л-разнообразие - l-diversity
л-разнообразие, также записывается как ℓ-разнообразие, это форма групповой анонимизация что используется для сохранения Конфиденциальность в наборах данных за счет уменьшения детализации данные представление. Это сокращение является компромиссом, который приводит к некоторой потере эффективности алгоритмов управления данными или интеллектуального анализа данных для достижения некоторой конфиденциальности. В л-разнообразие модели является продолжением k-анонимность модель, которая снижает степень детализации представления данных с использованием методов, включая обобщение и подавление, так что любая данная запись отображается как минимум на к-1 другие записи в данных. В л-Модель разнообразия устраняет некоторые недостатки k-модель анонимности, в которой личность защищена до уровня k- отдельные лица не эквивалентно защите соответствующих чувствительных значений, которые были обобщены или подавлены, особенно когда чувствительные значения внутри группы демонстрируют однородность. В л-Модель разнообразия добавляет продвижение внутригруппового разнообразия для чувствительных ценностей в механизм анонимизации.
Нападения на k-анонимность
Пока k-анонимность - многообещающий подход к групповой анонимности, учитывая ее простоту и широкий спектр алгоритмов, которые ее выполняют, однако она уязвима для многих атак. Когда злоумышленнику доступны фоновые знания, такие атаки становятся еще более эффективными. К таким атакам относятся:
- Атака на однородность: Эта атака использует случай, когда все значения для чувствительного значения в наборе k записи идентичны. В таких случаях, даже если данные были k-анонимизированное, чувствительное значение для набора k записи могут быть точно предсказаны.
- Атака фоновых знаний: Эта атака использует ассоциацию между одним или несколькими атрибутами квазиидентификатора с чувствительным атрибутом, чтобы уменьшить набор возможных значений для чувствительного атрибута. Например, Machanavajjhala, Kifer, Gehrke и Venkitasubramaniam (2007) показали, что знание того, что сердечные приступы происходят с меньшей частотой у японских пациентов, можно использовать для сужения диапазона значений чувствительного атрибута болезни пациента.
Формальное определение
Учитывая существование таких атак, в которых могут быть определены чувствительные атрибуты k-анонимность данных, л- метод разнообразия был создан для дальнейшего k-анонимность за счет дополнительного сохранения разнообразия чувствительных областей. Книга Интеллектуальный анализ данных с сохранением конфиденциальности - модели и алгоритмы (2008)[1] определяет л-разнообразие как бытие:
Пусть q * -блок будет набором кортежей, нечувствительные значения которого обобщаются на q *. Q * -блок - это л-разнообразен, если он содержит л "хорошо представленные" значения для чувствительного атрибута S. Таблица л-разнообразный, если каждый q * -блок в нем л-разнообразный.
Бумага т-Близость: конфиденциальность за пределами k-анонимность и л-разнообразие (2007)[2] определяет л-разнообразие как бытие:
В л-Принцип разнообразия - Говорят, что класс эквивалентности имеет л-разнообразие, если есть хотя бы л «Хорошо представленные» значения для чувствительного атрибута. Говорят, что стол имеет л-разнообразие, если каждый класс эквивалентности таблицы имеет л-разнообразие.
Machanavajjhala et. al. (2007)[3] определить «хорошо представленный» тремя способами:
- Отчетливый л-разнообразие - Самое простое определение гарантирует, что по крайней мере л существуют различные значения для чувствительного поля в каждом классе эквивалентности.
- Энтропия л-разнообразие - Самое сложное определение определяет Энтропия эквивалентного класса E быть отрицанием суммирования s через домен чувствительного атрибута п(E,s)бревно(п(E,s)) куда п(E,s) - доля записей в E которые имеют чувствительную ценность s. У таблицы есть энтропия л-разнообразие, когда для каждого эквивалентного класса E, Энтропия(E) ≥ журнал (л).
- Рекурсивный (c-л)-разнообразие - Компромиссное определение, которое гарантирует, что наиболее распространенное значение не будет появляться слишком часто, в то время как менее распространенные значения не будут появляться слишком часто.
Аггарвал и Ю (2008) отмечают, что при наличии более одного чувствительного поля л- проблема разнообразия усложняется из-за дополнительных размерностей.
Смотрите также
Рекомендации
- ^ Aggarwal, Charu C .; Ю, Филип С. (2008). «Общий обзор моделей и алгоритмов интеллектуального анализа данных с сохранением конфиденциальности» (PDF). Интеллектуальный анализ данных с сохранением конфиденциальности - модели и алгоритмы. Springer. С. 11–52. ISBN 978-0-387-70991-8.
- ^ Ли, Нинхуэй; Ли, Тяньчэн; Венкатасубраманян, С. (апрель 2007 г.). t-Closeness: конфиденциальность за пределами k-анонимности и l-разнообразия. IEEE 23-я Международная конференция по инженерии данных, 2007 г. ICDE 2007 г.. С. 106–115. CiteSeerX 10.1.1.158.6171. Дои:10.1109 / ICDE.2007.367856. ISBN 978-1-4244-0802-3. S2CID 2949246.
- ^ Machanavajjhala, Ashwin; Кифер, Дэниел; Герке, Йоханнес; Венкитасубраманиам, Мутурамакришнан (март 2007 г.). «L-разнообразие: конфиденциальность за пределами K-анонимности». Транзакции ACM при обнаружении знаний из данных. 1 (1): 3 – es. Дои:10.1145/1217299.1217302. ISSN 1556-4681. S2CID 679934.
Атака фоновых знаний. У Алисы есть друг по переписке по имени Умэко, который госпитализирован в ту же больницу, что и Боб, и чьи истории болезни также показаны в таблице, показанной на Рисунке 2. Алисе известно, что Умэко - 21-летняя японка, которая в настоящее время живет в почтовом индексе 13068. Основываясь на этой информации, Алиса узнает, что информация Умеко содержится в записи с номерами 1,2,3 или 4. Без дополнительной информации Алиса не уверена, заразился ли Умеко вирусом или болен сердцем. Однако хорошо известно, что у японцев очень низкий уровень сердечных заболеваний. Таким образом, Алиса почти наверняка заключает, что Умеко заражена вирусной инфекцией.