Informations administratives
| Titre | Défense contre l’adhésion et Attribute Inférence Attacks dans les modèles d’apprentissage automatique |
| Durée | 90 min |
| Module | B |
| Type de leçon | Pratique |
| Focus | Éthique — IA digne de confiance |
| Sujet | Attaques de confidentialité sur l’apprentissage automatique, contre-mesures |
Mots-clés
Confidentialité de l’apprentissage automatique, atténuation, anonymisation, confidentialité différentielle, formation différenciée privée, Forêt aléatoire,
Objectifs d’apprentissage
- Acquérir des compétences pratiques pour atténuer les fuites de confidentialité en appliquant Differential Privacy
- Comment anonymiser les ensembles de données avec la confidentialité différentielle
- Comment former des modèles ML avec une confidentialité différentielle
- Comprendre la différence entre l’anonymisation des données et la formation de modèles de préservation de la vie privée
- Étudier le compromis entre la préservation de la vie privée (anonymisation) et l’utilité (qualité du modèle, exactitude des données)
Préparation prévue
Événements d’apprentissage à compléter avant
- Conférence: Confidentialité et apprentissage automatique
- Conférence: Introduction à la vie privée et aux risques
- Pratique: Cadres d’audit de la vie privée et de la protection des données
- Conférence: Arbres de décision
- Conférence: Évaluation du modèle
- Conférence: Inférence et prédiction
- Conférence: Montage et optimisation du modèle
- Pratique: Montage et optimisation du modèle
- Conférence: Préparation et exploration des données
- Pratique: Préparation et exploration des données
- Conférence: Réseaux neuronaux
- Conférence: Confidentialité
Obligatoire pour les étudiants
- Python
- Scikit
- Pandas
- ART
- Smartnoise-SDK
- Virtual-env
- Attaques d’adhésion
- Inférence d’attributs
- Différence de confidentialité
- Évaluation du modèle
Optionnel pour les étudiants
Aucun.
Références et antécédents pour les étudiants
Recommandé pour les enseignants
Matériel de leçon
Instructions pour les enseignants
Cet exercice de laboratoire est un suivi de Practical: Des cadres d’audit de la vie privée et dela protection des données, où des attaques contre les modèles ML sont développées, tandis que cet événement d’apprentissage actuel vise à atténuer ces attaques.
Les modèles d’apprentissage automatique sont souvent formés sur des données confidentielles (ou personnelles, sensibles). Par exemple, un tel modèle peut prédire le salaire d’un individu à partir de ses autres attributs (comme l’éducation, le lieu de vie, la race, le sexe, etc.). Une idée fausse commune est que ces modèles ne sont pas considérés comme des données à caractère personnel même si leurs données de formation sont personnelles (en effet, les données de formation peuvent être la collecte d’enregistrements sur des individus), car elles sont calculées à partir d’informations agrégées dérivées des données d’entraînement sensibles (par exemple, la moyenne des gradients dans les réseaux de neurones, ou l’entropie/le nombre d’étiquettes dans les forêts aléatoires). L’objectif de cette session de laboratoire est de montrer que les modèles d’apprentissage automatique peuvent être considérés comme des données à caractère personnel et que leur traitement est donc très susceptible d’être réglementé dans de nombreux pays (par exemple par le RGPD en Europe). Les étudiants vont concevoir des attaques de confidentialité pour tester si les modèles formés fuitent des informations sur ses données d’entraînement, et également atténuer ces attaques. Par exemple, les attaques d’inférence d’adhésion visent à détecter la présence d’un échantillon donné dans les données d’entraînement d’un modèle cible à partir des modèles et/ou de sa sortie. Les attaques en boîte blanche peuvent accéder à la fois aux modèles formés (y compris ses paramètres) et à la sortie du modèle (c’est-à-dire ses prédictions), tandis que les modèles de boîtes noires ne peuvent accéder qu’aux prédictions du modèle pour un échantillon donné. Les attaques d’inférence d’attributs visent à prédire un attribut sensible manquant à partir de la sortie du modèle d’apprentissage automatique qui est formé ainsi que de tous les autres attributs.
Il est recommandé aux enseignants de mettre l’accent sur le compromis entre la préservation de la vie privée et la qualité du modèle/exactitude des données en général. Si nécessaire, des exercices supplémentaires peuvent être intégrés dans le programme pour le démontrer (évaluer la qualité du modèle en fonction de l’epsilon et du delta).
Esquisse
Dans cette session de laboratoire, vous atténuerez les risques de confidentialité des modèles d’IA. Plus précisément, les étudiants développeront deux techniques d’atténuation:
- Défense 1: générer des données synthétiques avec les garanties de confidentialité différentielle et vérifier
- combien la qualité du modèle se dégrade si les données synthétiques de préservation de la vie privée sont utilisées pour former le modèle au lieu des données d’origine (selon le paramètre de confidentialité epsilon)
- si l’entraînement sur les données synthétiques au lieu de l’original empêche l’adhésion et attribue l’attaque d’inférence
- Défense 2: former le modèle avec des garanties de confidentialité différentielle, et vérifier
- combien la qualité du modèle se dégrade si le modèle de préservation de la vie privée est utilisé au lieu du modèle original pour la prédiction (selon le paramètre de confidentialité epsilon)
- si le modèle de préservation de la vie privée empêche les attaques d’adhésion
- comment l’exactitude du modèle de protection de la vie privée change par rapport à Defense 1
Les étudiants formeront des groupes de deux et travailleront en équipe. Un groupe ne doit remettre qu’une seule documentation/solution.
Remerciements
Le programme de master IA centré sur l’humain a été cofinancé par le mécanisme pour l’interconnexion en Europe de l’Union européenne dans le cadre de la subvention CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068.