PrivCore:用于高效私有推理的乘法-激活协同优化

人工智能 计算机科学 信息科学
深度神经网络 安全两方计算 私有推理 Winograd卷积 网络剪枝 ReLU优化

深度神经网络中的高效隐私推理:PrivCore框架的突破性研究

背景介绍

随着深度学习技术的快速发展,深度神经网络(Deep Neural Networks, DNNs)在图像识别、自然语言处理、医疗诊断等领域的应用日益广泛。然而,随着数据隐私和模型保护的需求日益增长,如何在保护用户隐私的同时进行高效的模型推理成为了一个重要的研究课题。传统的隐私保护推理方法,如基于安全多方计算(Secure Multi-Party Computation, MPC)的隐私推理(Private Inference, PI),虽然在隐私保护方面表现优异,但其计算和通信开销巨大,难以在实际应用中广泛推广。

近年来,研究人员尝试通过优化网络架构来减少隐私推理中的计算和通信开销。然而,现有研究大多集中在减少非线性操作(如ReLU激活函数)的开销,而忽略了线性操作(如卷积)的优化。事实上,卷积操作在隐私推理中占据了大部分的通信开销。因此,如何在保证推理精度的同时,联合优化线性和非线性操作,成为了一个亟待解决的问题。

论文来源

本论文题为“PrivCore: Multiplication-Activation Co-Reduction for Efficient Private Inference”,由来自武汉大学网络空间安全学院的Zhi Pang、Lina Wang、Fangchao Yu、Kai Zhao、Bo Zeng和Shuwang Xu共同撰写。论文发表于2025年的Neural Networks期刊(第187卷,第107307页)。该研究提出了一种名为PrivCore的框架,通过联合优化线性和非线性操作,显著提高了隐私推理的效率。

研究流程与细节

1. 研究目标与框架概述

PrivCore的核心目标是通过联合优化卷积和ReLU操作,减少隐私推理中的计算和通信开销,同时保持模型的推理精度。具体而言,PrivCore框架包括两个主要阶段:线性优化阶段非线性优化阶段。在线性优化阶段,PrivCore通过Winograd卷积和结构化剪枝技术减少卷积操作的乘法次数;在非线性优化阶段,PrivCore通过敏感性分析自动选择冗余的ReLU激活函数,并用多项式近似替换这些ReLU,从而减少非线性操作的开销。

2. 线性优化阶段:Winograd卷积与结构化剪枝

2.1 Winograd卷积

Winograd卷积是一种快速卷积算法,能够通过增加加法操作来减少乘法次数,从而降低通信开销。PrivCore首先将标准的卷积操作转换为Winograd域,利用Winograd算法的优势减少卷积操作的乘法次数。具体而言,Winograd卷积通过输入变换、权重变换、元素级矩阵乘法和输出变换四个步骤实现卷积操作。

2.2 结构化剪枝

为了进一步减少卷积操作的乘法次数,PrivCore提出了两种结构化剪枝方法:Winograd感知的滤波器剪枝(WAFP)Winograd感知的向量剪枝(WAVP)。WAFP通过在空间域对滤波器进行剪枝,保留Winograd域中的结构化稀疏性;WAVP则通过在Winograd域中对向量进行剪枝,进一步减少卷积操作的乘法次数。

  • WAFP:WAFP通过计算滤波器的Winograd感知重要性分数,选择最不重要的滤波器进行剪枝。该方法不仅考虑了空间域中的滤波器重要性,还考虑了Winograd域中的权重稀疏性,从而在剪枝后仍能保持较高的模型精度。

  • WAVP:WAVP通过将Winograd域中的权重向量分组,并根据向量的L2范数进行剪枝。WAVP支持两种剪枝模式:跨核剪枝(WAVP-CK)和跨滤波器剪枝(WAVP-CF)。实验表明,跨滤波器剪枝在密集型剪枝下表现更优,因此在后续实验中采用了WAVP-CF模式。

3. 非线性优化阶段:敏感性分析与多项式近似

在非线性优化阶段,PrivCore通过敏感性分析自动选择冗余的ReLU激活函数,并用多项式近似替换这些ReLU,从而减少非线性操作的开销。

3.1 敏感性分析

PrivCore提出了一种基于敏感性的ReLU重要性评估方法。具体而言,PrivCore将ReLU函数参数化为一个可训练的混合函数,通过计算ReLU参数的敏感性分数,评估每个ReLU对模型性能的影响。敏感性分数越高,表示该ReLU对模型性能的影响越大,反之则表示该ReLU是冗余的,可以被移除。

3.2 多项式近似

对于被标记为冗余的ReLU,PrivCore采用可训练的二阶多项式进行近似。多项式系数在训练过程中不断优化,以最小化原始模型和优化模型之间的中间表示差异。通过这种方式,PrivCore在减少非线性操作的同时,保持了模型的推理精度。

4. 实验结果与结论

PrivCore在多个模型和数据集上进行了广泛的实验,验证了其有效性。实验结果表明,PrivCore在CIFAR-100数据集上相比SENet(ICLR 2023)实现了2.2倍的通信减少和1.8%的精度提升;在ImageNet数据集上相比CoPriv(NeurIPS 2023)实现了2.0倍的通信减少和相同的精度。

  • 通信与延迟优化:PrivCore通过联合优化卷积和ReLU操作,显著减少了隐私推理中的通信和延迟开销。实验表明,PrivCore在CIFAR-100、Tiny-ImageNet和ImageNet数据集上均实现了通信和延迟与精度的最佳权衡。

  • 模型精度保持:尽管PrivCore大幅减少了通信和延迟开销,但其在多个数据集上的推理精度与现有方法相当,甚至在某些情况下有所提升。

研究亮点与意义

  1. 联合优化线性和非线性操作:PrivCore首次提出通过联合优化卷积和ReLU操作来减少隐私推理中的计算和通信开销,填补了现有研究的空白。

  2. Winograd感知的结构化剪枝:PrivCore提出的Winograd感知剪枝方法,能够在Winograd域中保持结构化稀疏性,从而在减少卷积操作的同时保持模型精度。

  3. 敏感性分析与多项式近似:PrivCore通过敏感性分析自动选择冗余的ReLU,并用多项式近似替换这些ReLU,进一步减少了非线性操作的开销。

结论

PrivCore框架通过联合优化线性和非线性操作,显著提高了隐私推理的效率,同时保持了模型的推理精度。该研究不仅为隐私保护推理提供了新的解决方案,也为深度神经网络的高效优化提供了新的思路。随着数据隐私和模型保护需求的不断增加,PrivCore框架有望在实际应用中发挥重要作用。