マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ

612 views
569 views

Published on

JSAI 2013.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
612
On SlideShare
0
From Embeds
0
Number of Embeds
52
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ

  1. 1. マルコフモデルを仮定した
位置情報開示のためのアドバーザリアルプライバシ 川本 淳平1, 福地 一斗2, 佐久間 淳21筑波大学システム情報系 2筑波大学大学院システム情報工学研究科コンピュータサイエンス専攻
  2. 2. 移動履歴情報の収集と利用に関する期待 •  GPS などから得られる移動履歴情報の利用 人口過密地帯だけではなく過疎地であっても低コストでこれらの調査が可能 2013/6/4 現在通行可能な経路はどこか どの経路が良く利用されているかどの経路で良く事故(変化)が発生するか 変化点検出 頻出パタン発見 因果関係発見 カウント集計 基本 複雑 リアルタイムでの事故(変化)発見 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 2
  3. 3. 移動履歴情報公開におけるプライバシ問題 •  解析のための移動履歴情報公開•  プライバシに配慮した情報公開が必要•  誰がいつどこに居たのか?•  誰と誰が同じ時間に同じ場所に居たのか? etc. 2013/6/4 事業者 事業者 解析者 解析のための情報公開 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 3
  4. 4. 対象とするシステム •  GPSなどから移動履歴を収集しヒストグラムを出力する•  時間ごとにその時点での滞在数ヒストグラムを出力•  事業者(データ収集者)が満たすべきプライバシについて議論する 2013/6/4 事業者 解析者 πPOI 人数 渋谷 15300 新宿 30000 t = 1 ππPOI 人数 渋谷 15200 新宿 30100 t = 2 POI 人数 渋谷 15000 新宿 30300 t = 3 公開 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 4
  5. 5. 関連研究:差分プライバシ1 •  デファクトスタンダードなプライバシ定義•  ヒストグラムの集計に個人の情報が使われていると判断できる確率を制限•  ヒストグラムの各値にラプラス分布に従うノイズを付加•  すべてのデータを均等に扱いノイズを付加•  差分プライバシはあらゆる攻撃に対するプライベート性を考える•  過疎地帯に対してはノイズの影響が無視できない 2013/6/4 5 [1] C.Dwork, F.McSherry, K.Nissim, A.Smith, “Calibrating noise to sensitivity in private data analysis”, Proc. of theThird Conference on Theory of Cryptography, pp. 265-284, 2006. ⎟⎟⎠⎞⎜⎜⎝⎛ −−φµφ||exp21 xマルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 過疎地域におけるノイズ付加の結果
  6. 6. 関連研究:差分プライバシ1 •  デファクトスタンダードなプライバシ定義•  ヒストグラムの集計に個人の情報が使われていると判断できる確率を制限•  ヒストグラムの各値にラプラス分布に従うノイズを付加•  すべてのデータを均等に扱いノイズを付加•  差分プライバシはあらゆる攻撃に対するプライベート性を考える•  過疎地帯に対してはノイズの影響が無視できない 2013/6/4 6 [1] C.Dwork, F.McSherry, K.Nissim, A.Smith, “Calibrating noise to sensitivity in private data analysis”, Proc. of theThird Conference on Theory of Cryptography, pp. 265-284, 2006. ⎟⎟⎠⎞⎜⎜⎝⎛ −−φµφ||exp21 xマルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 攻撃者に仮定を与え差分プライバシより弱いが利便性の高い出力を得るためのプライバシ定義を提案する 過疎地域におけるノイズ付加の結果 vs.
  7. 7. 提案プライバシ:攻撃者の仮定 •  攻撃者の背景知識 P•  「ある場所に居た人は次にどこへ向かいやすいか」•  想定する攻撃2013/6/4 今、渋谷にいる攻撃対象が次にどこへ行くか? 背景知識 P のみを用いた推測 事業者 公開されたヒストグラムも用いた推測 攻撃者 この差が小さければ公開ヒストグラムは安全 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 7
  8. 8. 提案プライバシ:設計方針 •  差分プライバシはあらゆる遷移について隠していた•  自明な遷移については隠さなくては良いと考える2013/6/4 こちらへ曲がる 行き止まり 開発途中 A この向きに進んできた人のほとんどは B C D t A B C D 0 1 0 0 0 1 0 1 0 0 t = 0 で攻撃対象が A にいることを知っていればどちらへ曲がったか (t = 1 でB にいる) は隠す必要なしと考えるマルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 8
  9. 9. 提案プライバシ:アイデア •  自明・非自明な遷移を表現するためにマルコフ過程を導入•  マルコフ過程の遷移確率 P を使った攻撃を対象とする•  遷移確率から推測可能なこと以上の情報を出力ヒストグラムが与えなければ安全だと考える•  アドバーザリアルプライバシ2•  ある事象 T が起こる攻撃者の確信度 p(T)•  出力情報 O を観測した場合の攻撃者の確信度 p(T | O)•  p(T | O) ≦ eε p(T) が成り立つとき ε-アドバーザリアルプライベートという2013/6/4 0.5 0.5 0.1 0.9 マルコフ過程 渋谷 駒場 [2] V.Rastogi, M.Hay, G.Miklau, D.Suciu, “Relationship Privacy: Output Perturbation for Queries with Joins”, Proc.of the ACM Symposium on Principles of Database Systems, pp.107-116, 2009. 自明: 渋谷に居る人はあまり移動しない非自明: 渋谷から駒場に移動した レアケースゆえプライバシを考慮する マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 9 公開情報
  10. 10. 提案アドバーザリアルプライバシ •  ある人が li 地点から lj 地点に移動したと推測する攻撃を考える•  公開情報(= マルコフ遷移確率 P) と過去のヒストグラムによる確信度p(Xt+1=lj | Xt=li, π(t); P)•  出力情報(= 時刻 t+1 における最新ヒストグラム)も用いた確信度p(Xt+1=lj | Xt=li, π(t), π(t+1); P)2013/6/4 π(t):時刻 t に公開されたヒストグラム 任意の Xt+1=lj, Xt=li の組に対し下記が成り立つとき出力ヒストグラム π(t+1) は ε-アドバーザリアルプライベートというp(Xt+1=lj | Xt=li, π(t), π(t+1); P) ≦ eε p(Xt+1=lj | Xt=li, π(t); P) 出力ヒストグラムのアドバーサリアルプライバシ マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 10 提案プライバシ条件を満たすヒストグラムの計算方法については論文を参照して下さい.
  11. 11. 実データによる評価実験 •  データセットと対象アプリケーション•  人の流れプロジェクト3 東京都市圏(1998年)•  渋谷駅周辺 14 駅及び町田駅周辺 14 駅における滞在人数の変化点検出•  変化点検出プログラム: ChangeAnomalyDetection4•  1分毎に各駅に滞在している人数を出力•  比較的滞在人数の多い渋谷駅と滞在人数が少ない古淵駅の結果について考察•  比較手法として差分プライバシ(DP)のε = 1と100の二種類を選択2013/6/4 [3] http://pflow.csis.u-tokyo.ac.jp/index-j.html[4] http://cran.r-project.org/web/packages/ChangeAnomalyDetection/ メカニズム πππ公開 人の流れデータ 変化点検出器 1分間隔 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 11 ε=100 は差分プライバシを十分弱めほぼ何も保護していない設定
  12. 12. 渋谷駅における滞在人数の変化 2013/6/4 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 12 ほぼ等しい 人数が少ないところでエラーを含む Plain: 元データAdvP: 提案手法DP-1: DP (ε=1)DP-100: DP (ε=100)
  13. 13. 渋谷駅における変化点スコアの変化 •  AdvP はラッシュ時に過剰なスコア•  それ以外の誤検出は見られない•  DP-1, DP-100 共に誤検出を含む•  ほぼ何も保護しない DP-100 でさえ誤検出を含む2013/6/4 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 13 変化点スコア 変化点スコアの誤差 誤差は |(plainのスコア) – (各手法によるスコア)| で算出
  14. 14. 古淵駅における滞在人数の変化 2013/6/4 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 14 ほぼ等しい 人数が少ないためノイズの影響が大きい
  15. 15. 古淵駅における変化点スコアの変化 •  AdvP はほぼ Plain に対する検出スコアと同じ値•  誤検出がない•  DP-1, DP-100 はラッシュ以外の誤検出が多い2013/6/4 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 15 変化点スコア 変化点スコアの誤差 誤差は |(plainのスコア) – (各手法によるスコア)| で算出
  16. 16. まとめと今後の課題 •  移動履歴情報公開のためのプライバシ定義•  差分プライバシより弱いが利便性の高い出力を得るプライバシ定義•  人々の行動にマルコフモデルを仮定したアドバーザリアルプライバシの提案•  変化点検出を対象アプリケーションとした評価実験•  提案プライバシは差分プライバシに比べて利便性の高いデータを出力•  人口が多い地域,少ない地域共に利便性の高いデータを出力•  今後の課題•  大規模データに大してスケールするヒストグラム導出アルゴリズムの考案•  現在のアルゴリズムは最大流問題を用いている•  1ステップで行動可能な範囲は限られている•  局所化と分散計算によって解決できないかと考えている 2013/6/4 マルコフモデルを仮定した位置情報開示のためのアドバーザリアルプライバシ 16

×