Información administrativa
| Título | Defensa contra la membresía y los ataques de inferencia de atributos en modelos de aprendizaje automático |
| Duración | 90 min |
| Módulo | B |
| Tipo de lección | Practico |
| Enfoque | Ética — IA confiable |
| Tema | Ataques de privacidad contra el aprendizaje automático, contramedidas |
Keywords
Privacidad del aprendizaje automático, mitigación, anonimización, privacidad diferencial, formación diferencial privada, bosque aleatorio,
Objetivos de aprendizaje
- Obtenga habilidades prácticas para mitigar las fugas de privacidad mediante la aplicación de la privacidad diferencial
- Cómo anonimizar conjuntos de datos con privacidad diferencial
- Cómo entrenar modelos ML con privacidad diferencial
- Comprender la diferencia entre la anonimización de datos y la capacitación en modelos de preservación de la privacidad
- Estudiar la compensación entre la preservación de la privacidad (anonimización) y la utilidad (calidad del modelo, precisión de los datos)
Preparación prevista
Eventos de aprendizaje que se completarán antes
- Conferencia: Privacidad y aprendizaje automático
- Conferencia: Introducción a la privacidad y al riesgo
- Práctica: Marcos de auditoría de privacidad y protección de datos
- Conferencia: Árboles de decisión
- Conferencia: Evaluación del modelo
- Conferencia: Inferencia y predicción
- Conferencia: Montaje y optimización del modelo
- Práctica: Montaje y optimización del modelo
- Conferencia: Preparación y Exploración de Datos
- Práctica: Preparación y Exploración de Datos
- Conferencia: Redes neuronales
- Conferencia: Privacidad
Obligatorio para los estudiantes
- Python
- Scikit
- Pandas
- ARTE
- Smartnoise-SDK
- virtual-env
- Ataques de membresía
- Inferencia de atributos
- Privacidad diferencial
- Evaluación del modelo
Opcional para estudiantes
Ninguno.
Referencias y antecedentes para estudiantes
Recomendado para profesores
Material didáctico
Instrucciones para profesores
Este ejercicio de laboratorio es un seguimiento de Practical: Marcos de auditoría de privacidad y protección de datos, donde se desarrollan ataques de privacidad contra modelos de ML, mientras que este evento de aprendizaje actual trata de mitigar estos ataques.
Los modelos de aprendizaje automático a menudo se capacitan en datos confidenciales (o personales, sensibles). Por ejemplo, tal modelo puede predecir el salario de un individuo a partir de sus otros atributos (como educación, lugar de vida, raza, sexo, etc.). Un error común es que tales modelos no se consideran datos personales, incluso si sus datos de formación son personales (de hecho, los datos de formación pueden ser la recopilación de registros sobre individuos), ya que se calculan a partir de información agregada derivada de los datos de formación sensibles (por ejemplo, el promedio de gradientes en redes neuronales o la entropía/conteo de etiquetas en bosques aleatorios). El objetivo de esta sesión de laboratorio es mostrar que los modelos de aprendizaje automático pueden considerarse como datos personales y, por lo tanto, es muy probable que su procesamiento esté regulado en muchos países (por ejemplo, por GDPR en Europa). Los estudiantes diseñarán ataques de privacidad para probar si los modelos entrenados filtran información sobre sus datos de entrenamiento, y también mitigarán estos ataques. Por ejemplo, los ataques de inferencia de membresía tienen como objetivo detectar la presencia de una muestra dada en los datos de entrenamiento de un modelo objetivo a partir de los modelos o su salida. Los ataques de caja blanca pueden acceder tanto a los modelos entrenados (incluidos sus parámetros) como a la salida del modelo (es decir, a sus predicciones), mientras que los modelos de caja negra solo pueden acceder a las predicciones del modelo para una muestra dada. Los ataques de inferencia de atributos tienen como objetivo predecir un atributo sensible faltante de la salida del modelo de aprendizaje automático que está entrenado, así como todos los demás atributos.
Se recomienda a los maestros que hagan hincapié en la compensación entre la preservación de la privacidad y la calidad del modelo/la precisión de los datos en general. Si es necesario, se pueden incorporar ejercicios adicionales en el programa de estudios para demostrar esto (evaluar la calidad del modelo en función de epsilon y delta).
Esquema
En esta sesión de laboratorio, mitigará los riesgos de privacidad de los modelos de IA. Específicamente, los estudiantes desarrollarán dos técnicas de mitigación:
- Defensa 1: generar datos sintéticos con las garantías de Privacidad Diferencial y comprobar
- cuánto se degrada la calidad del modelo si los datos sintéticos que preservan la privacidad se utilizan para entrenar el modelo en lugar de los datos originales (dependiendo del parámetro de privacidad epsilon)
- si el entrenamiento en los datos sintéticos en lugar del original impide la membresía y el ataque de inferencia de atributos
- Defensa 2: entrena el modelo con garantías de privacidad diferencial, y comprueba
- cuánto se degrada la calidad del modelo si se utiliza el modelo de preservación de la privacidad en lugar del modelo original para la predicción (dependiendo del parámetro de privacidad epsilon)
- si el modelo de preservación de la privacidad evita el ataque de membresía
- cómo cambia la precisión del modelo de preservación de la privacidad en comparación con Defense 1
Los estudiantes formarán grupos de dos y trabajarán en equipo. Un grupo solo tiene que entregar una documentación/solución.
Reconocimientos
El programa de maestría en IA centrada en el ser humano fue cofinanciado por el Mecanismo «Conectar Europa» de la Unión Europea en virtud de la subvención «CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068».