ㅁ DP/연합/XAI

ㅇ 정의:

ㅇ 특징:

ㅇ 적합한 경우:

ㅇ 시험 함정:

ㅇ 시험 대비 “패턴 보기” 예시:

================================

1. DP-SGD

ㅇ 정의:
DP-SGD(Differentially Private Stochastic Gradient Descent)는 딥러닝 모델 학습 과정에서 데이터 프라이버시를 보호하기 위해 미분 가능 프라이버시(Differential Privacy) 원칙을 적용한 SGD 알고리즘이다.

ㅇ 특징:
– 노이즈 추가: 각 업데이트 단계에서 그래디언트에 노이즈를 추가하여 개별 데이터 포인트의 기여를 숨김.
– 클리핑: 그래디언트의 크기를 제한하여 민감한 데이터가 과도하게 반영되지 않도록 제어.
– 프라이버시 손실 관리: 프라이버시 손실을 계산하고 이를 제한하기 위한 메커니즘 내장.

ㅇ 적합한 경우:
– 민감한 데이터를 사용하는 머신러닝 모델 학습.
– 데이터 프라이버시를 법적으로 준수해야 하는 환경.
– 데이터 공유가 제한된 상황에서의 협력적 학습.

ㅇ 시험 함정:
– DP-SGD의 노이즈 추가가 모델 성능에 미치는 영향을 과소평가하거나 과대평가하는 경우.
– 그래디언트 클리핑과 노이즈 추가를 혼동하여 메커니즘을 잘못 이해하는 경우.
– 프라이버시 손실 계산에서 epsilon 값의 의미를 혼동하는 경우.

ㅇ 시험 대비 “패턴 보기” 예시:
– O: DP-SGD는 그래디언트 클리핑과 노이즈 추가를 통해 데이터 프라이버시를 보호한다.
– X: DP-SGD는 데이터 자체에 노이즈를 추가하여 프라이버시를 보호한다.
– O: DP-SGD는 민감한 데이터의 영향을 줄이기 위해 그래디언트 크기를 제한한다.
– X: DP-SGD는 프라이버시 손실을 계산하지 않는다.

ㅁ 추가 학습 내용

DP-SGD를 이해하기 위해 다음 내용을 학습하는 것이 유용합니다:

1. **Epsilon(ε)과 Delta(δ)의 프라이버시 매개변수**:
– Epsilon(ε): Differential Privacy(DP)에서 프라이버시를 측정하는 핵심 매개변수로, 주어진 메커니즘이 얼마나 비슷한 결과를 생성하는지 나타냅니다. ε이 작을수록 프라이버시 보호가 강해지며, ε이 클수록 프라이버시 보호가 약해집니다. ε은 데이터셋에 한 개의 데이터가 추가되거나 제거되었을 때 결과 분포가 얼마나 변하는지를 수학적으로 정의합니다.
– Delta(δ): ε-DP를 완화한 (ε, δ)-DP에서 사용되는 보조 매개변수로, 메커니즘이 ε-DP를 위반할 확률을 나타냅니다. δ는 일반적으로 매우 작은 값으로 설정되며, 데이터셋의 크기와 관계가 있습니다. δ가 작을수록 프라이버시 보장이 더 강력해집니다.

2. **그래디언트 클리핑의 수학적 정의**:
– 그래디언트 클리핑은 각 데이터 샘플에 대해 계산된 그래디언트의 크기를 제한하여, 민감한 데이터가 모델 업데이트에 과도하게 영향을 미치지 않도록 하는 기법입니다.
– 수학적으로, 그래디언트 g에 대해 클리핑은 다음과 같이 정의됩니다:
g_clipped = g / max(1, ||g|| / C)
여기서 ||g||는 그래디언트의 L2 노름, C는 클리핑 임계값입니다. 즉, 그래디언트의 크기가 C를 초과하면, 그 크기를 C로 제한하고 방향은 유지합니다.

3. **노이즈 분포의 특성**:
– DP-SGD에서는 그래디언트 클리핑 후에 노이즈를 추가하여 프라이버시를 보장합니다. 이 노이즈는 일반적으로 가우시안 분포(정규 분포)를 따릅니다.
– 가우시안 노이즈의 특성:
– 평균(μ): 노이즈의 중심값으로, 보통 0으로 설정됩니다.
– 분산(σ²): 노이즈의 퍼짐 정도를 나타내며, 프라이버시 매개변수 ε, δ 및 클리핑 임계값 C에 따라 결정됩니다. 분산이 클수록 노이즈가 더 많이 추가되며, 이는 프라이버시를 강화하지만 모델 성능에 부정적인 영향을 줄 수 있습니다.
– 가우시안 노이즈는 데이터셋의 민감도를 감소시키고, 결과적으로 개인 데이터를 보호하는 데 기여합니다.

이 내용을 바탕으로 DP-SGD의 작동 원리를 이해하고, 프라이버시와 모델 성능 간의 균형을 조정하는 방법에 대해 학습할 수 있습니다.