Административна информация
| Дял | Защита срещу членство и атрибутиране на атаки в моделите за машинно обучение |
| Продължителност | 90 мин. |
| Модул | Б |
| Вид на урока | Практичен |
| Фокус | Етичен — надежден ИИ |
| Тема | Атаки за поверителност на машинното обучение, контрамерки |
Ключови думи
Поверителност на машинното обучение, смекчаване, анонимизация, диференциална поверителност, диференциално частно обучение, случайна гора,
Учебни цели
- Придобиване на практически умения за смекчаване на изтичането на неприкосновеността на личния живот чрез прилагане на Диференциална поверителност
- Как да анонимизираме наборите от данни с диференциална поверителност
- Как да тренираме ML модели с диференциална поверителност
- Разбиране на разликата между анонимизиране на данни и обучение за запазване на неприкосновеността на личния живот
- Проучване на компромиса между запазването на неприкосновеността на личния живот (анонимизиране) и полезността (качество на модела, точност на данните)
Очаквана подготовка
Обучение на събития, които трябва да бъдат завършени преди
- Лекция: Неприкосновеност на личния живот и машинно обучение
- Лекция: Въведение в неприкосновеността на личния живот и риска
- Практически: Рамки за одит на неприкосновеността на личния живот и защитата на данните
- Лекция: Дървета за вземане на решения
- Лекция: Оценка на модела
- Лекция: Заключение и предвиждане
- Лекция: Монтаж и оптимизиране на модела
- Практически: Монтаж и оптимизиране на модела
- Лекция: Изготвяне и проучване на данни
- Практически: Изготвяне и проучване на данни
- Лекция: Невронни мрежи
- Лекция: Уединение
Задължително за студентите
- Питон
- Скит
- Панди
- ИЗКУСТВОТО
- Smartnoise-SDK
- виртуално-env
- Атаки за членство
- Извод за атрибута
- Диференциална поверителност
- Оценка на модела
Незадължително за студенти
Няма.
Референции и фон за студенти
Препоръчва се за учители
Материали за уроци
Инструкции за учители
Това лабораторно упражнение е продължение на Практически: Одитни рамки за неприкосновеност на личния живот и защитана данните, при които се разработват атаки срещу модели на ML, докато това текущо учебно събитие е за смекчаване на тези атаки.
Моделите за машинно обучение често се обучават върху поверителни (или лични, чувствителни) данни. Например, такъв модел може да предскаже заплатата на индивида от неговите други атрибути (като образование, място за живеене, раса, секс и т.н.). Често срещано погрешно схващане е, че такива модели не се считат за лични данни, дори ако техните данни за обучение са лични (наистина данните от обучението могат да бъдат събирането на записи за физически лица), тъй като те се изчисляват от обобщена информация, получена от чувствителните данни за обучение (напр. средна стойност на градиентите в невронните мрежи или ентропия/броя на етикетите в случайни гори). Целта на тази лабораторна сесия е да покаже, че моделите за машинно обучение могат да се разглеждат като лични данни и поради това е много вероятно тяхната обработка да бъде регулирана в много държави (напр. от GDPR в Европа). Студентите ще проектират атаки за поверителност, за да тестват дали обучените модели изтичат информация за своите данни за обучението, както и да смекчат тези атаки. Например, атаките с изводи за членство имат за цел да открият наличието на дадена извадка в данните за обучението на целевия модел от моделите и/или резултатите от него. Атаките с бяла кутия могат да имат достъп както до обучените модели (включително неговите параметри), така и до изхода на модела (т.е. неговите прогнози), докато моделите с черна кутия имат достъп само до прогнозите на модела за дадена извадка. Атаките на атрибутите имат за цел да предскажат липсващ чувствителен атрибут от изхода на модела за машинно обучение, който е обучен, както и всички останали атрибути.
На учителите се препоръчва да подчертаят компромиса между запазването на неприкосновеността на личния живот и точността на качеството/данните на модела като цяло. Ако е необходимо, в учебната програма могат да бъдат вградени допълнителни упражнения, за да се демонстрира това (оценете качеството на модела в зависимост от епсилон и делта).
Очертаване
В тази лабораторна сесия ще намалите рисковете за неприкосновеността на личния живот на моделите на ИИ. По-конкретно, студентите ще разработят две техники за смекчаване:
- Защита 1: генериране на синтетични данни с гаранциите за Диференциална поверителност и проверка
- колко се влошава качеството на модела, ако синтетичните данни, запазващи неприкосновеността на личния живот, се използват за обучение на модела вместо оригиналните данни (в зависимост от параметъра за поверителност epsilon)
- ако обучението на синтетичните данни вместо на оригинала предотвратява членството и атрибутира атаката на изводите
- Защита 2: обучете модела с Диференциални гаранции за поверителност и проверете
- колко се влошава качеството на модела, ако се използва моделът за запазване на поверителността вместо оригиналния модел за прогнозиране (в зависимост от параметъра за поверителност epsilon)
- ако моделът за запазване на неприкосновеността на личния живот предотвратява атаката на членството
- как се променя точността на модела за запазване на поверителността в сравнение с Defense 1
Учениците ще сформират групи по двама и ще работят в екип. Една група трябва да представи само една документация/решение.
Потвърждения
Магистърската програма по ИИ, насочена към човека, беше съфинансирана от Механизма за свързване на Европа на Европейския съюз под формата на безвъзмездни средства № CEF-TC-2020—1 Digital Skills 2020-EU-IA-0068.