CN115021900A

CN115021900A - 分布式梯度提升决策树实现全面隐私保护的方法

Info

Publication number: CN115021900A
Application number: CN202210511251.0A
Authority: CN
Inventors: 李洪伟; 袁帅; 钱心缘; 郝猛; 翟一晓
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2022-05-11
Filing date: 2022-05-11
Publication date: 2022-09-06
Anticipated expiration: 2042-05-11
Also published as: CN115021900B

Abstract

本发明提出一种分布式梯度提升决策树实现全面隐私保护的方法，它使用差分隐私DP和全同态加密FHE来实现全面的隐私保护。在训练阶段，数据所有者向不受信任的服务器发送受DP保护的训练树，而不是加密数据。在预测阶段，使用FHE将用户的查询数据和预测结果隐藏在服务器中。为了进一步提高预测效率，该框架提出了一个对FHE友好的多项式近似计算，这样就可以有效地实现开销巨大的比较操作。与目前的隐私保护工作相比，该框架实现了低运行时间和与非隐私保护方案相当的通信开销，同时仅有一小部分的性能损失。

Description

分布式梯度提升决策树实现全面隐私保护的方法

技术领域

本发明设计信息安全技术领域，具体涉及分布式梯度提升决策树隐私保护技术。

技术背景

最近，许多科技公司如谷歌和微软提供机器学习服务MLaaS，以提供自动训练和预测服务。如图1所示，这是个典型的MLaaS场景，即服务器Sever希望使用数据所有者DataOwner提供的数据建立一个梯度提升决策树GBDT模型，并为接收查询用户User发送的查询样本Testing data提供预测Predictions服务。然而，这种模式会导致严重的隐私问题，例如将敏感的训练数据和查询样本泄露给不受信任的服务器。

为了缓解这样的问题，一些工作已经探索了设计保护隐私的决策树方法，但是现有的隐私保护决策树框架要么增加了大量的开销，要么没有实现对样本、预测结果和中间值的全面隐私保护。因此，迫切需要设计一种高效、私密的分布式决策树方案，为训练和预测阶段提供全面的隐私保护。

发明内容

本发明要解决的技术问题是，提供一种端到端分布式梯度提升决策树框架从而为分布式GBDT训练和预测阶段提供全面隐私保护的方法。

本发明为解决上述技术问题所采用的技术方案是，分布式梯度提升决策树实现全面隐私保护的方法，包括以下步骤：

训练阶段:

每个客户端在本地训练满足差分隐私DP定义的梯度提升决策树GBDT；在训练阶段，通过DP来实现训练数据的隐私保护；

各客户端使用多项式近似的方法将GBDT转换为对应多项式近似树PAT，并将PAT发送给服务器；

预测阶段:

用户端生成公私钥对，将公钥加密之后的查询数据以及公钥发送给服务器；通过公钥加密来实现查询数据的隐私保护；

服务器使用全同态加密FHE将加密之后的查询数据在每个PAT上进行预测得到预测结果并发送给用户端；查询结果的隐私通过FHE和多项式近似实现；

用户端解密预测结果，对于分类问题，在预测结果中选择众数作为最终结果；对于回归问题，在预测结果中选择平均值作为最终结果。

本发明提出一种结合GBDT、DP、FHE以及多项式近似的隐私保护框架，在训练阶段和预测阶段都不同于现有的隐私保护方法。

梯度提升决策树GBDT是一种现有集合机器学习算法，以顺序的方式训练一些决策树作为基础学习者。GBDT包括两个主要步骤：在每个数据集上局部训练一棵回归树(弱学习器)；然后按特殊顺序将它们提升为一组树。

本发明的有益效果是：能够提供完整的隐私保护；降低了通信和计算开销；能够抵御恶意的服务器，并且只有一小部分性能的损失。

附图说明

图1为MLaaS的场景示意图；

图2为实施例流程示意图；

图3为基于PAT树的密文预测示意图。

具体实施方式

如图2所示，本发明方法包括步骤：

(1)n个客户端在本地数据集上使用差分隐私DP训练自身的梯度提升决策树，分别得到

在训练时加入差分隐私噪声DP-noise。

(2)各个客户端需要将他们的Local GBDT的非叶子节点node^k应用多项式近似PA，将GBDT转换成多项式近似树PATP₁，P₂，…，P_n。

(3)n个客户端将各自的多项式近似树P₁，P₂，…，P_n并发送到服务器Server上。

(4)服务器收集所有客户端的多项式近似树{P_i}，i＝1,2,…,n。

(5)当用户User想获取其私人数据Testing data的预测结果时，用户在本地生成公钥和私钥(pk，sk)，用公钥pk加密预测数据得到ciphertext。

(6)用户将(ciphertext，pk)发送到服务器。

(7)服务器将接收到的ciphertext用全同态加密FHE在每一个P_i上进行预测得到预测结果E_pk(R_i)＝FHE_pk(P_i,ciphertext)，再将n个多项式近似树的预测结果Result_p＝(E_pk(R₁),E_pk(R₂),…,E_pk(R_n))输出至用户。全同态加密需要用到公钥pk才能进行密文之间或密文和明文之间的运算。

(8)用户解密预测结果Decrypt Result＝mode(D_sk(R₁),E_pk(R₂),…,E_pk(R_n))，最终选取众数作为最终的预测结果，mode为求众数函数。

客户端训练过程:

首先，我们需要在训练阶段保护数据所有者的本地数据。许多解决方案选择对本地数据进行加密，并在服务器端进行训练，但这给服务器带来了巨大的负担，并且有很高的通信开销。为了解决这个问题，数据所有者在本地训练他们的模型，并将受DP保护的模型分享给服务器，而不是传输加密的数据集。

受DPBoost(一种DP和GBDT的结合方法)的启发，我们在训练过程中加入差分隐私噪声DP-noise来保护每个决策树的节点隐私。加入DP-noise的操作和DPBoost是一致的，本质就是对非叶子节点和叶子节点加入不同的噪声。

约束敏感性和有效的隐私预算分配是训练过程的主要技术。对于敏感度的约束，与DPBoost类似，我们使用基于梯度的数据过滤GDF和geometric叶剪GLC技术对数据集进行预处理，根据DP的定义严格推导出敏感度，而不是估计范围，这使得敏感度约束更加紧凑。对于隐私预算分配，在选择分割值时采用指数机制，在向叶子中注入随机噪声时采用拉普拉斯机制。

比较函数的转换:

在每个客户端得到满足ε-差分隐私的GBDT以后，当密码文本数据下进行预测时，GBDT会非常耗时。其主要原因是在非叶子节点上的比较功能。在许多分布式工作中，比较函数的处理是使用安全的多方计算完成的，但这不仅引入了可信的第三方，而且还需要大量的额外开销。因此，我们探索将比较函数转换为多项式。

首先，我们假设数据被归一化到区间[-1,1]。然后，我们使用最小均方误差来寻找阶梯函数的低度多项式近似PA，最终将比较函数转换为a₀+a₁x+a₂x²+…+a_nxⁿ，我们通过找到均方的分析解来获得近似多项式的系数，即(a₀,a₁,…,a_n)。下面我们将对多项式近似方法做详细介绍。

假设一个比较函数I，当x≥0时，I(x)＝1，否则I(x)＝0。则多项式函数将是以下优化问题φ的解p：

其中P_n是实数上最多为n度的多项式函数的集合。设I(x)的多项式近似函数如下：

y＝β₀+β₁x+β₂x²+…+β_nxⁿ

其中β_i，i＝1,2,…,n，是多项式的系数，n是多项式的度数。对于m个多项式样本，我们可以写出m个线性方程(m≥n)。所以最后的优化问题φ的矩阵表达式表示为：

其中X是多项式样本矩阵，β是多项式的系数矩阵，Y代表比较函数的真实值，即0或1，||||₂为2范数。

上述方程展开可得：

对β进行求导可得：

让上述方程的结果等于0，得到：

β＝(X^TX)^-1X^TY

上述方程是最小均值法的解析解，它是一个全局最优解。我们使用L2正则化将分析解变成以下形式：

β＝(X^TX+λE)^-1X^TY

其中λ是人为设置的参数，E是一个n×n-维的单位矩阵。最后，得到近似多项式的系数β。

通过对GBDT的非叶子节点应用多项式近似，将得到近似多项式的系数作为非叶子节点的属性，再删除非叶子节点的阈值信息，从而完成GBDT到多项式近似树PAT的转换，并发送PAT给服务器。

服务器预测过程:

假设服务器是恶意的，用户不能直接向服务器发送明文。用户需要在本地生成公钥和私钥(pk，sk)，加密预测数据，最后将(ciphertext，pk)发送到服务器。目前，服务器无法获得参与者用于训练的具体数据，也无从得知用于预测的原始数据是什么。

服务器使用每一个PAT进行密文预测。因为输入多项式近似树的数据是加密的，所以多项式预测结果是一个密文，解密后近似等于1或0。如果当前节点不是叶子节点，则使用密文下的多项式来获得结果，解密后近似等于1或0。从根节点开始，将加密预测数据传入根节点的多项式得到根结点的密文，密文为约等于1或0的密文，我们通过递归，将密文与左子树相乘，将右子树与1与密文的差值(1-密文)相乘，最终将两个相乘的结果相加得到当前层的密文。当到达最后一个叶子节点时，密文被乘以叶子节点的值。通过上述做法，在解密过程汇总，只有预测的有效路径被保留，其余的无效路径被排除，因为中间节点的解密值接近于0。

如图3所示，在PAT树下进行密文预测。其中x[k]是密文，k代表第k个节点，k＝1,2,…,q+1，

是第k个节点的多项式系数。根节点的密文为Enc(1,pk)，代表使用pk对结果1进行加密的密文。每个节点的输出是一个加密的值，所以服务器没有得到任何中间结果。对于左子树，是密文Enc(1,pk)与左子树相乘的结果，即Enc(1,pk)*左子树。对于右子树，是(1-[a])与右子树相乘的结果，即(1-Enc(1,pk))*右子树。灰色路径代表明文下的真实路径，可以看出，由于根节点在明文plaintext下的结果是1，解密时右子树乘0(即忽略)，只留下根节点的左子树的结果进行计算。类似的向后迭代，我们最终得到叶子节点的密文，用户只需要解密最后的密文就可以得到加密的预测结果。预测结果不会暴露给服务器。用户收到以后自己解密就可以得到正确的预测结果。

服务器将每一个PAT输出的密文结果发送给用户，用户对它们进行解密，对于用户的分类任务，选择众数作为最终的分类结果；对于回归问题，选择平均值作为最终的预测值。

Claims

1.分布式梯度提升决策树实现全面隐私保护的方法，其特征在于，包括以下步骤：

训练阶段：

每个客户端在本地训练满足差分隐私定义的梯度提升决策树GBDT；

各客户端使用多项式近似将GBDT转换为多项式近似树PAT，并将PAT发送给服务器；

预测阶段：

用户端生成公私钥对，将公钥加密之后的查询数据以及公钥发送给服务器；

服务器使用全同态加密将加密之后的查询数据在每个PAT上进行预测得到预测结果并发送给用户端；

用户端解密预测结果，对于用户的分类任务，在预测结果中选择众数作为最终分类结果；对于用户的回归任务，在预测结果中选择平均值作为最终预测值。

2.如权利要求1所述方法，其特征在于，使用多项式近似的具体方法是：

确定n度的多项式函数的集合；

再根据多项式样本矩阵X与真实值Y获得n×1维的近似多项式的系数矩阵β：β＝(X^TX+λE)^-1X^TY，λ是设置参数，E是一个n×n维的单位矩阵；

将近似多项式的系数矩阵β中的各元素β₀,β₁,…,β_n作为多项式近似函数中各项系数。

3.如权利要求1所述方法，其特征在于，加密之后的查询数据在PAT上进行预测的具体方法是：从PAT的根节点开始，将加密之后的查询数据放入根节点的多项式进行计算得到密文，通过递归进入下一层，将密文与左子树相乘，同时将右子树与1减去密文的差值相乘，最终将两个相乘的结果相加得到当前层的密文；当密文到达最后一个叶子节点时，密文与叶子节点的值相乘的结果为加密后的预测结果。