【呆板忘记之UNSIR算法】2023年IEEE Trans期刊论文：Fast yet effective ma ...

1 介绍

年份：2023
期刊：IEEE Transactions on Neural Networks and Learning Systems
引用量：170
Tarun A K, Chundawat V S, Mandal M, et al. Fast yet effective machine unlearning[J]. IEEE Transactions on Neural Networks and Learning Systems, 2023.
通过生成最大化误差的噪声矩阵和基于损伤-修复的权重操纵来实现对特定类别数据的快速忘记学习，关键步骤包括使用原始模子学习针对待忘记类别的误差最大化噪声矩阵，然后通过损伤步骤使用高学习率和噪声矩阵剧烈改变模子权重以实现快速忘记，以及通过修复步骤规复模子整体性能，从而在保留整体模子准确性的同时实现对特定数据类别的有用忘记。简而言之，通过学习针对特定类别的误差最大化噪声矩阵，并结合损伤修复步骤来操纵模子权重，从而实如今不重新练习整个模子的环境下快速有用地忘记呆板学习模子中的特定数据类别。
2 创新点

• 零观察隐私设置（Zero-Glance Privacy Setting）：
  
  
  
  • 提出了一种在不观察完整练习数据的环境下进行呆板学习的框架，这比现有的设置更为严格，为更高级别的隐私掩护提供了可能性。
    
  
  
• 错误最大化噪声生成（Error-Maximizing Noise Generation）：
  
  
  
  • 引入了一种新的呆板学习框架，通过学习一个错误最大化的噪声矩阵来针对必要被忘记的数据类别，这种噪声矩阵用于操纵模子权重以实现对目标数据类别的忘记。
    
  
  
• 损伤修复（Impair-Repair）权重操纵：
  
  
  
  • 提出了一种名为UNSIR（Unlearning by Selective Impair and Repair）的方法，通过单次通过损伤和单次通过修复的方式，无需访问哀求删除的数据样本，即可在深度模子中实现单类/多类数据的忘记。
    
  
  
• 高效性和可扩展性：
  
  
  
  • 该方法在处理单类和多类数据忘记时所需的更新步骤数量相似，使得该方法可以或许扩展到大型问题，而且在服从上与现有方法相比有显著提拔。
    
  
  
• 多类忘记的高效实现：
  
  
  
  • 在不必要对原始优化机制或网络设计施加任何限定的环境下，该方法可以或许在多种范例的深度网络（如卷积网络和ViTs）上工作，而且在小型和大型视觉任务中都体现良好。
    
  
  
• 现实应用的实用性：
  
  
  
  • 该方法不仅实用于小规模问题，还实用于大规模视觉问题，如100类的视觉识别任务，这是初次在深度网络中实现多类忘记的高效方法。
    
  
  
• 源代码公开：
  
  
  
  • 提供了实现该方法的源代码链接，方便其他研究者和开辟者进行验证和进一步的研究。
    
  
  

3 相干研究

A. 呆板学习中的忘记（Machine Unlearning）：

• Brophy和Lowd [7] 提出了一种支持数据忘记的随机丛林变体，必要最少的重新练习。
  
• Guo等人 [12] 提出了一种基于牛顿更新机制的认证信息移除框架，用于凸学习问题。
  
• Izzo等人 [14] 提出了一种从线性模子中删除数据点的项目残差更新方法。
  
• Neel等人 [15] 研究了基于梯度降落的方法在凸模子中的忘记结果。
  

B. 深度神经网络中的忘记（Unlearning in Deep Neural Networks）：

• Golatkar等人 [9] 提出了一种信息论方法，用于从使用随机梯度降落（SGD）练习的深度网络的中心层中擦除信息。
  
• Golatkar等人 [3] 直接练习一个线性化网络用于忘记，并提出了一个混合线性模子。
  
• Thudi等人 [35] 讨论了正式证明模子中某些数据点不存在的困难，并发起当前的忘记方法仅在算法层面上有界说。
  

C. 数据隐私（Data Privacy）：

• Shokri和Shmatikov [41] 研究了隐私掩护深度学习。
  
• Phan等人 [42] 探讨了深度主动编码器的差分隐私掩护。
  
• Cao等人 [27] 研究了数据删除在k-means聚类中的问题。
  
• Abadi等人 [28] 和 Dwork和Roth [29] 讨论了差分隐私的算法基础。
  

4 算法

4.1 算法原理

• 错误最大化噪声生成（Error-Maximizing Noise Generation）：
  
  
  
  • 算法首先为目标忘记的类别学习一个错误最大化的噪声矩阵。这个噪声矩阵用于操纵模子权重，以实现对特定类别数据的忘记。通过最大化模子丧失来生成噪声，使得噪声与目标忘记类别相干联，但与输入数据集X不重合。
    
  
  
• UNSIR（Unlearning by Selective Impair and Repair）：
  
  
  
  • UNSIR方法包括两个主要步骤：损伤（Impair）和修复（Repair）。
    
  • 损伤步骤：在这一步骤中，将生成的噪声矩阵与保留类别的一小部分数据（Dr_sub）结合，然后对模子进行一次练习周期（epoch）。这个高学习率的过程会导致模子在目标忘记类别上的性能急剧降落，从而实现对这些类别的忘记。
    
  • 修复步骤：在损伤步骤之后，为了规复模子在保留类别上的性能，使用保留类别的子集（Dr_sub）对模子进行再次练习。这次练习有助于稳固网络权重，使其更好地记着保留的任务。
    
  
  
• 权重操纵：
  
  
  
  • 通过损伤和修复步骤，算法可以或许控制性地操纵网络权重，以实现对特定类别数据的忘记，同时尽可能保持模子在其他任务上的准确性。
    
  
  
• 零观察隐私设置（Zero-Glance Privacy Setting）：
  
  
  
  • 该算法在零观察隐私设置下工作，这意味着在忘记过程中，模子不会看到任何须要被忘记的数据样本。这进步了隐私掩护水平，由于即使在数据被要求删除后，这些数据也不会被用于任何网络权重操纵。
    
  
  
• 多类别忘记：
  
  
  
  • 该方法可以或许扩展到多类别忘记问题，而不必要对每个类别单独进行忘记处理。这使得算法在处理大规模问题时更加高效。
    
  
  
• 服从和可扩展性：
  
  
  
  • 算法设计为快速且可扩展，可以或许在大型数据集和不同的深度网络（如CNN和ViT）上工作，同时保持高效性。
    
  
  

4.2 算法步骤

• 错误最大化噪声矩阵学习（Error-Maximizing Noise Matrix Learning）：
  
  
  
  • 使用已练习好的模子，为目标忘记的类别学习一个噪声矩阵N。这个噪声矩阵的目的是最大化模子对于忘记类别的丧失函数，从而生成与忘记类别高度相干的噪声。
    
  
  
• 损伤步骤（Impair Step）：
  
  
  
  • 将学习到的噪声矩阵N与保留类别的子集数据（Dr_sub）结合，使用一个非常高的学习率进行一次练习周期（epoch）。这一步骤的目的是让模子在忘记类别上的体现急剧降落，实现对这些类别的忘记。
    
  
  
• 修复步骤（Repair Step）：
  
  
  
  • 在损伤步骤之后，为了规复模子在保留类别上的性能，仅使用保留类别的子集数据（Dr_sub）对模子进行再次练习周期（epoch）。这一步骤有助于稳固网络权重，使其更好地记着保留的任务。
    
  
  
• 模子更新：
  
  
  
  • 通过上述损伤和修复步骤，模子的权重被更新，以反映对特定类别数据的忘记，同时尽可能保持对其他类别数据的识别本领。
    
  
  
• 评估和验证：
  
  
  
  • 使用一系列评估指标来验证忘记算法的结果，包括忘记集（Forget Set）和保留集（Retain Set）的准确率、重练习时间（Relearn Time, RT）、权重间隔和忘记类别数据的预测分布。
    
  
  
• 迭代优化（如有必要）：
  
  
  
  • 假如必要，可以对损伤和修复步骤进行迭代优化，以进一步进步忘记结果和保留集的性能。
    
  
  
• 多类别忘记处理：
  
  
  
  • 对于必要忘记多个类别的环境，该方法可以扩展，通过为每个忘记类别学习一个噪声矩阵，并实验相似的损伤修复步骤。
    
  
  

5 实验分析

• 模子和数据集：
  
  
  
  • 实验使用了不同范例的深度网络，包括ResNet18、AllCNN、MobileNetv2和ViTs，以及不同的数据集CIFAR-10、CIFAR-100和VGGFace-100，以展示所提方法的广泛实用性。
    
  
  
• 评估指标：
  
  
  
  • 使用了多个评估指标来衡量忘记方法的性能，包括忘记集（Forget Set）的准确度（ADf）应靠近零，保留集（Retain Set）的准确度（ADr）应靠近原始模子的性能，重学时间（RT）以及权重间隔。
    
  
  
• 单类别忘记：
  
  
  
  • 实验结果体现，所提方法可以或许在单次损伤和修复步骤中有用地擦除特定类别的信息，而且在保留集上的准确度和忘记集上的准确度方面优于现有方法。例如，在CIFAR-10数据集上使用ResNet18时，该方法在保留集上的准确度从77.86%低落到71.06%，而在忘记集上的准确度从81.01%低落到0%。
    
  
  
• 多类别忘记：
  
  
  
  • 所提方法在多类别忘记方面体现出色。随着必要忘记的类别数量增长，修复步骤变得更为有用，使得在保留集上的性能更靠近原始模子。例如，在CIFAR-100数据集上使用预练习的ResNet18时，忘记20个类别后，保留集的准确度从77.88%低落到75.38%。
    
  
  
• 人脸识别中的忘记：
  
  
  
  • 在VGGFace-100数据集上，使用预练习的ResNet18和ViT模子进行人脸识别任务的忘记，结果体现该方法在保留集和忘记集上都取得了良好的性能。例如，在ResNet18上忘记一个类别时，保留集的准确度从80.63%低落到72.29%，而忘记集的准确度低落到3%。
    
  
  
• 预测分布：
  
  
  
  • 对于忘记类别的数据，所提方法的预测分布是随机的，没有会合在某个特定的保留类别上，表明该方法确实擦除了与忘记类别相干的信息。
    
  
  
• 权重间隔：
  
  
  
  • 所提方法在层与层之间的权重间隔上与重新练习的模子相似，表明忘记是有用的，而且没有信息泄露的迹象。
    
  
  
• 服从：
  
  
  
  • 所提方法在服从上显著优于重新练习和现有的忘记方法。例如，与重新练习相比，所提方法快了154倍，与Fisher方法相比快了1875倍。
    
  
  

图4展示了在不同环境下，颠末忘记处理的模子（包括重新练习的模子和本文提出的模子）与原始模子之间的层级权重间隔。这些间隔值以对数标准（log scale）呈现，以便更清楚地观察差异。层级权重间隔是指模子中每一层的权重向量之间的差异水平，通常用来评估忘记的结果——假如忘记后的模子与原始模子在权重上有很大差异，阐明忘记结果较好，由于这意味着模子已经忘记了与特定类别相干的信息。

使用GradCAM（Gradient-weighted Class Activation Mapping）可视化技术来展示ResNet18模子在CIFAR-100数据集上进行忘记前后的变革。GradCAM是一种可视化工具，它可以体现模子在做出特定预测时关注的输入图像的哪些区域。通过比力原始模子和忘记后的模子对同一输入图像的关注点，我们可以直观地理解忘记对模子行为的影响。
6 思考

（1）GradCAM可视化方法值得关注
（2）权重间隔指标，有什么作用？如何盘算？
权重间隔指标用于衡量颠末忘记处理的模子与原始模子之间的差异水平。这个指标的作用是评估忘记算法的有用性，即模子在忘记后是否真的忘记了特定类别的数据。假如忘记后的模子与原始模子在权重上有很大差异，阐明忘记结果较好，由于这意味着模子已经忘记了与特定类别相干的信息。
权重间隔的盘算方法通常如下：

• 界说权重间隔：权重间隔是模子中每一层的权重向量之间的差异水平。
  
• 盘算单层权重间隔：对于每一层，权重间隔可以通过盘算两个权重向量之间的欧几里得间隔（L2间隔）来得到：
  
• 盘算总权重间隔：为了得到整个模子的权重间隔，可以对全部层的权重间隔求和或求平均：
  

在现实应用中，权重间隔的盘算可以使用对数标准（log scale）来呈现，以便更清楚地观察差异。假如忘记后的模子与原始模子之间的权重间隔与重新练习的模子（不包括忘记类别的数据）与原始模子之间的权重间隔相当或更大，这表明忘记算法有用地改变了模子权重，使得模子忘记了特定类别的数据。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。