[diese Seite im Wiki][Index][EN][BG][CS][DA][DE][EL][ES][ET][FI][FR][GA][HR][HU][IT][MT][NL][PL][PT][RO][SK][SL][SV]

Praktisch: Anwendung und Bewertung von datenschutzerhaltenden Techniken

Verwaltungsinformationen

Titel Abwehr von Mitgliedschafts- und Attributinferenzangriffen in Machine Learning-Modellen
Dauer 90 min
Modulen B
Unterrichtstyp Praktisch
Fokussierung Ethisch – vertrauenswürdige KI
Themenbereich Datenschutz-Angriffe auf maschinelles Lernen, Gegenmaßnahmen

Suchbegriffe

Privatsphäre von maschinellem Lernen, Minderung, Anonymisierung, Differential Privacy, Differential Private Training, Random Forest,

Lernziele

Erwartete Vorbereitung

Obligatorisch für Studenten

  • Python
  • Scikit
  • Pandas
  • KUNST
  • Smartnoise-SDK
  • Virtual-env
  • Mitgliedschaftsangriffe
  • Attributinferenz
  • Differenzielle Privatsphäre
  • Modellbewertung

Optional für Studenten

Keine.

Unterrichtsmaterialien

Anleitung für Lehrer

Diese Laborübung ist ein Follow-up von Praktisch: Auditing-Frameworks der Privatsphäre und des Datenschutzes, bei denen Datenschutzangriffe gegen ML-Modelle entwickelt werden, während bei dieser aktuellen Lernveranstaltung es sich um die Minderung dieser Angriffe handelt.

Machine Learning-Modelle werden oft auf vertrauliche (oder persönliche, sensible) Daten geschult. Zum beispiel kann ein solches modell das gehalt eines individuums aus seinen anderen attributen (wie bildung, leben, rasse, geschlecht usw.) vorhersagen. Ein häufiges Missverständnis ist, dass solche Modelle nicht als personenbezogene Daten angesehen werden, selbst wenn ihre Trainingsdaten personenbezogen sind (in der Tat können Trainingsdaten die Erfassung von Aufzeichnungen über Einzelpersonen sein), da sie aus aggregierten Informationen berechnet werden, die aus den sensiblen Trainingsdaten stammen (z. B. Durchschnitt der Gradienten in neuronalen Netzen oder Entropie/Anzahl von Etiketten in zufälligen Wäldern). Ziel dieser Laborsitzung ist es, zu zeigen, dass Machine Learning-Modelle als personenbezogene Daten angesehen werden können und deren Verarbeitung daher in vielen Ländern sehr wahrscheinlich reguliert wird (z. B. durch die DSGVO in Europa). Die Schüler entwerfen Datenschutzangriffe, um zu testen, ob die trainierten Modelle Informationen über ihre Trainingsdaten lecken und diese Angriffe auch mildern. Zum Beispiel zielen Mitgliedschaftsinferenzangriffe darauf ab, das Vorhandensein einer bestimmten Probe in den Trainingsdaten eines Zielmodells aus den Modellen und/oder dessen Ausgabe zu erkennen. White-Box-Angriffe können sowohl auf die trainierten Modelle (einschließlich ihrer Parameter) als auch auf die Ausgabe des Modells (d. h. seine Vorhersagen) zugreifen, während Black-Box-Modelle nur auf die Vorhersagen des Modells für ein bestimmtes Sample zugreifen können. Attribut-Inferenzangriffe zielen darauf ab, ein fehlendes sensibles Attribut aus der Ausgabe des maschinellen Lernmodells, das auf allen anderen Attributen trainiert wird, vorherzusagen.

Lehrern wird empfohlen, den Kompromiss zwischen Datenschutzerhaltung und Modellqualität/Datengenauigkeit im Allgemeinen zu betonen. Bei Bedarf können zusätzliche Übungen in den Lehrplan eingebaut werden, um dies zu demonstrieren (Bewertung der Modellqualität je nach Epsilon und Delta).

Gliederung

In dieser Laborsitzung reduzieren Sie Datenschutzrisiken fin AI-Modelle. Insbesondere werden die Schüler zwei Minderungstechniken entwickeln:

  1. Verteidigung 1: generieren Sie synthetische Daten mit den Garantien von Differential Privacy und Check
    • wie stark die Modellqualität abnimmt, wenn die datenschutzerhaltenden synthetischen Daten verwendet werden, um das Modell anstelle der ursprünglichen Daten zu trainieren (abhängig vom Datenschutzparameter epsilon)
    • wenn das Training auf den synthetischen Daten anstelle der ursprünglichen verhindert, dass Mitgliedschaft und Attribut Inferenzangriff
  2. Verteidigung 2: trainieren Sie das Modell mit Differential Privacy Garantien, und überprüfen Sie
    • wie stark sich die Modellqualität verschlechtert, wenn das datenschutzerhaltende Modell anstelle des ursprünglichen Modells zur Vorhersage verwendet wird (abhängig vom Datenschutzparameter epsilon)
    • wenn das datenschutzerhaltende Modell einen Mitgliedschaftsangriff verhindert
    • wie sich die Genauigkeit des datenschutzerhaltenden Modells im Vergleich zu Defense 1 ändert

Die Schüler bilden Gruppen zu zweit und arbeiten als Team. Eine Gruppe muss nur eine Dokumentation/Lösung einreichen.

Danksagung

Das Human-Centered AI Masters-Programm wurde von der Fazilität „Connecting Europe“ der Europäischen Union im Rahmen des Zuschusses „CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068“ kofinanziert.