Informações administrativas
| Titulo | Defender-se contra Ataques de Inferência de Afiliação e Atributo em Modelos de Aprendizagem de Máquinas |
| Duração | 90 min |
| Módulo | B |
| Tipo de aula | Prático |
| Foco | Ética — Inteligência Artificial de confiança |
| Tópico | Ataques de privacidade à aprendizagem automática, contramedidas |
Palavras-chave
Privacidade da Aprendizagem de Máquinas, Mitigação, Anonimização, Privacidade Diferente, Formação Diferentemente Privada, Floresta Aleatória,
Objetivos de aprendizagem
- Adquirir competências práticas para mitigar fugas de privacidade através da aplicação de Privacidade Diferente
- Como anonimizar conjuntos de dados com privacidade diferente
- Como treinar modelos ML com Privacidade Diferencial
- Compreender a diferença entre a anonimização dos dados e a formação de modelos de preservação da privacidade
- Estudar o compromisso entre a preservação da privacidade (anonimização) e a utilidade (qualidade do modelo, exatidão dos dados)
Preparação prevista
Eventos de aprendizagem a serem concluídos antes
- Palestra: Privacidade e aprendizagem automática
- Palestra: Introdução à privacidade e ao risco
- Prática: Quadros de auditoria da privacidade e da proteção de dados
- Palestra: Árvores de decisão
- Palestra: Avaliação do modelo
- Palestra: Inferência e previsão
- Palestra: Encaixe e otimização do modelo
- Prática: Encaixe e otimização do modelo
- Palestra: Preparação e exploração de dados
- Prática: Preparação e exploração de dados
- Palestra: Redes neurais
- Palestra: Privacidade
Obrigatório para os Estudantes
- Python
- Scikit
- Pandas
- ARTE
- Smartnoise-SDK
- virtual-env
- Ataques de membros
- Inferência de atributos
- Privacidade diferencial
- Avaliação do modelo
Facultativo para Estudantes
Nenhuma.
Referências e antecedentes para estudantes
Recomendado para professores
Materiais das aulas
Instruções para os professores
Este exercício laboratorial é um seguimento da prática: Estruturas de auditoria de privacidade e proteção de dados, onde os ataques à privacidade contra modelos de ML são desenvolvidos, enquanto este evento de aprendizagem atual trata de mitigar esses ataques.
Os modelos de aprendizagem automática são frequentemente treinados em dados confidenciais (ou pessoais, sensíveis). Por exemplo, tal modelo pode prever o salário de um indivíduo a partir de seus outros atributos (como educação, local de vida, raça, sexo, etc.). Um equívoco comum é que esses modelos não são considerados dados pessoais, mesmo que os seus dados de formação sejam pessoais (na verdade, os dados de formação podem ser a recolha de registos sobre indivíduos), uma vez que são calculados a partir de informações agregadas derivadas dos dados de treino sensíveis (por exemplo, a média dos gradientes nas redes neurais ou a entropia/contagem de rótulos em florestas aleatórias). O objetivo desta sessão de laboratório é mostrar que os modelos de aprendizagem automática podem ser considerados dados pessoais e, por conseguinte, é muito provável que o seu tratamento seja regulamentado em muitos países (por exemplo, pelo RGPD na Europa). Os alunos irão projetar ataques de privacidade para testar se os modelos treinados vazam informações sobre os seus dados de treino e também atenuam estes ataques. Por exemplo, os ataques de inferência de membro visam detetar a presença de uma determinada amostra nos dados de treino de um modelo-alvo a partir dos modelos e/ou da sua saída. Os ataques de caixa branca podem aceder tanto aos modelos treinados (incluindo os seus parâmetros) como à saída do modelo (ou seja, as suas previsões), enquanto os modelos black-box só podem aceder às previsões do modelo para uma determinada amostra. Os ataques de inferência de atributos visam prever um atributo sensível que falta a partir da saída do modelo de aprendizagem de máquina que é treinado em, bem como todos os outros atributos.
Recomenda-se aos professores que destaquem o compromisso entre a preservação da privacidade e a qualidade do modelo/a precisão dos dados em geral. Se necessário, os exercícios adicionais podem ser incorporados no programa para demonstrar isso (avaliar a qualidade do modelo de acordo com o epsilon e delta).
Esboço
Nesta sessão de laboratório, irá mitigar os riscos de privacidade de modelos de IA fin. Especificamente, os alunos desenvolverão duas técnicas de mitigação:
- Defesa 1: gerar dados sintéticos com as garantias de Privacidade Diferencial e verificar
- quanto a qualidade do modelo se degrada se os dados sintéticos que preservam a privacidade forem utilizados para treinar o modelo em vez dos dados originais (dependendo do parâmetro de privacidade epsilon)
- se o treino com os dados sintéticos em vez dos dados originais impedir a adesão e atribuir o ataque de inferência
- Defesa n.º 2: treinar o modelo com garantias de privacidade diferenciadas, e verificar
- quanto a qualidade do modelo se degrada se o modelo de preservação da privacidade for usado em vez do modelo original para previsão (dependendo do parâmetro de privacidade epsilon)
- se o modelo de preservação da privacidade impedir o ataque de membro
- como a precisão do modelo de preservação da privacidade muda em relação à Defesa 1
Os alunos vão formar grupos de dois e trabalhar em equipa. Um grupo tem de entregar apenas uma documentação/solução.
Agradecimentos
O programa de mestrado em IA centrado no ser humano foi cofinanciado pelo Mecanismo Interligar a Europa da União Europeia ao abrigo de subvenções CEF-TC-2020-1 Competências Digitais 2020-EU-IA-0068.