Administrative oplysninger
| Titel | Forsvar mod medlemskab og attribuere inferensangreb i maskinlæringsmodeller |
| Varighed | 90 min. |
| Modul | B |
| Lektionstype | Praktisk |
| Fokus | Etisk — pålidelig kunstig intelligens |
| Emne | Privatlivsangreb på maskinlæring, modforanstaltninger |
Nøgleord
Fortrolighed af maskinlæring, modvirkning, anonymisering, differentieret privatliv, differentieret privat træning, Tilfældig skov,
Læringsmål
- Få praktiske færdigheder til at afbøde lækager af privatlivets fred ved at anvende Differential Privacy
- Sådan anonymiseres datasæt med Differential Privacy
- Sådan træner du ML-modeller med Differential Privacy
- Forstå forskellen mellem dataanonymisering og privatlivsbevarende modeltræning
- Undersøg afvejningen mellem beskyttelse af privatlivets fred (anonymisering) og nytteværdi (modelkvalitet, datanøjagtighed)
Forventet forberedelse
Læringsbegivenheder, der skal fuldføres før
- Forelæsning: Privatliv og maskinindlæring
- Forelæsning: Introduktion til privatliv og risiko
- Praktisk: Revision af rammer for privatlivets fred og databeskyttelse
- Forelæsning: Beslutningstræer
- Forelæsning: Modelevaluering
- Forelæsning: Slutning og forudsigelse
- Forelæsning: Montering og optimering af modellen
- Praktisk: Montering og optimering af modellen
- Forelæsning: Forberedelse og undersøgelse af data
- Praktisk: Forberedelse og undersøgelse af data
- Forelæsning: Neurale netværk
- Forelæsning: Privatliv
Obligatorisk for studerende
- Python
- Scikit
- Pandaer
- KUNST
- Smartstøj-SDK
- Virtual-env
- Angreb på medlemskab
- Attributslutning
- Differentieret privatliv
- Modelevaluering
Valgfrit for studerende
Ingen.
Referencer og baggrund for studerende
Anbefalet til lærerne
Undervisningsmaterialer
Instruktioner til lærerne
Denne laboratorieøvelse er en opfølgning af Praktisk: Revision af rammer for privatlivets fred ogdatabeskyttelse, hvor der udvikles privatlivsangreb mod ML-modeller, mens denne aktuelle læringsbegivenhed handler om at afbøde disse angreb.
Maskinlæringsmodeller trænes ofte i fortrolige (eller personlige, følsomme) data. For eksempel kan en sådan model forudsige en persons løn ud fra dets andre egenskaber (såsom uddannelse, levende sted, race, køn osv.). En almindelig misforståelse er, at sådanne modeller ikke betragtes som personoplysninger, selv om deres uddannelsesdata er personlige (f.eks. kan uddannelsesdata være indsamling af optegnelser om enkeltpersoner), da de beregnes ud fra aggregerede oplysninger, der stammer fra de følsomme uddannelsesdata (f.eks. gennemsnit af gradienter i neurale netværk eller entropi/entropi af mærker i tilfældige skove). Formålet med denne lab session er at vise, at maskinlæringsmodeller kan betragtes som personoplysninger, og derfor er det meget sandsynligt, at behandlingen af dem vil blive reguleret i mange lande (f.eks. af GDPR i Europa). Studerende vil designe privatlivsangreb for at teste, om de uddannede modeller lække oplysninger om sine træningsdata, og også afbøde disse angreb. F.eks. sigter medlemskabsinferensangreb mod at opdage tilstedeværelsen af en given prøve i træningsdataene for en målmodel fra modellerne og/eller dens output. White-box-angreb kan få adgang til både de trænede modeller (herunder dens parametre) og modellens output (dvs. dens forudsigelser), mens black-box-modeller kun kan få adgang til modellens forudsigelser for en given prøve. Attribut inferensangreb har til formål at forudsige en manglende følsom attribut fra output af maskinlæringsmodellen, der er trænet på såvel som alle de andre attributter.
Det anbefales, at lærere lægger vægt på afvejningen mellem beskyttelse af privatlivets fred og modelkvalitet/datanøjagtighed generelt. Om nødvendigt kan der indbygges ekstra øvelser i pensum for at påvise dette (evaluer modelkvaliteten afhængigt af epsilon og delta).
Omrids
I denne lab session vil du mindske risikoen for privatlivets fred fin AI-modeller. Specifikt vil eleverne udvikle to afbødningsteknikker:
- Forsvar 1: generer syntetiske data med garantier for differentieret privatliv og kontrol
- hvor meget forringes modelkvaliteten, hvis de syntetiske data, der bevarer privatlivets fred, bruges til at træne modellen i stedet for de oprindelige data (afhængigt af privatlivsparameteren epsilon)
- hvis træning på de syntetiske data i stedet for den oprindelige forhindrer medlemskab og attribut inferens angreb
- Forsvar 2: træn modellen med Differential Privacy-garantier, og kontroller
- hvor meget modellens kvalitet forringes, hvis privatlivsbevarende model bruges til i stedet for den oprindelige model til forudsigelse (afhængigt af privatlivsparameteren epsilon)
- hvis privatlivsbevarende model forhindrer medlemskabsangreb
- hvordan nøjagtigheden af den privatlivsbevarende model ændres i forhold til Defense 1
Eleverne vil danne grupper af to og arbejde som et team. Én gruppe skal kun aflevere én dokumentation/løsning.
Anerkendelser
Programmet Human-Centered AI Masters blev samfinansieret af Connecting Europe-faciliteten i Den Europæiske Union under tilskud CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068.