[0001] 本发明涉及一种隐私保护方法，特别是一种基于对抗学习的隐私保护方法。

[0002] 基于深度学习的模型的输入、输出以及计算过程都涉及到个人隐私数据(如个人基本信息、兴趣偏好、浏览行为和内容)，使得隐私泄露在各个环节均面临安全风险。其中最具攻击性的手段就是基于对抗样本的攻击方案，以成员推理攻击和投毒攻击为代表的对抗攻击手段已经可以有效地对推荐系统的用户隐私属性进行推理等攻击，或者对推荐系统本身发动物品推广等攻击。这是由于深度学习模型普遍存在一定程度的过拟合性质，面对训练未曾出现的干扰数据不具备强大的鲁棒能力，使得用户的隐私安全和模型的计算安全都面临严重隐患。

[0003] 通常，业界习惯使用联合学习框架，利用其“数据不离开本地”功能来本地化用户隐私数据保护，然而，在联邦模型中，上传的梯度仍然包含用户隐私相关信息，这也会导致恶意攻击获取相关信息。因此，在上传过程中，梯度将被加密，然而，密文域的计算成本远高于明文域，这将给大规模联合训练带来不可接受的负担。另一种解决方案是使用差分隐私，然而，尽管过度添加的噪声可以有效保护隐私，但它也会导致推荐失去个性化因素，降低推荐的效率和准确性。设计一个完美的隐私预算是差异隐私用于个人兴趣推荐领域的最大障碍，目前没有更好的解决方案。

[0004] 现有的传统隐私保护手段有以下几种：数据加密、访问控制、受信任的第三方审计、数据搜索和数据匿名化。1)数据加密将原始消息通过加密算法加密为密文，经公共通道传输到接收方，然后将消息解密为纯文本；2)访问控制是数据系统定义用户身份和预定义策略以防止未经授权的用户访问资源的手段；3)具有良好声誉的可信第三方(TTP)可正确引入无偏见的审核结果；4)可搜索加密的主要方法包括可搜索对称加密(SSE)和带关键字搜索(PEKS)的公钥加密；5)数据匿名化则是在数据发布过程中，考虑原始数据的分布特征，对新数据集的单个属性进行处理。

[0005] 然而上述技术与基于深度学习的推荐系统结合时无法有效实施。原因如下：1)基于深度学习的推荐模型具有庞大的数据量用户模型训练，上述方案对原始数据的改动较大，并影响模型训练的流程，导致计算效率较低；2)加密数据可能导致其与原本数据分布不同，影响推荐系统的训练结果；3)对于一些基于对抗样本的投毒攻击模型的威胁，加密后无法有效确定出现问题的节点，从而导致难以指定防御保护策略。

[0006] 另外，还有基于数据扰动的方法以及联邦框架下的数据安全方案。以差分隐私技术为代表的数据扰动方法，主要是通过在数据集中加入随机噪声(如拉普拉斯噪声或高斯噪声)，将数据查询操作的实际结果隐藏起来。然而，隐私保护预算开销和联邦学习效率之间的平衡是很难抉择的，这是由于较高的隐私保护开销预算可能对一些大规模攻击活动(如基于对抗的攻击)并没有很大作用，然而较低的隐私保护开销又会阻碍本地模型的收敛。联邦学习框架的最常见方法之一是联邦平均算法，它将每个客户端上的局部随机梯度下降与执行模型加权平均的服务器相结合，其权重与每个客户端的大小成正比本地数据。然而，在训练过程中，服务器可以很容易地识别用户上传模型参数时的各种行为、信息(如被评分的项目)，因此可能无法很好地保护用户的隐私。基于以上描述，亟需研发一种用于个人兴趣推荐领域的隐私保护方法，使推荐结果满足精度要求的前提下还能有效抵御攻击。

[0025] 下面结合附图和实施例对本发明作进一步的说明，但并不作为对本发明限制的依据。

[0026] 实施例：一种基于对抗学习的隐私保护方法，本发明隐私保护的核心关键在于准确捕获隐私关键特征，基于对抗学习的思路，利用其训练具备极强的针对性特点，构建隐私特征的捕获方案，然后进行隐私信息的保护防御，基于对抗学习的隐私保护方案整体流程可参考图1，具体包括以下步骤：

[0027] 步骤S1、构建由对抗器、推荐模型和威胁模型组成的对抗训练框架。

[0028] 步骤S2、由对抗器提取用户特征对其进行随机扰动的添加以生成第一对抗特征。

[0029] 步骤S3、将步骤S2中的第一对抗特征送入威胁模型，通过威胁模型与对抗器之间进行多轮的局部对抗训练使威胁模型失效，以找到用户特征中的准确隐私特征的具体位置。

[0030] 对抗器与威胁模型两两对抗训练框架可参考图2，其目的在于找到隐私特征的位置：通过不断随机添加扰动在不同位置，观察威胁模型的攻击效果，那些攻击失败的位置就是潜在隐私特征的位置。

[0031] 作为优选，步骤S3中的多轮局部对抗训练过程中，每轮局部对抗训练都由威胁模型根据攻击成功率找出当前轮次的隐私关键特征，随后由对抗器修改用户特征中扰动添加的位置，直至威胁模型失效，局部对抗训练终止，最后根据此前扰动添加位置信息和攻击结果统计，确定隐私关键特征的准确位置。

[0032] 步骤S4、由对抗器对步骤S3中找到的准确隐私特征进行扰动强度的加强，生成第二对抗特征。

[0033] 步骤S5、将步骤S4中的第二对抗特征送入推荐模型，通过推荐模型与对抗器之间进行多轮的局部对抗训练调整第二对抗特征中的扰动类型和扰动幅值，生成第三对抗特征。

[0034] 对抗器与推荐模型两两对抗训练框架可参考图3，其目的在于保护隐私的同时，优化扰动使得推荐系统正常推荐：通过推荐系统的输出精度对潜在隐私特征位置的扰动进行优化。

[0035] 作为优选，步骤S5中的多轮局部对抗训练过程中，每轮局部对抗训练都由推荐模型根据推荐结果优化对抗器，由对抗器对该轮对抗特征中的扰动类型和扰动幅值进行调整，直至推荐结果符合推荐要求，局部对抗训练终止，最后一轮扰动类型和扰动幅值调整后的对抗特征即为第三对抗特征。

[0036] 步骤S6、将步骤S5中的第三对抗特征结合相似用户的通用特征生成增强特征。

[0037] 不同于一般的对抗训练模式，本发明在添加扰动的同时进一步结合了相似用户的特征，这是为了保持一定的推荐效率，同时在最大化扰动(最大化隐私保护效果)时可以对冲扰动对原始用户特征的负面影响，为了能准确捕获隐私特征，扰动的添加策略和对应的训练策略也会有相应调整。

[0038] 步骤S7、将步骤S6中的增强特征同时送入推荐模型和威胁模型，通过对抗训练框架进行多轮的全局对抗训练，最终在隐私特征不暴露的前提下实现精准推荐。

[0039] 由于隐私特征的保护，所添加的扰动会造成推荐模型推荐精度的下降，本发明采用用户通用特征与用户对抗特征结合的方式，能在隐私保护的前提下优化推荐精度。具体是：通过相似度分析用户a相似的用户集群A，然后将集群特征作为用户a的通用特征；然后将通用特征与对抗特征结合形成增强特征；再将推荐模型的训练损失与威胁模型的测试损失结合形成联合损失，从而优化扰动。

[0040] 作为优选，步骤S7中的多轮全局对抗训练过程中，每轮全局对抗训练都联合推荐模型和威胁模型的计算结果优化对抗器所生成的对抗特征，直至在威胁模型失效的前提下，推荐模型输出符合推荐要求的推荐结果。

[0041] 本发明隐私保护方案的数学模型表示如下：

[0042] 设(x,y)表示为原始用户数据x和标签y，且属于原始数据集 对抗分类问题则可以通过假设一个分类函数f(x,θ)→y来表示，其可以找到标签y所属的样本x，其中θ为函数参数；那么对抗问题可以被表述为一个经验风险最小优化(Empirical  Risk Minimization)问题，换句话说，可以利用威胁模型训练对抗器的扰动生成，着重关注扰动生成的位置。以下公式(1)表示的是对抗训练的基本数学模型表达式：

[0043]

[0044] 其中， 表示为经验风险损失函数；此时，利用对抗攻击的思路，修改上述优化函数，可推导出对抗训练模式的隐私保护函数(公式(2)的作用是利用推荐模型初始化对抗器的参数，此时对扰动没有位置随机的要求，仅为初始化对抗器参数，以进行后续训练)：

[0045]

[0046] 其中， 表示为推荐模型的损失函数，yR表示为推荐模型相关的标签，实际计算中需变更为推荐模型输出；xadv＝x+δ表示为原始特征x添加对抗扰动δ后的对抗特征(即对抗器生成对抗特征)；通过威胁模型的识别(标签为yT)，在固定θ后调整扰动δp以寻找隐私特征的位置(公式(3)表示利用威胁模型训练不同位置的扰动，首先利用扰动位置寻找隐私特征所在位置，然后训练对抗器参数，使添加的扰动可令威胁模型攻击失效，对应前面步骤S3的局部训练)：

[0047]

[0048]

[0049] 其中， 表示为威胁模型的损失函数，δp需要注意的是其不同于δ( 为δp取反)，可以通过赋零以改变扰动位置，从而捕获隐私特征的位置；最后，为了对冲添加对抗扰动所带来的负面影响，拟计划使用通用特征的辅助来提升推荐效率，同时通过通用特征的增加，可以减弱一定的个性化差异，减少隐私的泄露，调整后的综合目标函数如下公式(5)：

[0050]

[0051] 其中，xuni为通用特征， 表示为xadv,xuni的融合计算符，具体计算时可根据实验进行算术平均、加权平均或自适应融合的调整。

[0052] 完整训练过程及每步训练的目标函数如下：

[0053] 输入：用户特征x，用户通用特征xuni，推荐模型相关标签yR，威胁模型相关标签yT。

[0054] 输出：用户特征的隐私特征位置δp，对抗器的参数θ。

[0055] 1.训练对抗器的初始化参数θ，优化目标为：

[0056]

[0057] 2.训练对抗器的加噪位置δp，优化目标为：

[0058]

[0059] 3.训练对抗器参数，令威胁模型失效，优化目标为：

[0060]

[0061] 4.训练对抗器参数，令推荐模型的性能维持在一定水准，优化目标为：

[0062]

[0063] 5.加入用户通用特征，对冲加噪所产生的推荐性能下降，训练对抗其参数，并训练更合适的对抗干扰，优化目标为：

[0064]

[0065] 6.模型停止收敛后，输出隐私特征位置和对抗器参数。

[0066] 其中， 为δp的零值取反，δp由零值与非零值组成，其中非零值会覆盖在隐私特征上， δp,δ三者长度相同。

[0067] 另外，在本实施例中，训练器的具体网络结构没有详细描述，根据任务需求不同，训练器内部结构的网络大小、结构，参数个数、取值可以另行定义。

[0068] 以上仅是本发明的优选实施方式，本发明的保护范围并不仅仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。