面向函數依賴的隱私保護研究＊

楊高明，方賢進，陸 奎，王 靜

（1.安徽理工大學計算機科學與工程學院，安徽 淮南232001；2.中國民航大學中國民航信息技術科研基地，天津300300）

1 引言

信息技術的發展使企業更容易收集到大量的個人隱私數據。為更好地服務社會，需要發布這些數據或者由第三方數據處理公司處理這些數據。如果原始數據不經處理就直接發布，將不可避免地導致用戶隱私泄露［1，2］，因此，近幾年隱私保護的數據發布受到越來越多的研究者關注。如果數據發布者僅僅移除用戶的標識信息，如身份證號碼、姓名等，這并不能有效地阻止用戶的隱私泄露。攻擊者可以使用準標識符屬性（QI），如生日、性別、郵政編碼等識別出用戶的具體信息。

為保護用戶的隱私信息，Sweeney L 等［3］提出了k－匿名的隱私保護數據發布模型，該匿名化模型要求每個匿名化組內包含至少k個元組，且該匿名化組的所有準標識符屬性有相同的屬性值。由于k－匿名模型只能抵御記錄連接（Record Linkage）攻擊，而不能抵御同質攻擊（Homogeneity Attack），因此，Machanavajjhala A 等［4］提出l－多樣性模型解決這個問題。除了k－匿名和l－多樣性，還有許多其他的隱私保護模型，如t－逼近［5］、（α，k）－匿名［6］、差分隱私保護［7］等。所有這些隱私保護模型假設攻擊者具有不同的背景知識，然而僅僅有部分工作關注數據集中存在數據關聯而導致的隱私泄露［8］。例如，Martin D J等［8］研究元組之間存在關聯而導致的隱私泄露。他們在研究中發現，如果元組之間存在關聯，一定會導致發布的數據隱私泄露。Kifer D 等［9］的研究顯示攻擊者可以使用交互的方法引入關聯，從而使數據集面臨攻擊時異常脆弱。在隱私保護的數據發布領域，文獻［10］考慮存在函數依賴時如何保護用戶隱私，但是他們的方法僅僅考慮如何把敏感屬性劃分為組，而沒有涉及到如何把準標識符屬性匿名化。為有效地保護用戶隱私，本文研究數據集中存在函數依賴時隱私保護的數據發布問題，同時結合了數據擾動和劃分的方法。

2 背景知識

本部分首先引入函數依賴的概念，給出基于函數依賴的攻擊模型以及數據擾動的基本方法，然后給出基于函數依賴的（l，α）－多樣性隱私保護模型。

2.1 函數依賴

函數依賴FDs（Functional Dependencies）在數據庫領域被廣泛研究，它是設計關聯數據庫的最基本概念和基礎。假設X和Y是關聯數據庫中的屬性集合，X和Y之間的函數依賴關系表示為X→Y，它指定了數據集之間的一致性要求。如果關系R的兩個元組擁有同樣的X屬性值，則存在函數依賴時，它們一定有相同的Y屬性值。當這個要求滿足的時候，我們就說關系R中存在函數依賴關系。對于函數依賴X→Y來說，屬性集X稱為確定性屬性，屬性集Y稱為依賴屬性，相應地，它們的值分別稱為確定性屬性值和依賴性屬性值。

2.2 基于函數依賴的敵對攻擊

為預防 同 質 攻 擊，Machanavajjhala A 等［4］提出了強健的l－多樣性模型，這個模型要求每個準標識符組（QI－group）至少有l個不同的敏感屬性值。其他的很多模型基本上都是在l－多樣性的基礎上演化而來，這些具有相同理論基礎的l－多樣性簇，在面臨數據集存在函數依賴的時候，并不能有效地阻止隱私泄露。下面我們將論述數據集中存在函數依賴時，如何導致l－多樣性失效。

Table 1 Original data table表1 原始數據表

Table 2 Anonymized data table表2 匿名化數據表

如果不同的QI組共享某些準標識符屬性值或者敏感屬性值，隱私就會泄露。例如：準標識符組G1和G2包含敏感屬性值x∈X，此處X是函數依賴F：X→Y的確定性值，如表1 中電話號碼86518665。假設y∈Y，如表1 中的郵政編碼232921，是原始數據集中x∈X相應的依賴屬性。如果y∈Y在組G1中被概化為，在組G2中被概化為。如表1中的郵政編碼被概化為232＊＊＊和232＊＊，如表2 所示，而在組G1和G2中x∈X并沒有被概化。那么攻擊者可以很容易的推導出和一定有相同的原始數據值，因此他們求解和的交集，可以很容易得到更為確定的值。下面就y∈Y的不同情況予以討論。

（1）如果y∈Y是數值屬性，和是兩個區間，假設y′1的區間是［l1，u1］，的區間是［l2，u2］。如果這兩個區間相交，則min（u1，u2）］，否則

（2）如果y∈Y是分類（Categorical）屬性，我們用TaxoTree 表示屬性Y的分類樹（Taxonomy Tree）。假設N1和N2是y1和y2在分類樹TaxoTree上所對應的節點。那么N1和N2就是y的概化節點，它們一定處于葉節點y和根節點Null的路徑上。因此，將返回分類樹上節點N1和N2中較小的一個。

需要注意的是y′1和y′2是由相同的屬性值y概化而來的，因此概化分類樹上一定存在由葉節點y到根節點Null的路徑，所以一定會返回一個非空的結果。而攻擊者就可以使用更具體的來代替和。由于每個準標識符組具有相同的屬性值，我們可以使用G［A］表示準標識符組G的概化值。

定義1（基于函數依賴的準標識符組交、差運算） 設給定數據集DS中存在函數依賴F：X→Y，匿名化準標識符組分別為G1和G2，若IG＝｛t｜t1∈G1∧t2∈G2s.t.t1［X］＝t2［X］｝，則G1∩G2為元組IG的集合，即每一個元組t∈IG，存在至少一個元組t′∈IG，且滿足：

（1）對每個元組x∈X，t′［X］＝t［X］；

（2）對每個y∈Y：

進一步來說，對于存在函數依賴關系的準標識符組G1和G2的差，有G1－G2＝G1－G12，其中G12是組G1與組G2的交集。

定義2（（l，α）－多樣性） 給定數據集DS以及它的匿名化版本DS′，如果對任意元組t∈DS′，它所在的準標識符組G包含至少l個不同的敏感值，且每個敏感值所占的比率為α，此處α∈［αmin，αmax］，αmin是隱私保護度的最小值，αmax是隱私保護度的最大值，這時我們稱數據集DS′滿足（l，α）－多樣性。

在很多情況下，數據集中都存在函數依賴關系。如果在匿名化時僅考慮使用概化值取代具體值，而不考慮數據集中存在的函數依賴，通常會導致隱私泄露。定義3正式定義基于函數依賴的隱私攻擊模型。

定義3（基于函數依賴的隱私攻擊） 給定數據集DS，DS′是與之對應的滿足（l，α）－多樣性的匿名化版本。如果存在兩個準標識符屬性組G1，G2∈DS′，至少下面兩個條件：G1∩G2、G1－G2是非空集且不滿足（l，α）－多樣性，則函數依賴F：X→Y（X?QI，Y?QI∪S）可以很容易受到基于函數依賴的隱私攻擊。否則，我們稱數據集DS′在函數依賴F：X→Y（X?QI，Y?QI∪S）存在的情況下是安全的。

3 匿名化數據發布的基本模型

本節首先給出隱私保護算法中用到的數據擾動方法，接著給出匿名化的具體方法。

3.1 數據擾動

對于實現匿名化的技術而言，由于采用隱匿的方法需要改變所有元組的屬性到最大化模糊狀態，因此信息損失大，此處采用概化和擾動結合的方法以降低信息損失。當構造匿名化組時，若某些準標識符屬性會導致過大的信息損失，這時采用擾動的方法將是一個明智的選擇。采用概化和擾動結合的方法分為兩個階段：首先要對數據集進行計數，計算每個屬性值出現的比率；其次是產生一個隨機數，根據隨機數采用輪盤賭的方法選擇一個屬性以取代原先的屬性。由于文章篇幅所限，我們不再詳述擾動的具體方法，有興趣的研究者可以參考文獻［11］。

3.2 匿名化方法

目前最流行的匿名化方法是概化/隱匿。度量匿名化導致的信息損失是設計匿名算法很重要的一個方面。比較常見的度量信息損失的方法是概化高度、聚集查詢精度以及差別度量。為度量信息損失，本文綜合考慮數值屬性和分類屬性，而對于分類屬性，假設每個分類屬性已經存在分類系統樹。與前人工作類似，由概化/隱匿所導致的信息損失如下：

（1）對隱匿方法來說，元組t的信息損失為：InfoLost＝1；

（2）對概化方法來說，信息損失需要考慮兩種情況：①對數值屬性NA，設NAv是屬性NA的值，被概化為［L，U］，設Min和Max是屬性NA的屬性域的最小值和最大值，則NA的信息損失為：ILNA＝（U－L）/（Max－Min）。②對分類屬性CA，設TCA是分類系統樹，VCA是分類系統樹上的原始值，是其對應的概化值，設N是分類系統 樹TCA的對 應 的 節 點 葉 子 數。則VCA的 信 息損失為InfoLosCA＝（MN－1）/（M－1），此處M是分類系統樹TCA的全部葉節點數，MN是分類系統樹TCA上以N為節點的子樹葉節點數。

給定信息損失的定義以后，則元組t由于概化/隱匿所導致的信息損失為：InfoLost＝，此處m是元組t的準標識符屬性數。整個數據集的信息損失為：InfoLosDS＝（∑t∈DSInfoLost）/｜DS｜。例如：若age屬性的域范圍為［0，100］，如果概化age屬性值75到［70，80］，則其信息損失為：（80－70）/（100－0）＝0.1。

4 分組策略和匿名化算法

本節首先給出實現（l，α）－多樣性算法所需的基于函數依賴的分組策略，然后給出詳細的（l，α）－多樣性算法。

4.1 基于函數依賴的概化原則

實現（l，α）－多樣性的關鍵是把數據集合理地分組，使每一個組都滿足（l，α）－多樣性約束，另外，分組時還需要考慮數據集中存在的函數依賴關系。一般情況下，若數據集DS中存在函數依賴X→Y，X?QI，Y?QI，這時匿名化數據集時不需要考慮函數依賴，因為這時函數依賴是安全的。然而，若X→Y，X?QI，Y?S，在匿名化時就必須考慮函數依賴關系，即匿名化時必須切斷屬性X和Y之間的關聯。給定準標識符以后，它們構成的分組只有兩種情況，即不相交或者重疊。為說明匿名的準標識符之間的關系，下面針對相交、不交、包含進行討論。

4.1.1 不相交關系

準標識符組不相交意味著所有的匿名化準標識符組沒有重疊的元組。也就是說，如果數值屬性x∈A被概化為A1，A2，…，Am，則?Ai，Aj，Ai∩Aj＝?，1≤i，j≤m；對于分類屬性x∈A被概化為A1，A2，…，Am，則?Ai，Aj，不存在一條路徑包含Ai和Aj，1≤i，j≤m，此處m是分組的個數。在這種條件下，對?Ai∩Aj＝?，不會有隱私泄露。如果任意的匿名化組Ai、Aj不相交，存在函數依賴X→Y，x∈X?QI，y∈Y?QI，有Ai→Aj，此處Ai、Aj分別是x和y的概化域。

4.1.2 包含關系

準標識符屬性的包含關系意味著一個匿名化組的元組被另外一個匿名化組所包含。如屬性A1被概化為A11，A12，…，A1m，則存在著包含關系A11?A12?A13?…?A1m。在這種情況下，我們可以僅考慮A11，因為A11是最具體的值。對于包含n個屬性匿名化元組，包含關系要求一個匿名化組包含另外一個匿名化組的所有元組。

4.1.3 相交關系

當把準標識符屬性概化為Ai、Aj等，若存在Ai∩Aj≠?，我們就必須考慮X和S之間的關系，此處X?QI。因此，針對相交設計了處理策略，要求不同匿名化組共享l個不同的敏感值。另外，在考慮相交關系時，本文不允許出現多于兩個匿名化組相交，若出現多于兩個匿名化組相交，則它們的交集與兩個匿名化組的交集必須滿足最大重疊準標識符組。

4.2 匿名化算法

給定數據集DS，存在函數依賴F：X→Y，首先構造桶，使每個桶包含相同的敏感屬性值。其次是構造匿名化組，在構造匿名化組時結合概化和數據擾動，以降低信息損失，提高數據效用。

4.2.1 桶的構造

桶的構造即是把數據集劃分為小的桶，使每個桶包含一類敏感屬性值。對于給定的數據集DS，其包含不同的敏感屬性值集合為Sen｛S1，S2，…，Sn｝，則針對敏感屬性值集Sen的劃分模式為：（1）?i≠j，Si∩Sj＝?；（2）因此，在把數據集劃分為桶之后，每個元組屬于一個桶，每個桶里面具有相同的敏感屬性值。如果存在n個不同的敏感屬性值，則存在n個桶。圖1是根據敏感屬性值劃分桶的示意圖。

4.2.2 匿名化組構造

僅僅簡單地應用概化會導致大量的信息損失。為實現隱私保護，滿足（l，α）－多樣性，減少信息損失，需要根據每個桶的敏感屬性值以及它們之間的相似度構造具有k個元組的準標識符組，此處k≥l，使每個組均滿足（l，α）－多樣性，直到所有的元組都屬于一個組為止。對于剩余的不能構成準標識符組的敏感屬性值s所在的元組，有三種選擇：（1）把它刪除掉；（2）把它添加到已經存在的匿名化組；（3）與其他剩余的每個屬性值構成一個新的匿名化組。

Figure 1 Example of the bucket圖1 依據敏感屬性構造分桶

對于第二種選擇，選擇這樣的準標識符組，它包含的敏感屬性最大頻度值要大于敏感值s的頻度。對于第三種情況，選擇其他與s的頻度比較接近的l－1個剩余的敏感屬性，構成一個新的匿名化組。另外，為滿足（l，α）－多樣性，還需要考慮數據集中存在的函數依賴關系。

對于函數依賴X→Y，X?QI，Y?QI，對于這種情況，X和Y是數值屬性或者分類屬性，概化它們為屬性閾值或者分類系統樹節點。由于確定性屬性的發布不影響敏感屬性，因此是否概化敏感屬性就不需要考慮。

（2）對于函數依賴X→Y，Y→Z，X?QI，Y?QI，S?Sen，這種情況類似于X→Y，X?QI，Y?Sen，因此，在此處我們就不再討論。

對于劃分到一個匿名化組內的元組，若概化時導致信息損失過大，必須根據前面討論的擾動方法，對其進行擾動處理。在前述的基礎上，下面給出使用分組方法實現基于函數依賴的（l，α）－多樣性 算 法LDFD（the （L，α）－Diversity algorithm with Function Dependence）。

算法1 基于函數依賴的（l，α）－多樣性算法

輸入：數據集DS，多樣性約束條件l，隱私保護程度αmin和αmax，此處αmin和αmax分別是隱私保護的最小概率和最大概率；

輸出：滿足（l，α）－多樣性的數據集DS′。

步驟1 統計數據集的DS個數和不同敏感屬性值的個數。

步驟2 設定αmin和αmax的閾值，計算每個匿名化組的范圍（kmin，kmax），此處kmax＝l/αmin，kmin＝l/αmax。

湖北省縣市區地理國情普查圖涉及到比例尺范圍為1:15000-1:14000，比例尺跨度大，使用傳統的縮編手段先將1:10000數據，縮編為1:50000，然后在1:50000的基礎上再縮編為更小比例尺數據，耗時耗力，WJ-III地圖工作站能夠實現從1:10000到1:140000逐級或跨尺度綜合與成圖，解決了從傳統單一比例尺制圖到多比例尺融合制圖，從單一比例尺靜態地圖顯示到多比例尺平滑動態連續顯示技術難題，從而使多尺度空間數據能夠在PC機、掌上電腦、網絡上無級顯示。

步驟3 按照敏感屬性值的不同，將元組分別放入桶Bi（i＝1，2，…，m），此處m是敏感屬性值的個數。

步驟4 計算每一個QI組Ci（i＝1，2，…，m）的質心，此處m是敏感屬性值的個數。

步驟5 選擇一個包含元組數最大的桶Bj，再由桶Bj中任意選擇一個元組t1匿名化組構造G1，計算元組到每個桶質心的距離。

步驟6 選擇到元組t1最近的桶Bi，計算匿名化組G1到桶Bi的距離；選擇一個到桶Bi最近的元組，并把這個元組放入桶G1，計算G1的質心。

步驟7 如果組G1內的元組數少于l，則需要按照步驟6把l個不同的元組放入組G1。

步驟8 如果｜DS｜＞l，轉步驟5。

步驟9 把剩余的l個元組放入距離它們最近的匿名化組Gi。

步驟10 按照4.2.1節的內容調整匿名化組。

步驟11 計算每個匿名化組的信息損失、總信息損失、以及每個組的質心。

步驟12 標記最大信息損失的組，把它組內的元組放到其他的組內，若其他的組達到組分裂條件，則分裂這個組，然后計算總的信息損失，若總信息損失小于未標記前的信息損失，則正式解散標記的最大信息損失組，把其內的元組放到其他匿名化組。

步驟13 檢查每個匿名化組，如果每個匿名化組內的不同敏感屬性個數的比率小于αmin或者大于αmax，按照3.1節所述生成準標識符屬性。

步驟14 發布滿足（l，α）－多樣性的匿名化數據集DS′。

4.2.3 算法的復雜度分析

根據敏感屬性構造桶的時間復雜度為O（n），此處n是不同敏感屬性值的個數。構造匿名化組G1的復雜度為（m－1＋n/m）×l，此處m是敏感屬性值的個數。構造匿名化組G2的復雜度為（m－1＋（n－1）/m）×l，以此類推，構造匿名化組G［n/l］的復雜度為（m－1＋（n－n＋l）/m）×l。因此，總的復雜度為O（nlogn），此處我們假設n＞＞m，n＞＞l。在最壞情況下，若數據分布是嚴重傾斜的，構造匿名化組G的復雜度為O（n2）。

4.3 討論

為實現隱私保護，概化/隱匿方法使用粗粒度的值代替細粒度的值，這無疑會降低數據效用。在極端情況下，可以導致數據完全失去效用。因此，本文不僅使用概化/隱匿方法，還使用擾動的方法。采用數據擾動的方法使原始的數據分布不發生改變，但是對于具體的值，有可能會導致查詢精度降低。

5 仿真和實驗

測試實驗使用的數據來源于Adult 數據集［12］，總共有45 222個數據記錄可用，這個數據集是隱私保護領域常用的數據集。此處使用其中的9個屬性，8個屬性作為準標識符屬性，1個屬性作為敏感屬性。另外，假設函數依賴為salary－class→occupation 和age→marital－status，occupation作為敏感屬性。所用算法的執行環境是VC＋＋，Intel Core i－3，2.2GHz，2GB RAM，Windows 7操作系統。

（l，α）－多樣性匿名化算法以文獻［10］中的自頂向下的劃分分組的方法作為比較對象，為方便起見，下文把比較對象稱之為TDGA。在具體的算法中通過改變參數l、α、QI等驗證算法的效率和有效性。

5.1 時間性能

為驗證時間性能，首先通過該變QI屬性值的大小，存在函數依賴時與TDGA［10］比較評估時間性能。圖2是使用Adult數據集得到的結果。實驗中參數l設置為3、5、7，參數α設置為0.2，其變動范圍設置為［0.15，0.25］。對于不同的參數l，其構成的匿名化組的大小也會發生相應的變化，圖2針對不同的l值，固定設置了不同的匿名化組值，即k值的大小。

由圖2 可知，LDFD 的運行時間比TDGA 稍微快一些。對于常量參數l和α，QI的增加會導致運行時間的響應增加，但是增加范圍有限?？傮w說來，LDFD 運行時間較快，但是與TDGA 處于同一個數量級，在可以接受的范圍之內。LDFD 運行稍快是由于LDFD 采用自頂向下的方法，按照敏感屬性數構造QI組，且采用全局編碼方式。

由這些評估結果可知，LDFD 算法的運行時間足夠快，在實際的匿名化發布中完全可以應用，事實上LDFD 模型可以在存在函數依賴時有效地阻止相似性攻擊以確保隱私保護度。

5.2 數據效用

此處，使用兩種度量標準測試數據效用，分別是信息損失、KL－散度。信息損失在隱私保護的數據發布是比較常見的一種度量方法，該方法有很多變種，本文采用3.2節所描述的方法。KL－散度主要用于度量查詢誤差估計，采用該度量方法主要是檢測匿名化以后查詢精度的改變情況。另外，為簡單起見，算法不執行任何元組隱匿，則差異性度量就等于匿名化組內元組個數的平方和數。

Figure 2 Running time of Adult dataset圖2 采用Adult數據集的運行時間

LDFD 和TDGA 算法信息損失的度量采用Adult數據集。算法的運行結果如圖3所示，算法的參數設置為l＝4，6，8；α＝0.25，其變化范圍為±0.05，如前面一樣，對每個不同的l值均有相應的匿名化組k與之對應。當固定參數l和α，增加QI時，信息損失幾乎以指數增長。由圖3可以看出，LDFD 算法初始時產生的信息損失小于TDGA，隨著QI的增長，LDFD 算法優勢就開始體現。這是由于更多的QI會導致更多的屬性參與運算，為達到最優化概化就會搜索更多的空間。隨著QI的增加，信息損失的增長趨勢也不是一成不變，其增長幅度也有一定的變化，這主要是由于每個屬性的域不同所致的。

Figure 3 Information loss of Adult dataset when l andαare constant，and the QIchanges圖3 固定l和α，變化QI，Adult數據集的信息損失

為檢驗匿名化數據集的查詢精度，使用KL－散度來度 量 數 據 效 用［13］，并 與TDGA［10］和TPP［14］相比較。圖4 是運用Adult數據集產生的結果。在每一個圖中，期望發布一個連接分布QI×S能被很好估計的數據表。此處，設置敏感屬性S＝occupation。QI分別為多維屬性｛age，gender，race｝、｛age，gender，maritalstatus，race｝和｛age，education，gender，maritalstatus，race｝。每一個圖顯示一個基線，它相對于匿名化組內所有QI屬性被隱匿的KL－散度，這時候結果表內僅僅有一個敏感屬性。在圖4中可以看出，在l＝2，4，6，8，10，QI＝3，5，7 時，LDFD 的散度接近于TTP 的散度。同時差于TDGA 的散度。正如所期望的那樣，值l越大，（l，α）－多樣性的效用越低。在l＝8，10時，基準表基本上與基線相同了。

Figure 4 KL＿divergence utility measurational圖4 KL－散度效用度量

6 結束語

本文研究了存在函數依賴時如何進行隱私保護的數據發布問題，特別是在前人的工作基礎上，根據數據集所包含的函數依賴關系，提出了（l，α）－多樣性模型，并設計了魯棒的、有效的算法予以實現，使匿名化數據集時保持較少的信息損失。實驗結果顯示了我們算法的有效性和效率。然而算法還有需要完善的地方，如αmin和αmax是人為設定的，缺少理論支持。另外，隱私保護的數據發布方面還有許多工作需要做，比如大數據的隱私保護問題就是一個值得研究的課題。因此，我們計劃將來開展大數據方面的隱私研究工作。

［1］ Wu Wei－min，Huang Huan－kun.A DP－DBScan clustering algorithm based on differential privacy preserving［J］.Computer Engineering ＆ Science，2015，37（4）：830－834.（in Chinese）

［2］ Srisungsittisunti B，Natwichai J.An incremental privacypreservation algorithm for the（k，e）－anonymous model［J］.Computers ＆Electrical Engineering，2015，41：126－141.

［3］ Sweeney L.Achievingk－anonymity privacy protection using generalization and suppression［J］.International Journal of Uncertainty Fuzziness and Knowledge－Based Systems，2002，10（5）：571－588.

［4］ Machanavajjhala A，Gehrke J，Kifer D，et al.l－Diversity：Privacy beyondk－anonymity［C］∥Proc of the 22nd International Conference on Data Engineering，2006：24－36.

［5］ Ninghui L，Tiancheng L，Venkatasubramanian S.t－Closeness：Privacy beyondk－anonymity andl－diversity［C］∥Proc of the 23rd International Conference on Data Engineering，2007：106－115.

［6］ Zhang Xiao－lin，Wang Ying，Li Yu－feng.A（α，k）－anonymity method based on social networks［J］.Computer Engineering ＆Science，2012，34（11）：50－54.（in Chinese）

［7］ Holohan N，Leith D J，Mason O.Differential privacy in metric spaces：Numerical，categorical and functional data under the one roof［J］.Information Sciences，2015，305：256－268.

［8］ Martin D J，Kifer D，Machanavajjhala A，et al.Worst－case background knowledge for privacy－preserving data publishing［C］∥Proc of the 23rd International Conference on Data Engineering，2007：126－135.

［9］ Kifer D.Attacks on privacy and deFinetti’s theorem［C］∥Proc of the 2009ACM SIGMOD International Conference on Management of Data，2009：127－138.

［10］ Wang H，Liu R.Privacy－preserving publishing microdata with full functional dependencies［J］.Data ＆ Knowledge Engineering，2011，70（3）：249－268.

［11］ Giannella C R，Liu K，Kargupta H.Breaching Euclidean distance－preserving data perturbation using few known inputs［J］.Data ＆ Knowledge Engineering，2013，83：93－110.

［12］ http：//archive.ics.uci.edu/ml/datasets/Adult.

［13］ Navarro－Arribas G，Torra V，Erola A，et al.Userk－anonymity for privacy preserving data mining of query logs［J］.Information Processing ＆ Management，2012，48（3）：476－487.

［14］ Xiao X，Yi K，Tao Y.The hardness and approximation algorithms forl－diversity［C］∥Proc of the 13th International Conference on Extending Database Technology：Advances in Database Technology，2010：135－146.

附中文參考文獻：

［1］ 吳偉民，黃煥坤.基于差分隱私保護的DP－DBScan聚類算法研究［J］.計算機工程與科學，2015，37（4）：830－834.

［6］ 張曉琳，王穎，李玉峰.基于社會網絡的（α，k）－匿名方法［J］.計算機工程與科學，2012，34（11）：50－54.