Verwaltungsinformationen
| Titel | Abwehr von Mitgliedschafts- und Attributinferenzangriffen in Machine Learning-Modellen |
| Dauer | 90 min |
| Modulen | B |
| Unterrichtstyp | Praktisch |
| Fokussierung | Ethisch – vertrauenswürdige KI |
| Themenbereich | Datenschutz-Angriffe auf maschinelles Lernen, Gegenmaßnahmen |
Suchbegriffe
Privatsphäre von maschinellem Lernen, Minderung, Anonymisierung, Differential Privacy, Differential Private Training, Random Forest,
Lernziele
- Erwerben Sie praktische Fähigkeiten, um Datenschutzleckagen zu mildern, indem Sie Differential Privacy anwenden
- So anonymisieren Sie Datensätze mit Differential Privacy
- Wie man ML-Modelle mit Differential Privacy trainiert
- Den Unterschied zwischen Datenanonymisierung und datenschutzerhaltendem Modelltraining verstehen
- Untersuchen Sie den Kompromiss zwischen der Wahrung der Privatsphäre (Anonymisierung) und dem Nutzen (Modellqualität, Datengenauigkeit)
Erwartete Vorbereitung
Lernveranstaltungen, die vorab abgeschlossen werden müssen
- Vortrag: Privatsphäre und maschinelles Lernen
- Vortrag: Einführung in Privatsphäre und Risiko
- Praktisch: Prüfungsrahmen der Privatsphäre und des Datenschutzes
- Vortrag: Entscheidungsbäume
- Vortrag: Modellbewertung
- Vortrag: Inferenz und Vorhersage
- Vortrag: Modellfitting und Optimierung
- Praktisch: Modellfitting und Optimierung
- Vortrag: Datenaufbereitung und -exploration
- Praktisch: Datenaufbereitung und -exploration
- Vortrag: Neuronale Netze
- Vortrag: Privatleben
Obligatorisch für Studenten
- Python
- Scikit
- Pandas
- KUNST
- Smartnoise-SDK
- Virtual-env
- Mitgliedschaftsangriffe
- Attributinferenz
- Differenzielle Privatsphäre
- Modellbewertung
Optional für Studenten
Keine.
Referenzen und Hintergründe für Studierende
Empfohlen für Lehrer
Unterrichtsmaterialien
Anleitung für Lehrer
Diese Laborübung ist ein Follow-up von Praktisch: Auditing-Frameworks der Privatsphäre und des Datenschutzes, bei denen Datenschutzangriffe gegen ML-Modelle entwickelt werden, während bei dieser aktuellen Lernveranstaltung es sich um die Minderung dieser Angriffe handelt.
Machine Learning-Modelle werden oft auf vertrauliche (oder persönliche, sensible) Daten geschult. Zum beispiel kann ein solches modell das gehalt eines individuums aus seinen anderen attributen (wie bildung, leben, rasse, geschlecht usw.) vorhersagen. Ein häufiges Missverständnis ist, dass solche Modelle nicht als personenbezogene Daten angesehen werden, selbst wenn ihre Trainingsdaten personenbezogen sind (in der Tat können Trainingsdaten die Erfassung von Aufzeichnungen über Einzelpersonen sein), da sie aus aggregierten Informationen berechnet werden, die aus den sensiblen Trainingsdaten stammen (z. B. Durchschnitt der Gradienten in neuronalen Netzen oder Entropie/Anzahl von Etiketten in zufälligen Wäldern). Ziel dieser Laborsitzung ist es, zu zeigen, dass Machine Learning-Modelle als personenbezogene Daten angesehen werden können und deren Verarbeitung daher in vielen Ländern sehr wahrscheinlich reguliert wird (z. B. durch die DSGVO in Europa). Die Schüler entwerfen Datenschutzangriffe, um zu testen, ob die trainierten Modelle Informationen über ihre Trainingsdaten lecken und diese Angriffe auch mildern. Zum Beispiel zielen Mitgliedschaftsinferenzangriffe darauf ab, das Vorhandensein einer bestimmten Probe in den Trainingsdaten eines Zielmodells aus den Modellen und/oder dessen Ausgabe zu erkennen. White-Box-Angriffe können sowohl auf die trainierten Modelle (einschließlich ihrer Parameter) als auch auf die Ausgabe des Modells (d. h. seine Vorhersagen) zugreifen, während Black-Box-Modelle nur auf die Vorhersagen des Modells für ein bestimmtes Sample zugreifen können. Attribut-Inferenzangriffe zielen darauf ab, ein fehlendes sensibles Attribut aus der Ausgabe des maschinellen Lernmodells, das auf allen anderen Attributen trainiert wird, vorherzusagen.
Lehrern wird empfohlen, den Kompromiss zwischen Datenschutzerhaltung und Modellqualität/Datengenauigkeit im Allgemeinen zu betonen. Bei Bedarf können zusätzliche Übungen in den Lehrplan eingebaut werden, um dies zu demonstrieren (Bewertung der Modellqualität je nach Epsilon und Delta).
Gliederung
In dieser Laborsitzung reduzieren Sie Datenschutzrisiken fin AI-Modelle. Insbesondere werden die Schüler zwei Minderungstechniken entwickeln:
- Verteidigung 1: generieren Sie synthetische Daten mit den Garantien von Differential Privacy und Check
- wie stark die Modellqualität abnimmt, wenn die datenschutzerhaltenden synthetischen Daten verwendet werden, um das Modell anstelle der ursprünglichen Daten zu trainieren (abhängig vom Datenschutzparameter epsilon)
- wenn das Training auf den synthetischen Daten anstelle der ursprünglichen verhindert, dass Mitgliedschaft und Attribut Inferenzangriff
- Verteidigung 2: trainieren Sie das Modell mit Differential Privacy Garantien, und überprüfen Sie
- wie stark sich die Modellqualität verschlechtert, wenn das datenschutzerhaltende Modell anstelle des ursprünglichen Modells zur Vorhersage verwendet wird (abhängig vom Datenschutzparameter epsilon)
- wenn das datenschutzerhaltende Modell einen Mitgliedschaftsangriff verhindert
- wie sich die Genauigkeit des datenschutzerhaltenden Modells im Vergleich zu Defense 1 ändert
Die Schüler bilden Gruppen zu zweit und arbeiten als Team. Eine Gruppe muss nur eine Dokumentation/Lösung einreichen.
Danksagung
Das Human-Centered AI Masters-Programm wurde von der Fazilität „Connecting Europe“ der Europäischen Union im Rahmen des Zuschusses „CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068“ kofinanziert.