【博士每天一篇文献-综述】Machine Unlearning Taxonomy, Metrics, Applications, Challenges, and Prospects

简介: 本文综述了机器遗忘的分类、评价指标、应用场景、挑战和未来研究方向,提出了精确遗忘和近似遗忘的概念,并探讨了机器遗忘在模型优化和防御攻击中的应用,同时讨论了分布式学习环境下的遗忘挑战和解决方案。

1 介绍

年份:2024
作者:南京理工大学的Na Li、西安电子科技大学的Anmin Fu、澳大利亚科工组织的Yansong Gao、南京理工大学的Hui Chen、澳大利亚西澳大学的Zhi Zhang以及悉尼科技大学的Shui Yu
期刊: arXiv preprint 未发表
引用量:1
Li N, Zhou C, Gao Y, et al. Machine Unlearning: Taxonomy, Metrics, Applications, Challenges, and Prospects[J]. arXiv preprint arXiv:2403.08254, 2024.
本文主要探讨了机器遗忘的概念、分类、评价指标、应用场景、挑战和未来研究方向。首先将机器遗忘算法主要被分为精确遗忘(Exact Unlearning)和近似遗忘(Approximate Unlearning),精确遗忘分又为基于凸函数的传统模型和基于非凸函数的复杂模型,近似遗忘又分为数据驱动的近似和模型驱动的近似。机器遗忘效果的评价指标是一套综合考量遗忘操作的有效性、效率和效用的标准,包括验证数据提供者数据是否真正被遗忘的侵入性和非侵入性验证指标,以及评估模型提供者遗忘算法性能的包括重学时间、模型相似度、遗忘速度和模型精度在内的评价指标。此外,总结了机器遗忘在模型优化(Optimization of the Model)和防御攻击(Defense against Attacks)的应用场景,表明机器遗忘不仅可以提升模型性能和安全性,还可以应用于防御各种攻击,这不仅增强了数据隐私保护,还提高了模型的实用性和可信度。最后,本文深入讨论了在分布式学习环境中实现遗忘所面临的挑战,如联邦学习,并提出了相应的解决方案。

截屏2024-06-30 下午2.21.21.png2 创新点

  1. 遗忘算法的全面分类:论文提出了一个详细的遗忘算法分类法,区分了集中式和分布式设置下的遗忘算法,并针对不同应用场景进行了细致的子分类。
  2. 评价指标的系统化分析:系统地总结了用于衡量遗忘算法质量的评价指标,包括有效性、效率、效用和兼容性,并区分了数据提供者用于验证遗忘效果的侵入性和非侵入性指标。
  3. 遗忘在分布式学习中的应用探索:深入讨论了在分布式学习环境中实现遗忘所面临的挑战,如联邦学习,并提出了相应的解决方案。
  4. 遗忘的多场景应用:论文不仅讨论了遗忘在保护数据隐私方面的应用,还扩展到了优化模型、提高模型鲁棒性以及作为防御机制的应用。
  5. 安全性分析与防御策略:对可能针对遗忘过程的攻击进行了分类和分析,并提出了如何设计更安全的算法来抵御这些攻击。

3 相关研究

3.1 验证指标和评价指标

截屏2024-06-30 下午3.05.17.png
(1)验证指标(Verification Metrics)
验证指标主要用于数据提供者来验证模型提供者声称的遗忘效果是否真实。

  1. 侵入性指标(Invasive Metrics):
    • 基于水印的指标:通过在数据或模型参数中嵌入水印(如后门触发器或特定二进制字符串),然后在遗忘后验证这些水印是否仍被模型所记忆。
  2. 非侵入性指标(Non-invasive Metrics):
    • 成员资格推断指标:确定给定数据样本是否存在于训练数据集中,以验证模型是否仍包含有关被遗忘数据的信息。
    • 数据重构指标:基于模型输出或参数,尝试重构训练数据信息,以验证遗忘数据是否仍被模型保留。
    • 基于密码学的指标:使用密码学方法提供遗忘过程的证明,如使用简洁的非交互式知识论证。

(2)评价指标(Evaluation Metrics)
评价指标帮助模型提供者评估其遗忘算法的有效性、效用和效率。

  1. 有效性指标(Effectiveness Metrics):
    • 重学时间指标:测量遗忘后的模型重新获得与原始模型相同精度所需的训练周期数。
    • 基于相似度的指标:通过测量遗忘模型与重新训练模型之间的激活、权重或分布距离来评估遗忘效果。
    • 理论基础的指标:基于特定遗忘方法设计的指标,如基于重学的指标和基于认证的指标。
  2. 效率指标(Efficiency Metrics):
    • 遗忘速度指标:评估遗忘过程的效率,测量遗忘操作与从头开始训练相比所需的时间差异。
  3. 效用指标(Utility Metrics):
    • 在被遗忘数据集上的精度:评估遗忘操作对模型在剩余数据集上预测准确性的影响,确保遗忘后的模型仍然可用。

(3)其他相关指标

  • 遗忘率(Forgetting Rate):通过测量成员资格推断的精度变化来直观地衡量遗忘成功率。
  • 记忆掩蔽(Neuron Masking):通过掩盖神经网络中的特定神经元来实现对特定数据的遗忘。

3.2 机器遗忘的分类

(1)精确遗忘(Exact Unlearning)
精确遗忘的目标是通过重新训练或其他方法,确保遗忘后的模型与从头开始训练的模型在统计上无法区分。
代表性算法:

  • SISA:一种适用于深度神经网络的精确遗忘方法,通过重新训练与特定数据分片相关的子模型来实现遗忘。
  • GraphEraser:针对图神经网络(GNN)的精确遗忘算法,采用平衡的图分割方法来保护图结构信息。

(2)近似遗忘(Approximate Unlearning)
近似遗忘避免了重新训练的需要,通过直接修改模型参数或数据来近似实现遗忘效果。
代表性算法:

  • FedEraser:一种针对联邦学习的近似遗忘方法,通过校准训练过程来消除特定客户端对全局模型的贡献。
  • Amnesiac Unlearning:通过重标记数据并调整模型参数来实现遗忘的方法。
  • DeltaGrad:利用梯度下降来追踪和利用数据来源,实现快速增量模型更新的方法。

3.3 分布式遗忘

(1)分布式遗忘的挑战(Challenges)

  • 数据可用性视角:在分布式学习中,由于隐私保护,客户端可能不分享其数据,服务器无法访问本地训练数据集,导致无法进行服务器端的重新训练,只能执行近似遗忘。
  • 模型参数视角:分布式学习中模型参数的更新是一个复杂的过程,涉及到多个客户端的交互,这增加了数据追踪的难度。
  • 资源开销视角:分布式学习通常具有较高的通信和时间开销,理想的机器遗忘算法不应增加额外的负担。

(2)联邦遗忘(Federated Unlearning,FU)
联邦遗忘是分布式遗忘的一个重点研究领域,特别是在联邦学习环境中:

  • 服务器端联邦遗忘:由于客户端不分享原始训练数据,服务器只能对全局模型执行近似遗忘。这种方法不需要客户端参与,但可能无法完全清除全局模型中的敏感信息。
  • 客户端本地联邦遗忘:为了实现更彻底的遗忘,遗忘操作需要在客户端本地执行。这需要设计快速且成本低廉的遗忘方法,同时考虑到边缘设备的计算能力限制。
  • 联邦遗忘算法分类:FU算法可以根据主要执行遗忘的实体分为两类:
    • 服务器端联邦遗忘:服务器使用历史更新记录和校准训练过程来加速遗忘过程,但可能需要额外的存储空间。
    • 客户端本地联邦遗忘:客户端使用快速重训练方法和参数自共享技术来实现遗忘,同时保持模型效用。
  • FU的优势与局限:服务器端FU可以快速响应遗忘请求,但遗忘可能不彻底。客户端本地FU可以实现更完整的遗忘,但需要有效的快速遗忘算法。
  • 应用场景:FU在不同应用场景中的潜在应用,例如大型企业或物联网(IoT)环境。

3.4 机器遗忘的应用

机器遗忘不仅可以提升模型性能和安全性,还可以应用于防御各种攻击,这不仅增强了数据隐私保护,还提高了模型的实用性和可信度。
(1)模型优化(Optimization of the Model)
机器遗忘技术被用于优化模型,以提高其鲁棒性并减少恶意数据、过时数据或对抗性数据可能带来的负面影响。主要应用场景包括:

  • 大型语言模型(LLMs):通过机器遗忘技术,可以从大型语言模型中擦除特定的数据,以遵守隐私法规、伦理标准,并减少偏见。
  • 推荐系统(RES):机器遗忘技术可以帮助推荐系统忘记特定的用户数据和偏好,以增强用户隐私保护并提高模型的安全性和可靠性。
  • 物联网(IoT):在物联网环境中,机器遗忘技术可以快速更新深度学习模型,以应对错误标记的样本、设备固件升级或数据污染等问题。

(2)防御攻击(Defense against Attacks)
机器遗忘技术也被用作一种有效的防御机制,以增强模型对数据投毒攻击和隐私攻击的鲁棒性。具体包括:

  • 被动防御(Passive Defense):当模型遭受数据投毒或后门攻击后,机器遗忘可以用来清除这些攻击对模型造成的负面影响,恢复模型的效用。
  • 主动防御(Active Defense):在模型遭受隐私攻击之前,机器遗忘可以用来预先擦除与用户私有数据相关的敏感信息,防止攻击者推断出与该数据相关的私有信息。
    • 对抗成员资格推断攻击(Membership Inference Attack):通过机器遗忘减少模型对训练数据的敏感性,使攻击者难以确定特定数据点是否属于训练集。
    • 对抗属性推断攻击(Property Inference Attack):通过改变模型权重和偏差来防止攻击者从模型中推断出训练数据的属性。
    • 对抗模型反演攻击(Model Inversion Attack):通过擦除模型中的私有信息,使攻击者无法从模型输出中重建训练数据的特征。

截屏2024-06-30 下午3.18.28.png

3.5 对机器遗忘技术的特定攻击类型

针对机器遗忘技术的特定攻击类型,包括成员资格推断攻击、数据投毒攻击和过度遗忘攻击。
(1)成员资格推断攻击(MU-specific Membership Inference Attack)

  • 攻击目标:攻击者试图确定某个数据样本是否属于被遗忘的数据集。
  • 攻击假设:攻击者可能拥有黑盒访问权限,可以观察模型在遗忘前后的输出差异。
  • 攻击方法:通过分析模型的输出概率或置信度,攻击者推断数据点是否在训练数据中。论文中提到了温度缩放、仅发布预测标签或使用差分隐私等防御措施。

(2)数据投毒攻击(MU-specific Data Poisoning Attack)

  • 攻击目标:攻击者通过触发频繁的遗忘过程来降低遗忘效率,或通过特定样本降低模型的预测准确性。
  • 攻击假设:攻击者可能具有白盒或灰盒访问权限,能够了解模型结构和状态,或仅知道模型架构。
  • 攻击方法:通过精心设计的噪声添加,触发不必要的遗忘过程,增加计算和时间消耗;或创建伪装数据点,使遗忘后的模型对特定样本产生误分类。

(3)过度遗忘攻击(Over-unlearning Attack)

  • 攻击目标:攻击者通过请求遗忘特定数据,使模型遗忘比正常请求更多的信息,从而降低模型的预测性能。
  • 攻击假设:攻击者只有黑盒访问权限,遗忘过程在服务器端进行。
  • 攻击方法:攻击者将额外的样本(作为精心设计的数据)混合到被遗忘的数据集中,导致模型在尝试消除这些数据时,无意中丢弃了与另一任务相关的额外信息,导致过度遗忘。

3.6 机器遗忘领域当前面临的挑战

(1)可用的统一验证指标(Usable Unified Verification Metric)

  • 挑战:目前缺乏统一标准来验证遗忘操作的质量,现有验证指标可能对模型性能产生负面影响,或者对普通用户来说难以理解和部署。
  • 未来方向:需要设计一个安全、有效、易于实施且用户友好的统一验证指标。

(2)广义机器遗忘(Generalized Machine Unlearning)

  • 挑战:传统机器遗忘未能充分考虑数据之间的独特联系,可能破坏模型结构,且主要针对分类任务,限制了其在更广泛应用中的潜力。
  • 未来方向:寻求能够适应不同实际应用场景的广义机器遗忘方法,包括回归和生成任务。

(3)分布式遗忘的有效性和效率(Effectiveness and Efficiency Distributed Unlearning)

  • 挑战:分布式遗忘研究目前主要集中在联邦学习设置上,而其他分布式学习设置也需要遗忘能力来满足用户需求和提高模型鲁棒性。
  • 未来方向:探索在各种分布式学习环境中实现有效且高效的遗忘方法。

(4)特征和任务的遗忘(Unlearning for Features and Tasks)

  • 挑战:现有的遗忘算法主要集中在基于类别和样本的请求上,不足以满足用户需求,特别是在需要遗忘特定特征或与特定任务相关的数据时。
  • 未来方向:开发能够在特征或任务层面进行遗忘的算法,以解决多样化的实际需求。

6 思考

(1)这篇论文对机器遗忘的分类较为粗略,更为详细的分类参考《Machine Unlearning: Solutions and Challenges》,这篇论文中将精确遗忘细分为基于SISA框架的方法和非SISA方法,近似遗忘细分为基于移除数据的影响函数、基于重新优化、基于梯度更新、特定于图数据的近似遗忘。这就是能发一区的原因。
(2)根据2024的四篇综述总结的机器遗忘技术分类

目录
相关文章
|
4月前
|
机器学习/深度学习 数据采集 数据可视化
【博士每天一篇文献-实验】Reservoir Computing Properties of Neural Dynamics in Prefrontal Cortex
本文通过储层计算框架模拟前额叶皮层的信息处理和表示,验证了其在理解大脑皮层神经活动方面的相关性,并展示了储层模型在复杂认知任务中的高效信息表达能力。
39 1
【博士每天一篇文献-实验】Reservoir Computing Properties of Neural Dynamics in Prefrontal Cortex
|
4月前
|
机器学习/深度学习 编解码 数据挖掘
【博士每天一篇文献-综述】Network hubs in the human brain
本文综述了人类大脑网络连接的研究,探讨了网络枢纽在认知功能和大脑疾病中的关键作用,并介绍了网络枢纽的检测方法以及网络模型在大脑功能研究中的应用。
47 1
|
4月前
|
移动开发 算法 数据挖掘
【博士每天一篇文献-算法】Extending stability through hierarchical clusters in Echo State Networks
本文研究了在回声状态网络(ESN)中引入分层聚类结构对网络稳定性的影响,发现通过调整簇内和簇间的连接性及每个簇的主干单元数量,可以扩展谱半径的稳定范围,从而提高网络的稳定性和性能。
42 2
|
4月前
|
算法 前端开发 数据可视化
【博士每天一篇文献-综述】Brain network communication_ concepts, models and applications
本文综述了脑网络通信的概念、模型和应用,将脑网络通信模型分为扩散过程、参数模型和路由协议三大类,并探讨了这些模型在理解大脑功能、健康和疾病方面的应用,同时提出了未来研究方向和使用Brain Connectivity Toolbox等工具箱进行实际研究的指导。
46 1
【博士每天一篇文献-综述】Brain network communication_ concepts, models and applications
|
4月前
|
机器学习/深度学习 数据挖掘
【博士每天一篇文献-综述】Communication dynamics in complex brain networks
本文综述了复杂脑网络中的通信动态,提出了一个将通信动态视为结构连接和功能连接之间必要联系的概念框架,探讨了结构网络的局部和全局拓扑属性如何支持网络通信模式,以及网络拓扑与动态模型之间的相互作用如何提供对大脑信息转换和处理机制的额外洞察。
51 2
【博士每天一篇文献-综述】Communication dynamics in complex brain networks
|
4月前
|
机器学习/深度学习 传感器 人工智能
【博士每天一篇论文-综述】Brain Inspired Computing : A Systematic Survey and Future Trends
本文提供了对脑启发计算(BIC)领域的系统性综述,深入探讨了BIC的理论模型、硬件架构、软件工具、基准数据集,并分析了该领域在人工智能中的重要性、最新进展、主要挑战和未来发展趋势。
88 2
【博士每天一篇论文-综述】Brain Inspired Computing : A Systematic Survey and Future Trends
|
4月前
|
存储 开发框架 .NET
【博士每天一篇文献-综述】A Comprehensive Survey of Continual Learning Theory, Method and Application
本文综述了持续学习的理论基础、方法论和应用实践,探讨了五种主要的解决策略,包括基于回放、架构、表示、优化和正则化的方法,并深入分析了持续学习的不同场景、分类、评价指标以及面临的挑战和解决方案。
71 1
【博士每天一篇文献-综述】A Comprehensive Survey of Continual Learning Theory, Method and Application
|
4月前
|
机器学习/深度学习 存储 缓存
【博士每天一篇文献-综述】Machine Unlearning Solutions and Challenges
本文综述了机器遗忘的解决方案和挑战,全面分类并分析了精确遗忘和近似遗忘方法,探讨了它们在隐私保护、安全性增强、模型适应性提升中的应用,并提出了评价指标和未来研究方向。
106 2
|
4月前
|
机器学习/深度学习 数据采集 运维
【博士每天一篇文献-综述】2024机器遗忘最新综述之一:A Survey on Machine Unlearning Techniques and New Emerged Privacy Risks
本文综述了机器遗忘技术及其面临的新兴隐私风险,提出了面向数据和模型的分类法,分析了信息窃取和模型破坏攻击手段,探讨了相应的防御策略,并讨论了机器遗忘技术在大型语言模型、联邦学习和异常检测等领域的应用。
70 5
|
4月前
|
机器学习/深度学习 监控 安全
【博士每天一篇文献-综述】Threats, Attacks, and Defenses in Machine Unlearning A Survey
本文提供了对机器遗忘领域的综合性调查,提出了新的威胁、攻击和防御分类法,深入分析了机器遗忘系统中的安全问题,并探讨了如何利用攻击手段评估遗忘有效性,同时讨论了遗忘作为防御机制的角色以及面临的挑战和未来研究方向。
62 2

热门文章

最新文章