络实现。在这样的情况下,可以将目标训练语句的各个字符连同其位置信息,一并输入Transformer网络。Transformer网络基于注意力机制,对各个字符进行编码,得到各个字符表征向量。
在其他实施例中,上述编码网络还可以采用已有的其他适合进行文本编码的神经网络实现,在此不做限定。
基于各个字符的字符表征向量,可以融合得到该目标训练语句的句子表征向量。根据不同神经网络的特点,可以采用多种方式进行融合。例如,在一个实施例中,可以将各个字符的字符表征向量进行拼接,得到句子表征向量。在另一实施例中,可以基于注意力机制,将各个字符表征向量进行加权组合,得到句子表征向量。
根据一种实施方式,在以上编码网络针对各个字符编码得到字符表征向量之后,可以针对各个字符的字符表征向量进行基于预设裁剪阈值的裁剪操作,基于裁剪后的字符表征向量形成句子表征向量。剪裁操作一方面对字符表征向量,以及进而产生的句子表征向量进行一定程度的模糊化,更重要的是,裁剪操作可以便于衡量编码网络针对训练语句输出的敏感度,从而便于后续隐私成本的计算。
如前所述,在噪声机制中,需根据敏感度来决定噪声功率,其中敏感度表示,查询函数对相邻数据集x和x'查询时其查询结果的最大差异。在编码网络针对训练语句进行编码的场景下,敏感度可以定义为,编码网络针对一对训练语句编码出的句子表征向量之间的最大差异。具体的,用x表示一个训练语句,用f(x)表示编码网络的编码输出,那么f函数的敏感度Δ,可以表示为两个训练语句x和x’的编码输出(句子表征向量)之间的最大差异,即:
Figure DEST_PATH_IMAGE005
(3)
其中,
Figure 251299DEST_PATH_IMAGE006
表示二阶范数。
可以理解,如果对训练语句x的范围没有约束,对编码网络的输出范围没有约束,那么敏感度Δ的准确估计存在一定的困难。因此,在一种实施方式中,针对各个字符的字符表征向量进行裁剪,将其限制在一定范围之内,从而便于上述敏感度的计算。
具体地,在一个实施例中,针对字符表征向量的裁剪操作可以如下进行。假定
Figure DEST_PATH_IMAGE007
表示目标训练语句x中第v个字符的字符表征向量,那么可以判断,该字符表征向量
Figure 126851DEST_PATH_IMAGE007
的当前范数值(例如二阶范数值)是否超过预设的裁剪阈值C,若超过,则根据该裁剪阈值C与当前范数值的比例,对
Figure 421566DEST_PATH_IMAGE007
进行裁剪。
在一个具体例子中,针对字符表征向量
Figure 989951DEST_PATH_IMAGE007
的裁剪过程可以用以下公式(4)表示:
Figure 737327DEST_PATH_IMAGE008
(4)
公式(4)中,CL表示裁剪操作函数,C为裁剪阈值,min为取最小函数。当
Figure DEST_PATH_IMAGE009
小于C时,C与
Figure 947729DEST_PATH_IMAGE009
的比例大于1,min函数取值为1,此时,不对
Figure 831371DEST_PATH_IMAGE007
进行裁剪;当
Figure 39498DEST_PATH_IMAGE009
大于C时,C与
Figure 8591DEST_PATH_IMAGE009
的比例小于1,min函数取值即为该比例,此时,按照该比例对
Figure 960367DEST_PATH_IMAGE007
进行裁剪,也就是将
Figure 698516DEST_PATH_IMAGE007
中所有元素乘以该比例系数。
在一个实施例中,基于各个字符的裁剪后的字符表征向量的拼接,形成句子表征向量。
在进行上述裁剪的情况下,如果训练语句x中包含n个字符,那么,编码网络输出的敏感度可以表示为:
Figure 343124DEST_PATH_IMAGE010
(5)
可以理解,裁剪阈值C是预先设定的一个超参数。该裁剪阈值C数值越小,敏感度越小,后续需要添加的噪声功率越小。然而,另一方面,C值越小意味着裁剪幅度越大,这有可能影响字符表征向量的语义信息,进而影响编码网络的性能。因此,可以通过设置适当的裁剪阈值C的大小,来对以上两个因素进行权衡。
在步骤33形成句子表征向量的基础上,在步骤35,在上述句子表征向量上添加符合差分隐私的目标噪声,得到目标加噪表征;该目标加噪表征后续会发送至第二方,用于第二方中下游的处理网络的训练。实际操作中,第一方可以在每得到一个训练语句的加噪表征后,就将其发送给第二方;也可以获取一小批训练语句的加噪表征后,一并发送给第二方,在此不做限定。
可以理解,为实现差分隐私保护,上述目标噪声的确定至关重要。根据一种实施方式,在步骤35之前,该方法还包括确定目标噪声的步骤34。该步骤34可以包括,首先在步骤341,根据预设的隐私预算,确定针对上述目标训练语句的噪声功率(或者分布方差);然后在步骤342,根据噪声功率确定的噪声分布中,采样得到上述目标噪声。在不同例子中,上述目标噪声可以是满足ε-差分隐私的拉普拉斯噪声,或者满足(ε,δ)差分隐私的高斯噪声,等等。目标噪声的确定和添加,可以有多种不同实现方式。
在一个实施例中,基于裁剪后的字符表征向量形成句子表征向量,在该句子表征向量上添加符合(ε,δ)差分隐私的高斯噪声。在该实施例中,得到的目标加噪表征可以表示为:
Figure DEST_PATH_IMAGE011
(6)
其中,CL(f(x))表示基于裁剪操作CL后的字符表征向量形成的句子表征向量,
Figure 65092DEST_PATH_IMAGE012
表示均值为0,方差为
Figure DEST_PATH_IMAGE013
的高斯分布。
Figure 882875DEST_PATH_IMAGE014
或σ又可称为噪声功率。根据该公式(6),对于目标训练语句x来说,在确定出其噪声功率
Figure DEST_PATH_IMAGE015
后,就可以在基于噪声功率形成的高斯分布中采样出随机噪声,将其叠加在句子表征向量上,得到目标加噪表征。
在不同实施例中,可以通过不同方式确定出上述目标训练语句对应的噪声功率
Figure 537848DEST_PATH_IMAGE015
,即执行步骤341。
在一个例子中,预先针对单个(例如第i个)训练语句设置隐私预算(εii)。在这样的情况下,可以根据针对上述目标训练语句设定的隐私预算和敏感度Δ,确定出噪声功率
Figure 353357DEST_PATH_IMAGE015
。其中,敏感度可以例如按照前述公式(5)根据裁剪阈值C和目标训练语句的字符数而确定。
在一个实施例中,考虑隐私成本的叠加,针对整体训练过程设置总隐私预算。隐私成本的叠加(composition)是指,在诸如NLP处理和模型训练的多步骤处理过程中,需要基于隐私数据集执行一系列的计算步骤,每个计算步骤潜在地基于利用同一隐私数据集的前一计算步骤的计算结果。即使每个步骤i以隐私成本(εii)进行DP隐私保护,当诸多步骤组合在一起时,所有步骤的整体则可能导致隐私保护效果的严重降级。具体的,在NLP模型的训练过程中,模型往往要经历许多轮次的迭代,例如几千轮次。即使针对单个轮次、单个训练语句的隐私预算被设置的非常小,在经过上千次迭代后,常常也会引起隐私成本***的现象。
为此,在一种实施方式中,假定NLP模型的总迭代轮数为T,针对包含T轮迭代的整体训练过程设置总隐私预算(εtottot)。根据该总隐私预算,确定当前迭代轮次t的目标预算信息,再根据该目标预算信息,得到针对当前的目标训练语句的噪声功率。
具体的,在一些实施例中,可以根据迭代步骤之间的关系,将总隐私预算(εtottot)分配给各个迭代轮次,从而得到当前迭代轮次t的隐私预算,据此确定当前目标训练语句的噪声功率。
进一步的,在一个实施例中,还考虑采样过程引起的差分隐私DP放大对隐私保护程度的影响。直观地,当一个样本根本没有包含在采样的样本集中时,该样本是完全保密的,由此带来的效应即为隐私放大。如前所述,在一些实施例中,在每一迭代轮次中,以采样概率p从本地样本集中采样出一小批样本作为本轮的样本子集。一般地,该采样概率p远小于1。由此,每一轮次的采样过程将会带来DP放大。
为了综合考虑隐私叠加和采样造成的DP放大的影响而更好地计算总隐私预算的分配,在一个实施例中,将(ε,δ)空间中的隐私预算映射至其对偶空间:高斯差分隐私空间,从而便于隐私分配的计算。
高斯差分隐私是2019年发表的论文“Gaussian Differential Privacy”中提出的概念。根据该论文,为了衡量隐私损失,引入了平衡函数T(trade-off function)。假定某个随机机制M,作用在两个相邻数据集S和S’上,得到的概率分布函数记为P和Q,基于P和Q进行假设检验,假定Ф为假设检验下的一个拒绝规则。基于此,定义P和Q的平衡函数为:
Figure 297042DEST_PATH_IMAGE016
(7)
其中,
Figure DEST_PATH_IMAGE017
Figure 393217DEST_PATH_IMAGE018
分别表示在拒绝规则Ф下假设检验的第一类错误率和第二类错误率。由此,该平衡函数T可以得到上述假设检验下第一类错误率和第二类错误率的和值的最小值,即最小错误和。T函数值越大,两个分布P和Q之间越难以区分。
基于以上定义,当随机机制M满足,平衡函数T取值大于一个连续凸函数f的取值,即
Figure DEST_PATH_IMAGE019
,此时,称随机机制M满足f差分隐私,即f-DP。可以证明,f-DP的隐私表征空间,形成(ε,δ)-DP表征空间的对偶空间。
进一步地,在f-DP的范围中,提出了非常重要的一种隐私刻画机制,即高斯差分隐私GDP(Gaussian differential privacy)。高斯差分隐私通过将上式中的函数f取特殊形式而得到,该特殊形式即为,均值为0方差为1的高斯分布和均值为μ方差为1的高斯分布之间的T函数值,即:
Figure 371538DEST_PATH_IMAGE020
。即,如果随机算法M满足:
Figure DEST_PATH_IMAGE021
,则称其符合高斯差分隐私GDP,记为Gμ-DP,或μ-GDP。
可以理解,在高斯差分隐私GDP的度量空间中,隐私损失通过参数μ衡量。并且,作为f-DP族中的一类,高斯差分隐私GDP表征空间可以视为f-DP表征空间的子空间,同样作为(ε,δ)-DP表征空间的对偶空间。
高斯差分隐私GDP空间中的隐私度量,和(ε,δ)-DP表征空间可以通过以下公式(8)互相转化:
Figure 357948DEST_PATH_IMAGE022
(8)
Figure DEST_PATH_IMAGE023
(9)
其中,
Figure 320088DEST_PATH_IMAGE024
是标准正态分布的积分,即:
Figure DEST_PATH_IMAGE025
在高斯差分隐私GDP的度量空间中,隐私叠加具有非常简洁的计算形式。假定n个步骤均满足GDP,其且μ值分别为μ1, μ2,…, μn。根据GDP的原理,该n个步骤的叠加结果仍然满足GDP,即:
Figure 479674DEST_PATH_IMAGE026
Figure 578080DEST_PATH_IMAGE027
,并且,叠加结果的μ值为
Figure 735392DEST_PATH_IMAGE028
结合到图3所示的流程中。假定当前进行到第t轮迭代,
Figure DEST_PATH_IMAGE029
表示针对当前第t轮迭代采样的样本子集,
Figure 184828DEST_PATH_IMAGE030
表示该样本子集中训练语句的数目。
Figure DEST_PATH_IMAGE031
表示该样本子集中第k个句子,
Figure 616946DEST_PATH_IMAGE032
表示该句子中的字符数目。那么,根据前述公式(5),该句子对应的敏感度可表示为:
Figure DEST_PATH_IMAGE033
(10)
结合公式(9)和(10),可以假定针对该第k个句子的噪声添加处理满足
Figure 304279DEST_PATH_IMAGE034
。根据前述GDP空间中的叠加原理,在针对第t轮的样本子集中的各个训练句子分别执行满足GDP的噪声处理后,叠加的结果依然满足GDP,且其μ值为:
Figure DEST_PATH_IMAGE035
(11)
以上得出了一轮迭代的隐私叠加损失μtrain。然而,NLP模型的训练要历经多轮迭代,在每轮迭代重新采样的情况下,考虑到采样的隐私放大效应,各轮迭代之间不再适用以上叠加原理。通过对GDP空间中采样概率p引起的隐私放大进行研究,可以得到GDP空间中的中心极限定理,即,在各轮迭代的隐私参数值均为μtrain的情况下,当迭代轮次T足够大(趋于无穷)时,T次迭代后的总隐私参数值满足以下关系式(12):
Figure 898072DEST_PATH_IMAGE036
(12)
上述关系式示出,总隐私参数值
Figure DEST_PATH_IMAGE037
正比于采样概率p(公式12中记为ptrain),总迭代轮数T的平方根,并依赖于以自然指数e为底数,以单轮迭代的隐私参数值μtrain为指数的幂运算结果。
由此,综合以上(8)-(12),可以通过GDP空间,计算分配给当前轮次t以及当前的目标训练语句的隐私预算,从而确定出其噪声功率。具体的,假定针对总迭代轮次T次的整体训练过程设置总隐私预算(εtottot)。可以根据图4示出的步骤,确定出当前的目标训练语句的噪声功率。
图4示出根据一个实施例确定当前训练语句的噪声功率的步骤流程。可以理解,图4的步骤流程可以理解为图3中步骤341的子步骤。如图4所示,首先,在步骤41,可以将该(ε,δ)空间中表示的总隐私预算(εtottot)转换到GDP空间,得到T次迭代后的总隐私参数值
Figure 834804DEST_PATH_IMAGE037
。上述转化可以根据前述公式(8)进行。
然后,在步骤42,利用中心极限定理下的关系式(12),反推出单轮迭代的隐私参数值μtrain。具体地,根据上述关系式(12),可以基于总隐私参数值
Figure 867351DEST_PATH_IMAGE037
、总迭代轮数T和采样概率p,计算得到隐私参数值μtrain,作为当前迭代轮次t的目标隐私参数值。
接着,在步骤43,基于目标隐私参数值μtrain,前述裁剪阈值C,以及当前样本子集中各个训练句子的字符数目,确定噪声功率
Figure 674770DEST_PATH_IMAGE038
。具体的,根据公式(11),可以得到当前迭代轮次t适用的噪声功率:
Figure DEST_PATH_IMAGE039
(13)
根据公式(13),该噪声功率是针对第t轮迭代的样本子集计算的,因此,不同迭代轮次对应于不同的噪声功率,同一迭代轮次(如第t轮迭代)的样本子集中的任一训练语句共享同一噪声功率。由此,根据目标训练语句所在的迭代轮次的样本子集,确定出对应的噪声功率
Figure 439463DEST_PATH_IMAGE038
于是,就可以在基于该噪声功率形成的高斯分布中采样出随机噪声,将其叠加在句子表征向量上,得到目标加噪表征,如前述公式(6)所示。通过该方式确定的噪声,可以满足在T次迭代后,隐私损失满足预设的总隐私预算(εtottot)。
回顾以上总体过程,在本说明书实施例的联合训练NLP模型的过程中,处于上游的第一方利用本地差分隐私技术,以训练语句为粒度,进行隐私保护。进一步的,在一些实施例中,通过考虑采样带来的隐私放大,以及训练过程中多轮迭代的隐私成本叠加,在高斯差分隐私GDP空间中精确计算每轮迭代中为进行隐私保护所添加的噪声,使得整个训练过程的总隐私成本可控,更好地实现隐私保护。
另一方面,与上述联合训练的相对应的,本说明书实施例还披露一种基于隐私保护联合训练NLP模型的装置,其中所述NLP模型包括位于第一方的编码网络和位于第二方的处理网络。图5示出根据一个实施例的联合训练NLP模型的装置的结构示意图,该装置部署在前述第一方中,该第一方可以实现为任何具有计算、处理能力的计算单元、平台、服务器、设备等。如图5所示,该装置500包括:
语句获取单元51,配置为获取本地的目标训练语句;
表征形成单元53,配置为将所述目标训练语句输入所述编码网络,基于所述编码网络的编码输出,形成句子表征向量;
加噪单元55,配置为在所述句子表征向量上添加符合差分隐私的目标噪声,得到目标加噪表征;所述目标加噪表征被发送至所述第二方,用于所述处理网络的训练。
根据一种实施方式,所述语句获取单元51配置为:根据预设的采样概率p,从本地样本总集中进行采样,得到用于当前迭代轮次的样本子集;从所述样本子集中读取所述目标训练语句。
在一种实施方式中,所述表征形成单元53配置为:获取所述编码网络针对所述目标训练语句中各个字符进行编码的字符表征向量;针对所述各个字符的字符表征向量进行基于预设裁剪阈值的裁剪操作,基于裁剪后的字符表征向量形成所述句子表征向量。
进一步的,在上述实施方式的一个实施例中,所述表征形成单元53实施的裁剪操作具体包括:若所述字符表征向量的当前范数值超过所述裁剪阈值,确定所述裁剪阈值与所述当前范数值的比例,将所述字符表征向量按照所述比例进行裁剪。
在上述实施方式的一个实施例中,所述表征形成单元53具体配置为:将所述各个字符的裁剪后的字符表征向量拼接,形成所述句子表征向量。
根据一种实施方式,该装置500,还包括噪声确定单元54,具体包括:
噪声功率确定模块541,配置为根据预设的隐私预算,确定针对所述目标训练语句的噪声功率;
噪声采样模块542,配置为在根据所述噪声功率确定的噪声分布中,采样得到所述目标噪声。
在一个实施例中,所述噪声功率确定模块541配置为:根据所述裁剪阈值,确定所述目标训练语句对应的敏感度;根据预设的单句隐私预算和所述敏感度,确定针对所述目标训练语句的噪声功率。
在另一实施例中,所述噪声功率确定模块541配置为:根据预设的用于总迭代轮数T的总隐私预算,确定当前迭代轮次t的目标预算信息;根据所述目标预算信息,确定针对所述目标训练语句的噪声功率。
在以上实施例的一个具体示例中,所述目标训练语句是从用于当前迭代轮次t的样本子集中依次读取得到的,所述样本子集是根据预设的采样概率p,从本地样本总集中采样得到的;在这样的情况下,所述噪声功率确定模块541具体配置为:将所述总隐私预算转换为高斯差分隐私空间中的总隐私参数值;在所述高斯差分隐私空间中,根据所述总隐私参数值、所述总迭代轮数T和所述采样概率p,确定当前迭代轮次t的目标隐私参数值;根据所述目标隐私参数值,所述裁剪阈值,以及所述样本子集中各个训练句子的字符数目,确定所述噪声功率。
更进一步的,所述噪声功率确定模块541具体配置为:基于在所述高斯差分隐私空间中计算所述总隐私参数值的第一关系式反推出所述目标隐私参数值,所述第一关系式示出,所述总隐私参数值正比于所述采样概率p,所述总迭代轮数T的平方根,并依赖于以自然指数e为底数,以所述目标隐私参数值为指数的幂运算结果。
在不同实施方式中,前述编码网络可以采用以下神经网络之一实现:长短期记忆网络LSTM,双向LSTM,transformer网络。
通过以上装置,第一方实现在隐私保护的情况下,与第二方联合训练NLP模型。
根据另一方面的实施例,还提供一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行结合图3所描述的方法。
根据再一方面的实施例,还提供一种计算设备,包括存储器和处理器,该存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现结合图3所描述的方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。

Claims (12)

1.一种基于隐私保护联合训练自然语言处理NLP模型的方法,所述NLP模型包括位于第一方的编码网络和位于第二方的处理网络,所述方法由第一方执行,包括:
获取本地的目标训练语句;
将所述目标训练语句输入所述编码网络,基于所述编码网络的编码输出,形成句子表征向量;
根据预设的隐私预算,确定针对所述目标训练语句的噪声功率;
在根据所述噪声功率确定的噪声分布中,采样得到符合差分隐私的目标噪声;
在所述句子表征向量上添加所述目标噪声,得到目标加噪表征;所述目标加噪表征被发送至所述第二方,用于所述处理网络的训练。
2.根据权利要求1所述的方法,其中,获取本地的目标训练语句,包括:
根据预设的采样概率p,从本地样本总集中进行采样,得到用于当前迭代轮次的样本子集;
从所述样本子集中读取所述目标训练语句。
3.根据权利要求1所述的方法,其中,基于所述编码网络的编码输出,形成句子表征向量,包括:
获取所述编码网络针对所述目标训练语句中各个字符进行编码的字符表征向量;
针对所述各个字符的字符表征向量进行基于预设裁剪阈值的裁剪操作,基于裁剪后的字符表征向量形成所述句子表征向量。
4.根据权利要求3所述的方法,其中,所述基于预设裁剪阈值的裁剪操作包括:
若所述字符表征向量的当前范数值超过所述裁剪阈值,确定所述裁剪阈值与所述当前范数值的比例,将所述字符表征向量按照所述比例进行裁剪。
5.根据权利要求3所述的方法,其中,基于裁剪后的字符表征向量形成所述句子表征向量,包括:
将所述各个字符的裁剪后的字符表征向量拼接,形成所述句子表征向量。
6.根据权利要求3所述的方法,其中,根据预设的隐私预算,确定针对所述目标训练语句的噪声功率,包括:
根据所述裁剪阈值,确定所述目标训练语句对应的敏感度;
根据预设的单句隐私预算和所述敏感度,确定针对所述目标训练语句的噪声功率。
7.根据权利要求3所述的方法,其中,根据预设的隐私预算,确定针对所述目标训练语句的噪声功率,包括:
根据预设的用于总迭代轮数T的总隐私预算,确定当前迭代轮次t的目标预算信息;
根据所述目标预算信息,确定针对所述目标训练语句的噪声功率。
8.根据权利要求7所述的方法,其中,所述目标训练语句是从用于当前迭代轮次t的样本子集中依次读取得到的,所述样本子集是根据预设的采样概率p,从本地样本总集中采样得到的;
所述确定当前迭代轮次t的目标预算信息,包括:
将所述总隐私预算转换为高斯差分隐私空间中的总隐私参数值;
在所述高斯差分隐私空间中,根据所述总隐私参数值、所述总迭代轮数T和所述采样概率p,确定当前迭代轮次t的目标隐私参数值;
根据所述目标预算信息,确定针对所述目标训练语句的噪声功率,包括:
根据所述目标隐私参数值,所述裁剪阈值,以及所述样本子集中各个训练句子的字符数目,确定所述噪声功率。
9.根据权利要求8所述的方法,其中,确定当前迭代轮次t的目标隐私参数值,包括:
基于在所述高斯差分隐私空间中计算所述总隐私参数值的第一关系式反推出所述目标隐私参数值,所述第一关系式示出,所述总隐私参数值正比于所述采样概率p,所述总迭代轮数T的平方根,并依赖于以自然指数e为底数,以所述目标隐私参数值为指数的幂运算结果。
10.根据权利要求1所述的方法,其中,所述编码网络采用以下神经网络之一实现:
长短期记忆网络LSTM,双向LSTM,transformer网络。
11.一种基于隐私保护联合训练自然语言处理NLP模型的装置,所述NLP模型包括位于第一方的编码网络和位于第二方的处理网络,所述装置部署在第一方,包括:
语句获取单元,配置为获取本地的目标训练语句;
表征形成单元,配置为将所述目标训练语句输入所述编码网络,基于所述编码网络的编码输出,形成句子表征向量;
噪声确定单元,具体包括:噪声功率确定模块,配置为根据预设的隐私预算,确定针对所述目标训练语句的噪声功率;噪声采样模块,配置为在根据所述噪声功率确定的噪声分布中,采样得到符合差分隐私的目标噪声;
加噪单元,配置为在所述句子表征向量上添加所述目标噪声,得到目标加噪表征;所述目标加噪表征被发送至所述第二方,用于所述处理网络的训练。
12.一种计算设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-10中任一项所述的方法。
CN202111517113.5A 2021-12-13 2021-12-13 基于隐私保护联合训练自然语言处理模型的方法及装置 Active CN113961967B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111517113.5A CN113961967B (zh) 2021-12-13 2021-12-13 基于隐私保护联合训练自然语言处理模型的方法及装置
PCT/CN2022/125464 WO2023109294A1 (zh) 2021-12-13 2022-10-14 基于隐私保护联合训练自然语言处理模型的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111517113.5A CN113961967B (zh) 2021-12-13 2021-12-13 基于隐私保护联合训练自然语言处理模型的方法及装置

Publications (2)

Publication Number Publication Date
CN113961967A CN113961967A (zh) 2022-01-21
CN113961967B true CN113961967B (zh) 2022-03-22

Family

ID=79473206

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111517113.5A Active CN113961967B (zh) 2021-12-13 2021-12-13 基于隐私保护联合训练自然语言处理模型的方法及装置

Country Status (2)

Country Link
CN (1) CN113961967B (zh)
WO (1) WO2023109294A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113961967B (zh) * 2021-12-13 2022-03-22 支付宝(杭州)信息技术有限公司 基于隐私保护联合训练自然语言处理模型的方法及装置
CN114547687A (zh) * 2022-02-22 2022-05-27 浙江星汉信息技术股份有限公司 基于差分隐私技术的问答***模型训练方法和装置
CN115640611B (zh) * 2022-11-25 2023-05-23 荣耀终端有限公司 一种自然语言处理模型的更新方法及相关设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112199717A (zh) * 2020-09-30 2021-01-08 中国科学院信息工程研究所 一种基于少量公共数据的隐私模型训练方法及装置
CN112257876A (zh) * 2020-11-15 2021-01-22 腾讯科技(深圳)有限公司 联邦学习方法、装置、计算机设备及介质
CN112862001A (zh) * 2021-03-18 2021-05-28 中山大学 一种隐私保护下的去中心化数据建模方法
CN112966298A (zh) * 2021-03-01 2021-06-15 广州大学 一种复合隐私保护方法、***、计算机设备及存储介质
CN113408743A (zh) * 2021-06-29 2021-09-17 北京百度网讯科技有限公司 联邦模型的生成方法、装置、电子设备和存储介质
CN113435583A (zh) * 2021-07-05 2021-09-24 平安科技(深圳)有限公司 基于联邦学习的对抗生成网络模型训练方法及其相关设备
CN113688855A (zh) * 2020-05-19 2021-11-23 华为技术有限公司 数据处理方法、联邦学习的训练方法及相关装置、设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210049298A1 (en) * 2019-08-14 2021-02-18 Google Llc Privacy preserving machine learning model training
US11941520B2 (en) * 2020-01-09 2024-03-26 International Business Machines Corporation Hyperparameter determination for a differentially private federated learning process
US11763093B2 (en) * 2020-04-30 2023-09-19 Arizona Board Of Regents On Behalf Of Arizona State University Systems and methods for a privacy preserving text representation learning framework
US20210374605A1 (en) * 2020-05-28 2021-12-02 Samsung Electronics Company, Ltd. System and Method for Federated Learning with Local Differential Privacy
CN112101946B (zh) * 2020-11-20 2021-02-19 支付宝(杭州)信息技术有限公司 联合训练业务模型的方法及装置
CN113282960B (zh) * 2021-06-11 2023-02-17 北京邮电大学 一种基于联邦学习的隐私计算方法、装置、***及设备
CN113626854B (zh) * 2021-07-08 2023-10-10 武汉大学 一种基于本地化差分隐私的图像数据隐私保护方法
CN113642717B (zh) * 2021-08-31 2024-04-02 西安理工大学 一种基于差分隐私的卷积神经网络训练方法
CN113961967B (zh) * 2021-12-13 2022-03-22 支付宝(杭州)信息技术有限公司 基于隐私保护联合训练自然语言处理模型的方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113688855A (zh) * 2020-05-19 2021-11-23 华为技术有限公司 数据处理方法、联邦学习的训练方法及相关装置、设备
CN112199717A (zh) * 2020-09-30 2021-01-08 中国科学院信息工程研究所 一种基于少量公共数据的隐私模型训练方法及装置
CN112257876A (zh) * 2020-11-15 2021-01-22 腾讯科技(深圳)有限公司 联邦学习方法、装置、计算机设备及介质
CN112966298A (zh) * 2021-03-01 2021-06-15 广州大学 一种复合隐私保护方法、***、计算机设备及存储介质
CN112862001A (zh) * 2021-03-18 2021-05-28 中山大学 一种隐私保护下的去中心化数据建模方法
CN113408743A (zh) * 2021-06-29 2021-09-17 北京百度网讯科技有限公司 联邦模型的生成方法、装置、电子设备和存储介质
CN113435583A (zh) * 2021-07-05 2021-09-24 平安科技(深圳)有限公司 基于联邦学习的对抗生成网络模型训练方法及其相关设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Privacy-Preserving Decentralized Aggregation for Federated Learning;Beomyeol Jeon et al.;《IEEE INFOCOM 2021 - IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS)》;20210719;全文 *
Selective Differential Privacy for Language Modeling;Weiyan Shi et al.;《https://arxiv.org/abs/2108.12944》;20210830;全文 *
联邦学习中的隐私保护研究进展;杨庚等;《南京邮电大学学报(自然科学版)》;20201031;第4卷(第5期);全文 *

Also Published As

Publication number Publication date
CN113961967A (zh) 2022-01-21
WO2023109294A1 (zh) 2023-06-22

Similar Documents

Publication Publication Date Title
CN113961967B (zh) 基于隐私保护联合训练自然语言处理模型的方法及装置
CN108052512B (zh) 一种基于深度注意力机制的图像描述生成方法
WO2021218828A1 (zh) 基于差分隐私的异常检测模型的训练
Enzinger et al. A demonstration of the application of the new paradigm for the evaluation of forensic evidence under conditions reflecting those of a real forensic-voice-comparison case
US20200134449A1 (en) Training of machine reading and comprehension systems
Lévy‐Leduc et al. Robust estimation of the scale and of the autocovariance function of Gaussian short‐and long‐range dependent processes
CN111930914B (zh) 问题生成方法和装置、电子设备以及计算机可读存储介质
US20220207352A1 (en) Methods and systems for generating recommendations for counterfactual explanations of computer alerts that are automatically detected by a machine learning algorithm
GB2573998A (en) Device and method for natural language processing
CN111669366A (zh) 一种本地化差分隐私数据交换方法及存储介质
Shao et al. Computation and characterization of autocorrelations and partial autocorrelations in periodic ARMA models
CN109377532B (zh) 基于神经网络的图像处理方法及装置
CN111814489A (zh) 口语语义理解方法及***
Cui et al. A unified performance analysis of likelihood-informed subspace methods
CN111353554B (zh) 预测缺失的用户业务属性的方法及装置
CN110704597A (zh) 对话***可靠性校验方法、模型生成方法及装置
JP7205640B2 (ja) 学習方法、学習プログラム、および学習装置
WO2024059334A1 (en) System and method of fine-tuning large language models using differential privacy
Yau et al. Likelihood inference for discriminating between long‐memory and change‐point models
JP7205641B2 (ja) 学習方法、学習プログラム、および学習装置
CN116204786B (zh) 生成指定故障趋势数据的方法和装置
Matza et al. Skew Gaussian mixture models for speaker recognition
CN112487136A (zh) 文本处理方法、装置、设备以及计算机可读存储介质
Derennes et al. Nonparametric importance sampling techniques for sensitivity analysis and reliability assessment of a launcher stage fallout
CN111368337B (zh) 保护隐私的样本生成模型构建、仿真样本生成方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant