(NDSS23)”Machine Unlearning of Features and Labels”论文阅读笔记

less than 1 minute read

Published:

论文概述

本文研究机器学习模型中特征和标签的遗忘问题,具体而言针对原来遗忘单独数据节点的低效和精度影响问题。

机器学习已经成为数据驱动服务的主要工具,但如果底层模型无意中捕获训练数据中的敏感信息并将其泄露给用户,则会造成隐私问题。其次部分地区和组织的法规也要求允许用户从模型中删除一部分数据,作为遗忘权的一部分。因此需要方法来允许模型在尽量不丢失精确度的情况下遗忘某些数据,消除某些训练数据对于模型的影响。预训练过程的数据中可能包含某些不符合价值观和道德观的数据,这些数据的影响也需要从模型中去除。遗忘问题需要有选择性的复原一部分学习过程,因此与已有的对抗攻击和微调过程都不相同,无法直接应用。最直观的方法是删除训练数据后重新训练模型,但这成本很高,且只有在训练数据仍然可用时才能进行。

逐渐开始有工作研究如何进行遗忘问题,cao等人证明了很多模型都可以表示成封闭加法形式,从而证明了重新训练遗忘部分数据的可行性。已有方法可以从模型中去除掉特定数据节点对于模型的影响,主要方式是通过对数据集分片,然后在片上分别训练模型,最后进行汇总的方式限制重训范围。另一种方法是利用影响函数来度量数据节点对于模型的影响,并且使用特定的近似方式来遗忘数据节点。

基于分片的方式在需要遗忘的数据节点增多时效率衰减的很明显,并且两种方式目前都仅用于遗忘单一数据节点,并不处理遗忘特征和标签的情况。在仅指定标签或者特征时因为需要处理多个满足要求的数据节点所以效率和模型精度都会降低。

从影响函数的角度提出了一个不用重新训练的遗忘方法。基本思想我称之为对冲法,就是生成一个对冲的(扰动)样本,然后在降低原数据样本权重的同时增加对冲样本的权重,从而消除原数据对模型的影响。数学语言描述对冲基本思想是

\[\begin{aligned} \theta_{\epsilon, Z\rightarrow\widetilde{Z}}^* &= argmin_{\theta}L(\theta;D)+\epsilon\sum_{\widetilde{z}\in\widetilde{Z}}\ell(\widetilde{z},\theta)-\epsilon\sum_{z\in Z}\ell(z,\theta) \\ \widetilde{z} &= (x+\delta_x, y+\delta_y) \end{aligned}\]

对冲样本的生成通过对原样本加入扰动来描述,重点在于利用扰动样本来替代了对原样本的重新训练,从而支持了对于更大规模的数据样本的遗忘。同时通过不同的扰动样本构成方式支持了对于特征和标签的遗忘。于是将遗忘的重训练问题变成了在已训练模型上的微调问题,就是找到一个更新项\(\Delta(Z,\widetilde{Z})\),来对模型参数进行更新:

\[\theta_{\epsilon, Z\rightarrow\widetilde{Z}}^*\approx\theta^*+\Delta(Z,\widetilde{Z})\]

本文对于损失函数可微的模型设计了一阶更新方式,对于损失函数有可逆hessian矩阵设计了二阶更新方式。

\[\Delta(Z,\widetilde{Z})=\begin{cases} -\tau(\sum_{\widetilde{z}\in\widetilde{Z}}\nabla_\theta\ell(\widetilde{z},\theta^*)-\sum_{z\in Z}\nabla_{\theta}\ell(z,\theta^*)) \quad first-roder \\ -H_{\theta^*}^{-1}\left(\sum_{\widetilde{z}\in\widetilde{Z}}\nabla_{\theta}\ell(\widetilde{z},\theta^*)-\sum_{z\in Z}\nabla_{\theta}\ell(z,\theta^*)\right) \quad second-order \end{cases}\]

在考虑二阶导时一阶里面的\(\tau\)被消掉了。

同时可以注意到,对冲方法与重训方法有着根本的不同,对冲方法的基本逻辑还是对着两个样本进行同时训练,调整两个样本的权重来减少原始样本的影响。但在\(\epsilon=1\)之前,严格来说都无法认为原始数据的样本被消除了。本文对对冲的理论性能也进行了分析,得到了两个结论。

首先,对冲方法可以在模型表现上贴近重训方法,根据文中定理2,在概率密度上两者的区别会在一个很小的区间内:

\[e^{-\epsilon}\leq\frac{f_{\mathit{U}}(\theta)}{f_{\mathit{A}(\theta)}}\leq e^{\epsilon}\]

其次,通过定理3的讨论,给定一个具有有界梯度残差范数和隐私预算\((\epsilon,\delta)\)的学习模型,可以校准学习结果\(b\)的概率分布来得到有保证的遗忘方法。

总结来说,通过理论分析,本文说明了通过对冲方法可以得到与重训方法效果类似的模型,即“几乎差不多的遗忘结果”。但有必要指出,这并不保证对冲方法将敏感信息遗忘干净了。

You May Also Enjoy

F-learning方法论文阅读笔记

less than 1 minute read

Published:

大型语言模型 (LLM) 的最新进展展示了其在文本理解和生成方面的卓越能力。然而,即使是更强大的 LLM 也容易从训练语料库中获取错误或过时的信息。直接使用包含新知识的数据进行二次微调可能会因新旧知识之间的冲突而无法有效更新知识。在本文中,我们提出了一种新的微调范式,称为 F-Learning(Forgetting before Learning),它使用参数算法来促进旧知识的遗忘和新知识的学习。在两个公开数据集上的实验结果表明,我们提出的 F-Learning 可以明显提高完全微调和 LoRA 微调的知识更新性能,在大多数情况下同时超越现有基线。此外,我们还发现通过减去 LoRA 的参数来忘记旧知识可以产生与减去完全微调的参数类似的效果,有时甚至会大大超过它。

latent adversarial unlearning方法论文阅读笔记

less than 1 minute read

Published:

虽然LLM在许多领域取得了成功,但仍然受到训练语料库中问题内容的困扰。LLM 反学习旨在减少它们的影响并避免不良行为。然而,现有的反学习方法仍然容易受到对抗性查询的攻击,并且反学习的知识会在手动设计的攻击查询之后重新出现。作为红队主动评估反学习模型漏洞的一部分,本文设计了动态反学习攻击 (DUA),这是一个动态的自动化框架来攻击这些模型并评估其鲁棒性。它优化了对抗性后缀以在各种场景中重新引入未学习的知识。本文发现,即使不透露反学习模型的参数,55.2% 的问题也可以重现反学习的知识。为了解决这一弱点,本文提出了潜在对抗性反学习 (LAU),这是一个通用框架,可以有效增强反学习过程的鲁棒性。它将反学习过程公式化为最小-最大优化问题,并通过两个阶段解决:攻击阶段,训练扰动向量并将其添加到 LLM 的潜在空间以恢复反学习的知识;防御阶段,使用先前训练的扰动向量来增强反学习模型的鲁棒性。借助LAU框架,本文获得了两种鲁棒的反学习方法:AdvGA 和 AdvNPO。本文在多个反学习基准和各种模型上进行了广泛的实验,并证明它们将反学习效果提高了 53.5% 以上,仅导致邻近知识减少不到 11.6%,并且几乎不影响模型的一般能力。

DEPN方法论文阅读笔记

less than 1 minute read

Published:

在大量数据上进行预训练的大型语言模型可以捕获训练数据中的丰富知识和信息。先前的研究揭示了预训练语言模型中数据记忆和反省的能力,这带来了数据泄露的风险。为了有效降低这些风险,本文提出了一个框架DEPN来检测和编辑预训练语言模型中的隐私神经元,部分灵感来自知识神经元和模型编辑。在DEPN中,本文引入了一种新方法,称为隐私神经元检测器,用于定位与隐私信息相关的神经元,然后通过将其激活设置为零来编辑这些检测到的隐私神经元。此外,本文提出了一种隐私神经元聚合器,以批处理方式取消记忆隐私信息。实验结果表明,DEPN可以显着有效地减少隐私数据泄露的风险,而不会降低模型的性能。此外,本文从多个角度(包括模型大小、训练时间、提示、隐私神经元分布)实证证明了模型记忆与隐私神经元之间的关系,说明了本文方法的鲁棒性。

PCGU论文阅读笔记

less than 1 minute read

Published:

最近的研究表明,大规模预训练语言模型往往会表现出与种族主义、性别歧视、宗教偏见和一般毒性有关的问题。不幸的是,这些预训练语言模型几乎普遍用于下游任务,而自然语言处理通常用于进行现实世界的预测。因此,在开发过程中尽早消除这些语言模型的偏见对于防止自然语言系统造成的无意伤害越来越重要。为此,我们提出了一种称为分区对比梯度反学习 (PCGU) 的新技术,这是一种用于消除预训练掩码语言模型偏见的灰盒方法。PCGU 旨在仅优化对特定偏见领域贡献最大的权重,通过基于对比句子对的梯度计算一阶近似来实现。我们的实验表明,PCGU 既成本低廉,又似乎特别有效地查明大型预训练 Transformer 中隐性社会偏见的来源。虽然我们仅在性别职业领域使用 PCGU 进行训练,但我们发现这样做也可以部分减轻其他领域的偏见。