Informații administrative
| Titlu | Apărarea împotriva calității de membru și atribuirea atacurilor de inferență în modelele de învățare automată |
| Durată | 90 min |
| Modulul | B |
| Tipul lecției | Practică |
| Focalizare | Etică – IA demnă de încredere |
| Subiect | Atacuri de confidențialitate asupra învățării automate, contramăsuri |
Cuvinte cheie
Confidențialitatea învățării automate, atenuarea, anonimizarea, confidențialitatea diferențială, formarea privată diferențiată, pădurea aleatorie,
Obiective de învățare
- Obțineți abilități practice pentru a atenua scurgerile de confidențialitate prin aplicarea confidențialității diferențiale
- Cum să anonimizați seturile de date cu confidențialitate diferențială
- Cum de a instrui modele ML cu confidențialitate diferențială
- Înțelegerea diferenței dintre anonimizarea datelor și formarea modelului de conservare a vieții private
- Studiați compromisul dintre păstrarea confidențialității (anonimizare) și utilitate (calitatea modelului, acuratețea datelor)
Pregătirea preconizată
Evenimente de învățare care urmează să fie finalizate înainte
- Prelegere: Confidențialitatea și învățarea automată
- Prelegere: Introducere în confidențialitate și risc
- Practică: Cadrele de audit privind confidențialitatea și protecția datelor
- Prelegere: Arborii de decizie
- Prelegere: Evaluarea modelului
- Prelegere: Inferență și predicție
- Prelegere: Montarea și optimizarea modelului
- Practică: Montarea și optimizarea modelului
- Prelegere: Pregătirea și explorarea datelor
- Practică: Pregătirea și explorarea datelor
- Prelegere: Rețele neuronale
- Prelegere: Confidențialitate
Obligatoriu pentru studenți
- Python
- Scikit
- Urși panda
- ARTĂ
- Smartnoise-SDK
- virtual-env
- Atacurile membrilor
- Inferența atributului
- Confidențialitate diferențială
- Evaluarea modelului
Opțional pentru studenți
Nici unul.
Referințe și context pentru studenți
Recomandat pentru profesori
Materiale de lecție
Instrucțiuni pentru profesori
Acest exercițiu de laborator este o continuare a practicii: Cadre de audit privind confidențialitatea și protecția datelor,în care sunt dezvoltate atacuri de confidențialitate împotriva modelelor ML, în timp ce acest eveniment de învățare actual se referă la atenuarea acestor atacuri.
Modelele de învățare automată sunt adesea instruite cu privire la datele confidențiale (sau personale, sensibile). De exemplu, un astfel de model poate prezice salariul unui individ din alte atribute ale sale (cum ar fi educația, locul de locuit, rasa, sexul etc.). O concepție greșită comună este că astfel de modele nu sunt considerate date cu caracter personal, chiar dacă datele lor de antrenament sunt personale (de fapt, datele de formare pot fi colectarea de înregistrări despre persoane fizice), deoarece sunt calculate pe baza informațiilor agregate derivate din datele sensibile de antrenament (de exemplu, media gradinților din rețelele neuronale sau entropia/numărul de etichete din pădurile aleatorii). Scopul acestei sesiuni de laborator este de a demonstra că modelele de învățare automată pot fi considerate date cu caracter personal și, prin urmare, este foarte probabil ca prelucrarea acestora să fie reglementată în multe țări (de exemplu, prin RGPD în Europa). Elevii vor proiecta atacuri de confidențialitate pentru a testa dacă modelele instruite scurg informații despre datele sale de antrenament și, de asemenea, vor atenua aceste atacuri. De exemplu, atacurile de deducție a membrilor au scopul de a detecta prezența unui anumit eșantion în datele de antrenament ale unui model țintă din modele și/sau din rezultatele acestuia. Atacurile cu cutie albă pot accesa atât modelele instruite (inclusiv parametrii săi), cât și rezultatele modelului (adică predicțiile sale), în timp ce modelele black-box pot accesa doar predicțiile modelului pentru un anumit eșantion. Atacurile de deducție a atributelor au scopul de a prezice un atribut sensibil care lipsește din rezultatul modelului de învățare automată care este antrenat, precum și toate celelalte atribute.
Profesorilor li se recomandă să sublinieze compromisul dintre protecția vieții private și calitatea modelului/acuratetea datelor în general. Dacă este necesar, exerciții suplimentare pot fi integrate în programa pentru a demonstra acest lucru (evaluarea calității modelului în funcție de epsilon și delta).
Contur
În această sesiune de laborator, veți atenua riscurile de confidențialitate modele AI fin. În mod specific, elevii vor dezvolta două tehnici de atenuare:
- Apărarea 1: generați date sintetice cu garanțiile de confidențialitate diferențială și verificați
- cât de mult calitatea modelului se degradează dacă datele sintetice care păstrează confidențialitatea sunt utilizate pentru a antrena modelul în locul datelor originale (în funcție de parametrul de confidențialitate epsilon)
- dacă instruirea cu privire la datele sintetice în loc de cele originale împiedică atacul de apartenență și atribut
- Apărarea 2: instruiți modelul cu garanții de confidențialitate diferențiate și verificați
- cât de mult calitatea modelului se degradează dacă modelul de conservare a confidențialității este folosit în locul modelului original pentru predicție (în funcție de parametrul de confidențialitate epsilon)
- dacă modelul de păstrare a confidențialității împiedică atacul de membru
- cum se schimbă acuratețea modelului de protecție a vieții private în comparație cu Apărarea 1
Elevii vor forma grupuri de câte doi și vor lucra ca o echipă. Un grup trebuie să furnizeze o singură documentație/soluție.
Confirmări
Programul de masterat AI centrat pe om a fost cofinantat de Mecanismul pentru interconectarea Europei al Uniunii Europene sub Grantul CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068.