Administrativne informacije
| Naslov | Obrana od članstva i atributi napada u modelima strojnog učenja |
| Trajanje | 90 min |
| Modul | B |
| Vrsta lekcija | Praktičan |
| Fokus | Etika – pouzdana umjetna inteligencija |
| Tema | Napadi na privatnost na strojno učenje, protumjere |
Ključne riječi
Privatnost strojnog učenja, ublažavanje, anonimizacija, diferencijalna privatnost, različito privatno osposobljavanje, Random Forest,
Ciljevi učenja
- Stjecanje praktičnih vještina za ublažavanje curenja privatnosti primjenom Različite privatnosti
- Kako anonimizirati skupove podataka s različitim privatnosti
- Kako trenirati ML modele s različitim privatnosti
- Razumijevanje razlike između anonimizacije podataka i osposobljavanja modela za očuvanje privatnosti
- Proučiti kompromis između očuvanja privatnosti (anonimizacija) i korisnosti (kvaliteta modela, točnost podataka)
Očekivana priprema
Edukativni događaji koji će biti završeni prije
- Predavanje: Privatnost i strojno učenje
- Predavanje: Uvod u privatnost i rizik
- Praktično: Revizija okvira privatnosti i zaštite podataka
- Predavanje: Stabla odlučivanja
- Predavanje: Procjena modela
- Predavanje: Zaključak i predviđanje
- Predavanje: Model montaže i optimizacije
- Praktično: Model montaže i optimizacije
- Predavanje: Priprema i istraživanje podataka
- Praktično: Priprema i istraživanje podataka
- Predavanje: Neuronske mreže
- Predavanje: Privatnost
Obvezno za studente
- Python
- Scikit
- Pande
- UMJETNOST
- Smartnoise-SDK
- virtualni env
- Napadi na članstvo
- Zaključak o svojstvima
- Diferencijalna privatnost
- Procjena modela
Neobvezno za studente
Nijedan.
Preporuke i pozadina za studente
Preporučeno nastavnicima
Nastavni materijali
Upute za učitelje
Ova laboratorijska vježba je nastavak praktičnog: Revizija okvira privatnosti i zaštite podataka, gdje se razvijaju napadi privatnosti na modele ML-a, dok se ovaj trenutni događaj učenja odnosi na ublažavanje tih napada.
Modeli strojnog učenja često se obučavaju na povjerljivim (ili osobnim, osjetljivim) podacima. Na primjer, takav model može predvidjeti plaću pojedinca iz drugih atributa (kao što su obrazovanje, mjesto stanovanja, rasa, spol itd.). Uobičajena je zabluda da se takvi modeli ne smatraju osobnim podacima čak i ako su njihovi podaci o osposobljavanju osobni (doista, podaci o osposobljavanju mogu biti prikupljanje zapisa o pojedincima) jer se izračunavaju iz agregiranih informacija dobivenih iz osjetljivih podataka o osposobljavanju (npr. prosjek gradijenta u neuronskim mrežama ili entropija/broj oznaka u nasumičnim šumama). Cilj ove laboratorijske sesije je pokazati da se modeli strojnog učenja mogu smatrati osobnim podacima i stoga je vrlo vjerojatno da će se njihova obrada regulirati u mnogim zemljama (npr. GDPR-om u Europi). Studenti će osmisliti napade privatnosti kako bi testirali propuštaju li obučeni modeli informacije o svojim podacima za obuku i također ublažili te napade. Na primjer, napadi zaključaka o članstvu imaju za cilj otkriti prisutnost određenog uzorka u podacima za obuku ciljnog modela iz modela i/ili njegovih rezultata. Napadi bijele kutije mogu pristupiti i obučenim modelima (uključujući njegove parametre) i izlazu modela (tj. njegovim predviđanjima), dok modeli crne kutije mogu pristupiti samo predviđanjima modela za određeni uzorak. Napadi zaključaka o atributima imaju za cilj predvidjeti nedostatak osjetljivog atributa iz izlaza modela strojnog učenja koji je treniran, kao i svih ostalih atributa.
Nastavnicima se preporučuje da istaknu kompromis između očuvanja privatnosti i kvalitete modela/točnosti podataka općenito. Ako je potrebno, u nastavni plan se mogu ugraditi dodatne vježbe kako bi se to pokazalo (procjena kvalitete modela ovisno o epsilonu i delti).
Nacrt
U ovoj laboratorijskoj sesiji ublažit ćete rizike za privatnost i modele umjetne inteligencije. Konkretno, učenici će razviti dvije tehnike ublažavanja:
- Obrana 1: generirajte sintetičke podatke uz jamstva diferencijalne privatnosti i provjerite
- koliko se kvaliteta modela smanjuje ako se sintetički podaci kojima se čuva privatnost upotrebljavaju za treniranje modela umjesto izvornih podataka (ovisno o parametru privatnosti epsilon)
- ako trening na sintetskim podacima umjesto originala sprječava članstvo i napad izvođenja atributa
- Obrana 2: obučite model s različitim jamstvima privatnosti i provjerite
- koliko se kvaliteta modela smanjuje ako se koristi model za očuvanje privatnosti umjesto originalnog modela za predviđanje (ovisno o parametru privatnosti epsilon)
- ako model očuvanja privatnosti sprječava napad članstva
- kako se točnost modela za očuvanje privatnosti mijenja u usporedbi s obranom 1
Učenici će formirati dvije skupine i raditi kao tim. Jedna skupina mora predati samo jednu dokumentaciju/rješenje.
Priznanja
Diplomski studij umjetne inteligencije usmjeren na čovjeka sufinanciran je Instrumentom za povezivanje Europe Europske unije u okviru bespovratnih sredstava CEF-TC-2020 – 1 Digital Skills 2020-EU-IA-0068.