Informazioni amministrative
| Titolo | Difendersi dall'adesione e attribuire attacchi di inferenza nei modelli di apprendimento automatico |
| Durata | 90 min |
| Modulo | B |
| Tipo di lezione | Pratico |
| Focus | Etico — AI affidabile |
| Argomento | Attacchi alla privacy sul machine learning, contromisure |
Parole chiave
Privacy di apprendimento automatico, mitigazione, anonimizzazione, privacy differenziale, formazione differenziata privata, foresta casuale,
Obiettivi di apprendimento
- Acquisire competenze pratiche per mitigare le perdite di privacy applicando la privacy differenziale
- Come anonimizzare i set di dati con privacy differenziale
- Come addestrare i modelli ML con privacy differenziale
- Comprendere la differenza tra l'anonimizzazione dei dati e la formazione sul modello di conservazione della privacy
- Studiare il compromesso tra conservazione della privacy (anonimizzazione) e utilità (qualità del modello, precisione dei dati)
Preparazione prevista
Eventi di apprendimento da completare prima
- Lezione: Privacy e machine learning
- Lezione: Introduzione alla privacy e al rischio
- Pratico: Quadri di audit in materia di privacy e protezione dei dati
- Lezione: Alberi di decisione
- Lezione: Modello di valutazione
- Lezione: Inferenza e previsione
- Lezione: Montaggio e ottimizzazione del modello
- Pratico: Montaggio e ottimizzazione del modello
- Lezione: Preparazione ed esplorazione dei dati
- Pratico: Preparazione ed esplorazione dei dati
- Lezione: Reti neurali
- Lezione: Privacy
Obbligatorio per gli studenti
- Pitone
- Scikit
- Panda
- ARTE
- Smartnoise-SDK
- Virtual-env
- Attacchi di adesione
- Inferenza di attributo
- Privacy differenziale
- Valutazione del modello
Facoltativo per gli studenti
Nessuno.
Referenze e background per gli studenti
Consigliato per gli insegnanti
Materiale didattico
Istruzioni per gli insegnanti
Questo esercizio di laboratorio è un follow up di Practical: Quadri di auditing della privacy e della protezione dei dati,in cui vengono sviluppati attacchi alla privacy contro i modelli ML, mentre questo evento di apprendimento attuale riguarda la mitigazione di questi attacchi.
I modelli di apprendimento automatico sono spesso formati su dati riservati (o personali, sensibili). Ad esempio, un tale modello può prevedere lo stipendio di un individuo dai suoi altri attributi (come l'istruzione, il luogo di vita, la razza, il sesso, ecc.). Un malinteso comune è che tali modelli non sono considerati dati personali anche se i loro dati di formazione sono personali (in effetti, i dati di formazione possono essere la raccolta di record sulle persone), in quanto sono calcolati da informazioni aggregate derivate dai dati sensibili di formazione (ad esempio, la media dei gradienti nelle reti neurali o entropia/numero di etichette nelle foreste casuali). L'obiettivo di questa sessione di laboratorio è quello di dimostrare che i modelli di apprendimento automatico possono essere considerati dati personali e quindi il loro trattamento è molto probabile che sia regolamentato in molti paesi (ad esempio, dal GDPR in Europa). Gli studenti progettano attacchi alla privacy per testare se i modelli addestrati perdono informazioni sui suoi dati di allenamento e mitigano anche questi attacchi. Ad esempio, gli attacchi di inferenza associativa mirano a rilevare la presenza di un determinato campione nei dati di allenamento di un modello target dai modelli e/o dal suo output. Gli attacchi White-box possono accedere sia ai modelli addestrati (compresi i suoi parametri) sia all'output del modello (ad esempio, le sue previsioni), mentre i modelli black-box possono accedere solo alle previsioni del modello per un determinato campione. Gli attacchi di inferenza degli attributi mirano a prevedere un attributo sensibile mancante dall'output del modello di machine learning che viene addestrato su tutti gli altri attributi.
Si raccomanda agli insegnanti di sottolineare il compromesso tra la conservazione della privacy e la qualità del modello/accuratezza dei dati in generale. Se necessario, possono essere integrati esercizi extra nel programma per dimostrarlo (valutare la qualità del modello a seconda dell'epsilon e delta).
Contorno
In questa sessione di laboratorio, mitigherai i rischi per la privacy dei modelli di IA. Nello specifico, gli studenti svilupperanno due tecniche di mitigazione:
- Difesa 1: generare dati sintetici con le garanzie di Privacy differenziale e controllo
- quanto la qualità del modello si degrada se i dati sintetici che preservano la privacy vengono utilizzati per addestrare il modello invece dei dati originali (a seconda del parametro privacy epsilon)
- se l'allenamento sui dati sintetici invece di quello originale impedisce l'attacco di inferenza di appartenenza e attributo
- Difesa 2: addestrare il modello con garanzie di privacy differenziali, e controllare
- quanto la qualità del modello si degrada se il modello che preserva la privacy viene utilizzato al posto del modello originale per la previsione (a seconda del parametro privacy epsilon)
- se il modello di tutela della privacy impedisce l'attacco all'adesione
- come cambia l'accuratezza del modello di conservazione della privacy rispetto a Defense 1
Gli studenti formeranno gruppi di due e lavoreranno come squadra. Un gruppo deve consegnare una sola documentazione/soluzione.
Riconoscimenti
Il programma Human-Centered AI Masters è stato co-finanziato dal meccanismo per collegare l'Europa dell'Unione europea nell'ambito della sovvenzione CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068.