[cette page sur wiki][index][EN][BG][CS][DA][DE][EL][ES][ET][FI][FR][GA][HR][HU][IT][MT][NL][PL][PT][RO][SK][SL][SV]

Pratique: Application et évaluation des techniques de préservation de la vie privée

Informations administratives

Titre Défense contre l’adhésion et Attribute Inférence Attacks dans les modèles d’apprentissage automatique
Durée 90 min
Module B
Type de leçon Pratique
Focus Éthique — IA digne de confiance
Sujet Attaques de confidentialité sur l’apprentissage automatique, contre-mesures

Mots-clés

Confidentialité de l’apprentissage automatique, atténuation, anonymisation, confidentialité différentielle, formation différenciée privée, Forêt aléatoire,

Objectifs d’apprentissage

Préparation prévue

Obligatoire pour les étudiants

  • Python
  • Scikit
  • Pandas
  • ART
  • Smartnoise-SDK
  • Virtual-env
  • Attaques d’adhésion
  • Inférence d’attributs
  • Différence de confidentialité
  • Évaluation du modèle

Optionnel pour les étudiants

Aucun.

Matériel de leçon

Instructions pour les enseignants

Cet exercice de laboratoire est un suivi de Practical: Des cadres d’audit de la vie privée et dela protection des données, où des attaques contre les modèles ML sont développées, tandis que cet événement d’apprentissage actuel vise à atténuer ces attaques.

Les modèles d’apprentissage automatique sont souvent formés sur des données confidentielles (ou personnelles, sensibles). Par exemple, un tel modèle peut prédire le salaire d’un individu à partir de ses autres attributs (comme l’éducation, le lieu de vie, la race, le sexe, etc.). Une idée fausse commune est que ces modèles ne sont pas considérés comme des données à caractère personnel même si leurs données de formation sont personnelles (en effet, les données de formation peuvent être la collecte d’enregistrements sur des individus), car elles sont calculées à partir d’informations agrégées dérivées des données d’entraînement sensibles (par exemple, la moyenne des gradients dans les réseaux de neurones, ou l’entropie/le nombre d’étiquettes dans les forêts aléatoires). L’objectif de cette session de laboratoire est de montrer que les modèles d’apprentissage automatique peuvent être considérés comme des données à caractère personnel et que leur traitement est donc très susceptible d’être réglementé dans de nombreux pays (par exemple par le RGPD en Europe). Les étudiants vont concevoir des attaques de confidentialité pour tester si les modèles formés fuitent des informations sur ses données d’entraînement, et également atténuer ces attaques. Par exemple, les attaques d’inférence d’adhésion visent à détecter la présence d’un échantillon donné dans les données d’entraînement d’un modèle cible à partir des modèles et/ou de sa sortie. Les attaques en boîte blanche peuvent accéder à la fois aux modèles formés (y compris ses paramètres) et à la sortie du modèle (c’est-à-dire ses prédictions), tandis que les modèles de boîtes noires ne peuvent accéder qu’aux prédictions du modèle pour un échantillon donné. Les attaques d’inférence d’attributs visent à prédire un attribut sensible manquant à partir de la sortie du modèle d’apprentissage automatique qui est formé ainsi que de tous les autres attributs.

Il est recommandé aux enseignants de mettre l’accent sur le compromis entre la préservation de la vie privée et la qualité du modèle/exactitude des données en général. Si nécessaire, des exercices supplémentaires peuvent être intégrés dans le programme pour le démontrer (évaluer la qualité du modèle en fonction de l’epsilon et du delta).

Esquisse

Dans cette session de laboratoire, vous atténuerez les risques de confidentialité des modèles d’IA. Plus précisément, les étudiants développeront deux techniques d’atténuation:

  1. Défense 1: générer des données synthétiques avec les garanties de confidentialité différentielle et vérifier
    • combien la qualité du modèle se dégrade si les données synthétiques de préservation de la vie privée sont utilisées pour former le modèle au lieu des données d’origine (selon le paramètre de confidentialité epsilon)
    • si l’entraînement sur les données synthétiques au lieu de l’original empêche l’adhésion et attribue l’attaque d’inférence
  2. Défense 2: former le modèle avec des garanties de confidentialité différentielle, et vérifier
    • combien la qualité du modèle se dégrade si le modèle de préservation de la vie privée est utilisé au lieu du modèle original pour la prédiction (selon le paramètre de confidentialité epsilon)
    • si le modèle de préservation de la vie privée empêche les attaques d’adhésion
    • comment l’exactitude du modèle de protection de la vie privée change par rapport à Defense 1

Les étudiants formeront des groupes de deux et travailleront en équipe. Un groupe ne doit remettre qu’une seule documentation/solution.

Remerciements

Le programme de master IA centré sur l’humain a été cofinancé par le mécanisme pour l’interconnexion en Europe de l’Union européenne dans le cadre de la subvention CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068.