Administrativní informace
| Název | Obrana proti členství a atribute inferenční útoky v modelech strojového učení |
| Trvání | 90 min |
| Modul | B |
| Typ lekce | Praktické |
| Soustředění | Etika – důvěryhodná umělá inteligence |
| Téma | Útoky na ochranu soukromí na strojovém učení, protiopatření |
Klíčová slova
Soukromí strojového učení, Zmírňování, Anonymizace, Diferenciální soukromí, Diferenciálně soukromý výcvik, Náhodný les,
Vzdělávací cíle
- Získejte praktické dovednosti ke zmírnění úniků soukromí aplikací Diferenciální soukromí
- Jak anonymizovat datové soubory s Diferenciální soukromí
- Jak trénovat modely ML s Diferenciální soukromí
- Pochopení rozdílu mezi anonymizací dat a školením pro zachování soukromí
- Prostudujte kompromis mezi ochranou soukromí (anonymizace) a užitečností (kvalita modelu, přesnost dat)
Očekávaná příprava
Vzdělávací akce, které mají být dokončeny před
- Přednáška: Soukromí a strojové učení
- Přednáška: Úvod do soukromí a rizik
- Praktické: Auditní rámce pro ochranu soukromí a údajů
- Přednáška: Rozhodovací stromy
- Přednáška: Hodnocení modelu
- Přednáška: Vyvozování a predikce
- Přednáška: Modelové armatury a optimalizace
- Praktické: Modelové armatury a optimalizace
- Přednáška: Příprava a průzkum dat
- Praktické: Příprava a průzkum dat
- Přednáška: Neuronové sítě
- Přednáška: Soukromí
Povinné pro studenty
- Python
- Scikit
- Pandy
- UMĚNÍ
- Smartnoise-SDK
- virtuální-env
- Útoky na členství
- Závěr atributu
- Diferenciální soukromí
- Hodnocení modelu
Volitelné pro studenty
Žádné.
Reference a zázemí pro studenty
Doporučeno pro učitele
Materiály pro výuku
Pokyny pro učitele
Toto laboratorní cvičení navazuje na Praktické: Audit rámce ochrany soukromí a údajů,kde jsou vyvíjeny útoky na soukromí proti modelům ML, zatímco tato současná vzdělávací událost je o zmírnění těchto útoků.
Modely strojového učení jsou často trénovány na důvěrných (nebo osobních, citlivých) údajích. Například takový model může předpovědět plat jednotlivce z jeho jiných atributů (jako je vzdělání, bydlení, rasa, sex atd.). Běžnou mylnou představou je, že takové modely nejsou považovány za osobní údaje, i když jsou jejich tréninkové údaje osobní (skutečně, školicí údaje mohou být sběrem záznamů o fyzických osobách), protože jsou vypočítány na základě souhrnných informací odvozených z citlivých tréninkových údajů (např. průměr gradientů v neuronových sítích nebo entropie/počet štítků v náhodných lesích). Cílem této laboratoře je ukázat, že modely strojového učení lze považovat za osobní údaje, a proto je velmi pravděpodobné, že jejich zpracování bude regulováno v mnoha zemích (např. nařízením GDPR v Evropě). Studenti budou navrhovat útoky na ochranu soukromí, aby otestovali, zda vyškolené modely unikají informace o svých tréninkových datech, a také tyto útoky zmírní. Například členské inferenční útoky mají za cíl zjistit přítomnost daného vzorku v tréninkových datech cílového modelu z modelů a/nebo jeho výstupu. Útoky s bílým boxem mají přístup jak k vycvičeným modelům (včetně jeho parametrů), tak k výstupům modelu (tj. jeho předpovědi), zatímco modely black-boxu mají přístup pouze k predikcím modelu pro daný vzorek. Cílem je předpovědět chybějící citlivý atribut z výstupu modelu strojového učení, který je trénován, stejně jako všechny ostatní atributy.
Učitelům se doporučuje zdůraznit kompromis mezi ochranou soukromí a kvalitou modelu/přesností údajů obecně. V případě potřeby mohou být do osnov zabudovány další cviky, aby se to prokázalo (vyhodnocení kvality modelu v závislosti na epsilonu a deltě).
Obrys
V této laboratorní relaci zmírníte rizika ochrany osobních údajů modely AI. Konkrétně, studenti budou vyvíjet dvě zmírňující techniky:
- Obrana 1: generovat syntetická data se zárukami Diferenciální soukromí a kontrola
- jak moc se kvalita modelu degraduje, pokud se syntetická data chránící soukromí používají k trénování modelu namísto původních dat (v závislosti na parametru ochrany osobních údajů epsilon)
- pokud trénink na syntetických datech namísto původních zabraňuje útoku na členství a atributy
- Obrana 2: trénujte model se zárukami Diferenciální ochrany soukromí a zkontrolujte
- jak moc se kvalita modelu snižuje, pokud je model zachování soukromí použit namísto původního modelu pro predikci (v závislosti na parametru ochrany soukromí epsilon)
- pokud model zachování soukromí zabraňuje útoku na členství
- jak se mění přesnost modelu zachování soukromí ve srovnání s Obranou 1
Studenti budou tvořit skupiny po dvou a pracovat jako tým. Jedna skupina musí předložit pouze jednu dokumentaci/řešení.
Potvrzení
Program Human-Centered AI Masters byl spolufinancován Nástrojem Evropské unie pro propojení Evropy v rámci grantu CEF-TC-2020–1 Digitální dovednosti 2020-EU-IA-0068.