Privacy Evaluation of Generative Models for Trajectory Generation
作者: Stavros Bouras, Ioannis Kontopoulos, Chiara Pugliese, Francesco Lettich, Emanuele Carlini, Hanna Kavalionak, Chiara Renso, Konstantinos Tserpes
分类: cs.LG
发布日期: 2026-05-14
备注: Accepted at the 1st Workshop on Multi-Sensor Trajectory Knowledge Discovery and Extraction (MuseKDE 2026), co-located with the 27th IEEE International Conference on Mobile Data Management (IEEE MDM 2026)
💡 一句话要点
评估轨迹生成模型隐私性:揭示生成模型在轨迹数据上的隐私风险
🎯 匹配领域: 支柱八:物理动画 (Physics-based Animation)
关键词: 轨迹生成 隐私评估 生成模型 成员推理攻击 数据隐私
📋 核心要点
- 现有轨迹生成模型(如GAN、VAE等)常被认为能保护隐私,但缺乏充分的隐私评估。
- 本文通过实施成员推理攻击,评估生成模型在轨迹数据上的隐私风险,填补了隐私评估的空白。
- 实验结果表明,即使是生成模型,也存在隐私泄露的风险,需要更严格的隐私保护措施。
📝 摘要(中文)
轨迹数据是现代城市智能的基础,但其敏感性引发了严重的隐私问题。生成对抗网络、变分自编码器和扩散模型等生成模型通过捕获潜在的时空分布和移动模式,已被开发用于生成逼真的合成轨迹数据。尽管这些模型通常被认为由于其生成性质而能保护隐私,但这种假设不一定成立。本文研究了生成轨迹建模和隐私评估的交叉领域。通过识别适用于评估轨迹生成任务中隐私保护的经验方法,我们证明了生成轨迹模型隐私评估方面存在显著差距。受此差距的驱动,我们对代表性模型实施了成员推理攻击,证明了使用此类经验隐私评估方法的可行性,并表明其生成性质并不能消除隐私风险。
🔬 方法详解
问题定义:论文旨在解决生成式轨迹模型在生成合成轨迹数据时,是否真正能够保护原始轨迹数据隐私的问题。现有方法通常假设生成模型的生成特性能够自动提供隐私保护,但缺乏充分的验证和评估,导致对隐私风险的认知不足。
核心思路:论文的核心思路是通过实施成员推理攻击(Membership Inference Attacks, MIA)来评估生成模型的隐私保护能力。MIA旨在判断一个给定的数据样本是否被用于训练目标模型。如果攻击成功,则表明模型存在隐私泄露风险。
技术框架:论文的技术框架主要包括以下几个步骤:1) 选择代表性的生成式轨迹模型,如GAN、VAE和扩散模型;2) 构建成员推理攻击模型,该模型通常是一个二元分类器,用于判断目标轨迹是否属于训练集;3) 使用训练好的生成模型生成合成轨迹数据;4) 使用MIA攻击模型评估生成模型,判断其是否泄露了训练数据的隐私信息。
关键创新:论文的关键创新在于将成员推理攻击应用于评估生成式轨迹模型的隐私保护能力。以往的研究较少关注生成模型在轨迹数据上的隐私风险,而本文通过实验证明了即使是生成模型也可能存在隐私泄露。
关键设计:论文的关键设计包括:1) 选择合适的成员推理攻击方法,例如基于影子模型的攻击;2) 设计有效的特征提取方法,从轨迹数据中提取用于训练MIA模型的特征;3) 针对不同的生成模型,调整MIA模型的参数和结构,以获得最佳的攻击效果。
📊 实验亮点
论文通过对代表性的生成模型(GAN、VAE、扩散模型)进行成员推理攻击,证明了这些模型在生成轨迹数据时存在隐私泄露的风险。实验结果表明,攻击者可以相对容易地判断一个轨迹是否被用于训练生成模型,从而揭示了生成模型在隐私保护方面的不足。
🎯 应用场景
该研究成果可应用于评估和改进各种基于生成模型的轨迹数据隐私保护方案。例如,可以帮助开发者选择更安全的生成模型,或者设计更有效的差分隐私机制来增强轨迹数据的隐私保护。此外,该研究还可以促进城市规划、交通管理等领域对数据隐私的重视,推动更安全的数据共享和利用。
📄 摘要(原文)
Trajectory data is fundamental to modern urban intelligence, yet its sensitivity raises significant privacy concerns. Generative models such as Generative Adversarial Networks, Variational Autoencoders, and Diffusion Models have been developed to generate realistic synthetic trajectory data by capturing underlying spatiotemporal distributions and mobility patterns. Although these models are often assumed to preserve privacy due to their generative nature, this assumption does not necessarily hold. In this work, we investigate the intersection of generative trajectory modeling and privacy evaluation. By identifying applicable empirical methods for assessing privacy preservation in trajectory generation tasks, we demonstrate a significant gap in the evaluation of privacy for generative trajectory models. Motivated by this gap, we implement Membership Inference Attacks against representative models, demonstrating the feasibility of using such empirical privacy evaluation methods and showing that their generative nature does not eliminate privacy risks.