Διοικητικές πληροφορίες
| Τίτλος | Υπεράσπιση κατά της ιδιότητας μέλους και των συμπερασματικών επιθέσεων σε μοντέλα μηχανικής μάθησης |
| Διάρκεια | 90 λεπτά |
| Ενότητα | Β |
| Είδος μαθήματος | Πρακτική |
| Εστίαση | Ηθική — Αξιόπιστη ΤΝ |
| Θέμα | Επιθέσεις απορρήτου στη μηχανική μάθηση, αντίμετρα |
Λέξεις-κλειδιά
Ιδιωτικότητα της Μηχανικής Μάθησης, Μετριασμός, Ανωνυμοποίηση, Διαφορική Ιδιωτική Προστασία, Διαφορετικά Ιδιωτική Εκπαίδευση, Τυχαία Δάσος,
Μαθησιακοί στόχοι
- Αποκτήστε πρακτικές δεξιότητες για τον μετριασμό των διαρροών απορρήτου με την εφαρμογή Διαφορετικού απορρήτου
- Πώς να ανωνυμοποιήσετε τα σύνολα δεδομένων με διαφορετικό απόρρητο
- Πώς να εκπαιδεύσετε μοντέλα ML με διαφορετικό απόρρητο
- Κατανόηση της διαφοράς μεταξύ της ανωνυμοποίησης των δεδομένων και της κατάρτισης μοντέλου διατήρησης της ιδιωτικής ζωής
- Μελέτη της αντιστάθμισης μεταξύ της διατήρησης της ιδιωτικής ζωής (ανωνυμοποίηση) και της χρησιμότητας (ποιότητα μοντέλου, ακρίβεια δεδομένων)
Αναμενόμενη προετοιμασία
Μαθησιακές εκδηλώσεις που πρέπει να ολοκληρωθούν πριν
- Διάλεξη: Ιδιωτικότητα και μηχανική μάθηση
- Διάλεξη: Εισαγωγή στην ιδιωτικότητα και τον κίνδυνο
- Πρακτικό: Πλαίσια ελέγχου της ιδιωτικής ζωής και της προστασίας των δεδομένων
- Διάλεξη: Δέντρα απόφασης
- Διάλεξη: Αξιολόγηση του υποδείγματος
- Διάλεξη: Συμπέρασμα και πρόβλεψη
- Διάλεξη: Μοντελοποίηση και βελτιστοποίηση
- Πρακτικό: Μοντελοποίηση και βελτιστοποίηση
- Διάλεξη: Προετοιμασία και Εξερεύνηση Δεδομένων
- Πρακτικό: Προετοιμασία και Εξερεύνηση Δεδομένων
- Διάλεξη: Νευρωνικά δίκτυα
- Διάλεξη: Ιδιωτικότητα
Υποχρεωτικό για τους φοιτητές
- Πύθων
- Scikit
- Πάντα
- ΤΈΧΝΗ
- Smartnoise-SDK
- εικονικός-env
- Επιθέσεις μελών
- Συμπέρασμα χαρακτηριστικού
- Διαφορικό απόρρητο
- ΑΞΙΟΛΟΓΗΣΗ ΥΠΟΔΕΙΓ
Προαιρετικό για Φοιτητές
Καμία.
Αναφορές και υπόβαθρο για τους μαθητές
Συνιστάται για εκπαιδευτικούς
Υλικό μαθήματος
Οδηγίες για τους εκπαιδευτικούς
Αυτή η εργαστηριακή άσκηση αποτελεί συνέχεια του πρακτικού: Ελεγκτικά πλαίσια προστασίας της ιδιωτικής ζωής και τωνδεδομένων, όπου αναπτύσσονται επιθέσεις απορρήτου εναντίον μοντέλων ML, ενώ αυτό το τρέχον μαθησιακό γεγονός αφορά τον μετριασμό αυτών των επιθέσεων.
Τα μοντέλα μηχανικής μάθησης συχνά εκπαιδεύονται σε εμπιστευτικά (ή προσωπικά, ευαίσθητα) δεδομένα. Για παράδειγμα, ένα τέτοιο μοντέλο μπορεί να προβλέψει τον μισθό ενός ατόμου από τα άλλα χαρακτηριστικά του (όπως η εκπαίδευση, ο χώρος διαβίωσης, η φυλή, το φύλο κ.λπ.). Μια κοινή παρανόηση είναι ότι τα μοντέλα αυτά δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα ακόμη και αν τα δεδομένα εκπαίδευσής τους είναι προσωπικά (πράγματι, τα δεδομένα κατάρτισης μπορούν να είναι η συλλογή αρχείων σχετικά με άτομα), καθώς υπολογίζονται από συγκεντρωτικές πληροφορίες που προέρχονται από τα ευαίσθητα δεδομένα κατάρτισης (π.χ. μέσος όρος κλίσεων σε νευρωνικά δίκτυα ή εντροπία/αριθμός ετικετών σε τυχαία δάση). Στόχος αυτού του εργαστηρίου είναι να δείξει ότι τα μοντέλα μηχανικής μάθησης μπορούν να θεωρηθούν προσωπικά δεδομένα και, ως εκ τούτου, η επεξεργασία τους είναι πολύ πιθανό να ρυθμιστεί σε πολλές χώρες (π.χ. από τον ΓΚΠΔ στην Ευρώπη). Οι μαθητές θα σχεδιάσουν επιθέσεις απορρήτου για να δοκιμάσουν εάν τα εκπαιδευμένα μοντέλα διαρρέουν πληροφορίες σχετικά με τα δεδομένα εκπαίδευσης, καθώς και να μετριάσουν αυτές τις επιθέσεις. Για παράδειγμα, οι επιθέσεις συμπεράσματος μελών αποσκοπούν στον εντοπισμό της παρουσίας ενός δεδομένου δείγματος στα δεδομένα εκπαίδευσης ενός μοντέλου-στόχου από τα μοντέλα ή/και την παραγωγή του. Οι επιθέσεις White-box μπορούν να έχουν πρόσβαση τόσο στα εκπαιδευμένα μοντέλα (συμπεριλαμβανομένων των παραμέτρων του) όσο και στην έξοδο του μοντέλου (δηλαδή, τις προβλέψεις του), ενώ τα μοντέλα black-box μπορούν να έχουν πρόσβαση μόνο στις προβλέψεις του μοντέλου για ένα δεδομένο δείγμα. Οι επιθέσεις εξαγωγής χαρακτηριστικών στοχεύουν στην πρόβλεψη ενός ευαίσθητου χαρακτηριστικού που λείπει από την έξοδο του μοντέλου μηχανικής μάθησης που εκπαιδεύεται καθώς και όλων των άλλων χαρακτηριστικών.
Συνιστάται στους εκπαιδευτικούς να τονίζουν την αντιστάθμιση μεταξύ της προστασίας της ιδιωτικής ζωής και της ποιότητας/ακρίβειας των δεδομένων εν γένει. Εάν είναι απαραίτητο, μπορούν να ενσωματωθούν επιπλέον ασκήσεις στο πρόγραμμα σπουδών για να αποδειχθεί αυτό (αξιολόγηση της ποιότητας του μοντέλου ανάλογα με το έψιλον και το δέλτα).
Σχεδιάγραμμα
Σε αυτή την εργαστηριακή συνεδρία, θα μετριάσει τους κινδύνους για την προστασία της ιδιωτικής ζωής μοντέλα fin AI. Συγκεκριμένα, οι μαθητές θα αναπτύξουν δύο τεχνικές μετριασμού:
- Άμυνα 1: δημιουργία συνθετικών δεδομένων με τις εγγυήσεις της Διαφορικής Ιδιωτικής Ζωής και έλεγχος
- πόσο υποβαθμίζεται η ποιότητα του μοντέλου εάν τα συνθετικά δεδομένα που διατηρούν την ιδιωτικότητα χρησιμοποιούνται για την εκπαίδευση του μοντέλου αντί των αρχικών δεδομένων (ανάλογα με την παράμετρο προστασίας της ιδιωτικής ζωής epsilon)
- εάν η εκπαίδευση στα συνθετικά δεδομένα αντί για την αρχική εμποδίζει τη συμμετοχή και την επίθεση συμπεράσματος
- Άμυνα 2: εκπαιδεύστε το μοντέλο με διαφορετικές εγγυήσεις απορρήτου και ελέγξτε
- πόσο υποβαθμίζεται η ποιότητα του μοντέλου εάν χρησιμοποιείται το μοντέλο διατήρησης της ιδιωτικής ζωής αντί του αρχικού μοντέλου για πρόβλεψη (ανάλογα με την παράμετρο απορρήτου epsilon)
- εάν το μοντέλο διατήρησης απορρήτου αποτρέπει την επίθεση μέλους
- πώς αλλάζει η ακρίβεια του μοντέλου διατήρησης της ιδιωτικής ζωής σε σύγκριση με την άμυνα 1
Οι μαθητές θα σχηματίσουν ομάδες των δύο και θα εργαστούν ως ομάδα. Μία ομάδα πρέπει να υποβάλει μόνο μία τεκμηρίωση/λύση.
Αναγνωρίσεις
Το πρόγραμμα Μάστερ τεχνητής νοημοσύνης με επίκεντρο τον άνθρωπο συγχρηματοδοτήθηκε από τον μηχανισμό «Συνδέοντας την Ευρώπη» της Ευρωπαϊκής Ένωσης στο πλαίσιο της επιχορήγησης CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068.