【技术实现步骤摘要】
保护隐私安全的神经网络模型的训练方法和装置
本说明书一个或多个实施例涉及人工智能领域,尤其涉及保护隐私安全的神经网络模型的训练方法和装置。
技术介绍
在人工智能领域,神经网络模型广泛部署于各种实际场景,例如,人脸检测、商品推荐等。神经网络模型在取得高有效性、精确度的同时,也过度记忆了训练集中的数据信息,这些数据信息会被攻击者通过某些特定的手法(如成员推断攻击和模型窃取攻击)探测到,从而导致训练数据泄露。这些训练数据可能涉及用户隐私信息。因此,希望能有改进的方案,能够提供一种保护隐私安全的神经网络模型的训练方法,以防止攻击者探测到神经网络模型的训练数据。
技术实现思路
本说明书一个或多个实施例描述了一种保护隐私安全的神经网络模型的训练方法和装置,能够防止攻击者探测到神经网络模型的训练数据。第一方面,提供了一种保护隐私安全的神经网络模型的训练方法,方法包括:获取初步训练的目标神经网络模型和训练数据集,所述目标神经网络模型包括多个中间层,所述训练数据集包括第一数量个成员样本;确定...
【技术保护点】
1.一种保护隐私安全的神经网络模型的训练方法,所述方法包括:/n获取初步训练的目标神经网络模型和训练数据集,所述目标神经网络模型包括多个中间层,所述训练数据集包括第一数量个成员样本;/n确定所述多个中间层中的决策重要层和决策无关层,所述决策重要层对决策结果的影响程度大于所述决策无关层对决策结果的影响程度;/n根据所述训练数据集中的各成员样本,对所述目标神经网络模型进行再次训练,所述再次训练固定所述目标神经网络模型的决策无关层的参数,使决策重要层的部分神经元以一定概率停止工作调整决策重要层的参数。/n
【技术特征摘要】
1.一种保护隐私安全的神经网络模型的训练方法,所述方法包括:
获取初步训练的目标神经网络模型和训练数据集,所述目标神经网络模型包括多个中间层,所述训练数据集包括第一数量个成员样本;
确定所述多个中间层中的决策重要层和决策无关层,所述决策重要层对决策结果的影响程度大于所述决策无关层对决策结果的影响程度;
根据所述训练数据集中的各成员样本,对所述目标神经网络模型进行再次训练,所述再次训练固定所述目标神经网络模型的决策无关层的参数,使决策重要层的部分神经元以一定概率停止工作调整决策重要层的参数。
2.如权利要求1所述的方法,其中,所述初步训练调整所述目标神经网络模型中各中间层的参数。
3.如权利要求1所述的方法,其中,所述确定所述多个中间层中的决策重要层和决策无关层,包括:
将所述成员样本和非成员样本作为评测样本组成评测数据集;
将任一评测样本输入所述目标神经网络模型,得到所述目标神经网络模型的各中间层分别输出的该评测样本的各中间层特征;
根据评测样本的各中间层特征,以及该评测样本是否为成员样本,确定各中间层中的决策重要层和决策无关层。
4.如权利要求3所述的方法,其中,所述将所述成员样本和非成员样本作为评测样本组成评测数据集,包括:
从所述第一数量个成员样本中抽取第二数量个成员样本;所述第二数量小于所述第一数量;
获取第三数量个非成员样本,所述非成员样本的分布与所述成员样本的分布相同;
所述第二数量个成员样本和所述第三数量个非成员样本作为评测样本组成评测数据集。
5.如权利要求3所述的方法,其中,所述根据评测样本的各中间层特征,以及该评测样本是否为成员样本,确定各中间层中的决策重要层和决策无关层,包括:
将评测样本的各中间层特征进行降维处理后作为可解释分类器的样本特征,将该评测样本是否为成员样本作为样本标签,对所述可解释分类器进行训练;
根据训练后的可解释分类器,确定各中间层中的决策重要层和决策无关层。
6.如权利要求5所述的方法,其中,所述将评测样本的各中间层特征进行降维处理,包括:
针对每一个中间层,训练一个自编码器;
利用各中间层对应的自编码器对评测样本的该中间层的中间层特征进行降维处理。
7.如权利要求5所述的方法,其中,所述可解释分类器为树模型或逻辑回归模型。
8.如权利要求1所述的方法,其中,所述方法还包括:
更换所述部分神经元后,再重复所述再次训练。
9.如权利要求1所述的方法,其中,所述一定概率为百分之50。
10.一种保护隐私安全的神经网络模型的训练装置,所述装置包括:
获取单元,用于获取初步训练的目标神经网络模型和训练数据集,所述目标神经网络模型包括多个中间层,所述训练数据集包括第一数量...
【专利技术属性】
技术研发人员:翁海琴,
申请(专利权)人:支付宝杭州信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。