Administratívne informácie
Názov | Obrana proti členstvu a prisudzovanie útokov v modeloch strojového učenia |
Trvanie | 90 minút |
Modul | B |
Druh lekcie | Praktické |
Zameranie | Etika – dôveryhodná umelá inteligencia |
Téma | Útoky na súkromie na strojové učenie, protiopatrenia |
Kľúčové slová
Súkromie strojového učenia, zmierňovanie, anonymizácia, diferenciálne súkromie, diferenciálne súkromné vzdelávanie, Random Forest,
Vzdelávacie ciele
- Získať praktické zručnosti na zmiernenie úniku súkromia uplatnením diferenciálnej ochrany súkromia
- Ako anonymizovať súbory údajov s diferenciálnym súkromím
- Ako trénovať modely ML s diferenciálnym súkromím
- Pochopenie rozdielu medzi anonymizáciou údajov a modelovým tréningom na zachovanie súkromia
- Preskúmať kompromis medzi ochranou súkromia (anonymizácia) a užitočnosťou (kvalita modelu, presnosť údajov)
Očakávaná príprava
Naučte sa udalosti, ktoré treba dokončiť predtým
- Prednáška: Súkromie a strojové učenie
- Prednáška: Úvod do súkromia a rizika
- Praktické: Audit rámcov ochrany súkromia a údajov
- Prednáška: Rozhodovacie stromy
- Prednáška: Modelové hodnotenie
- Prednáška: Vyvodenie a predpoveď
- Prednáška: Modelová montáž a optimalizácia
- Praktické: Modelová montáž a optimalizácia
- Prednáška: Príprava a prieskum údajov
- Praktické: Príprava a prieskum údajov
- Prednáška: Neurónové siete
- Prednáška: Súkromie
Povinné pre študentov
- Python
- Scikit
- Pandy
- UMENIE
- Smartnoise-SDK
- virtuálna env
- Útoky na členstvo
- Odvodenie atribútu
- Diferenciálne súkromie
- Hodnotenie modelu
Voliteľné pre študentov
Žiadne.
Referencie a zázemie pre študentov
Odporúčané pre učiteľov
Učebné materiály
Pokyny pre učiteľov
Toto laboratórne cvičenie je pokračovaním praktického: Audit rámcov ochrany súkromia a údajov, kdesa vyvíjajú útoky na súkromie proti modelom ML, zatiaľ čo táto aktuálna vzdelávacia udalosť je zameraná na zmiernenie týchto útokov.
Modely strojového učenia sú často vyškolené na dôverné (alebo osobné, citlivé) údaje. Napríklad takýto model môže predpovedať plat jednotlivca z jeho iných atribútov (ako je vzdelanie, životné miesto, rasa, pohlavie atď.). Bežnou mylnou predstavou je, že takéto modely sa nepovažujú za osobné údaje, aj keď sú ich školiace údaje osobné (v skutočnosti, školiace údaje môžu byť zberom záznamov o jednotlivcoch), keďže sa počítajú zo súhrnných informácií odvodených z citlivých trénovacích údajov (napr. priemer gradientov v neurónových sieťach alebo entropia/počet etikety v náhodných lesoch). Cieľom tohto laboratórneho stretnutia je ukázať, že modely strojového učenia možno považovať za osobné údaje, a preto je veľmi pravdepodobné, že ich spracovanie bude regulované v mnohých krajinách (napr. prostredníctvom všeobecného nariadenia o ochrane údajov v Európe). Študenti navrhnú útoky na ochranu súkromia, aby otestovali, či vyškolené modely unikajú informácie o svojich tréningových údajoch, a tiež zmiernia tieto útoky. Cieľom útokov vyplývajúcich z členstva je napríklad odhaliť prítomnosť danej vzorky v tréningových údajoch cieľového modelu z modelov a/alebo jeho výstupu. Útoky White-box majú prístup k trénovaným modelom (vrátane jeho parametrov) aj k výstupu modelu (t. j. k jeho predpovediam), zatiaľ čo modely čiernej skrinky majú prístup len k predpovediam modelu pre danú vzorku. Cieľom útokov na odvodenie atribútov je predpovedať chýbajúci citlivý atribút z výstupu modelu strojového učenia, ktorý je trénovaný, ako aj všetky ostatné atribúty.
Učiteľom sa odporúča, aby zdôraznili kompromis medzi ochranou súkromia a kvalitou modelu/presnosťou údajov vo všeobecnosti. Ak je to potrebné, môžu byť do osnovy zabudované ďalšie cvičenia, aby sa to preukázalo (hodnotiť kvalitu modelu v závislosti od epsilónu a delty).
Obrysy
V tejto laboratórnej relácii, budete zmierňovať riziká ochrany súkromia fin AI modely. Študenti vyvinú dve techniky zmierňovania:
- Obhajoba 1: generovať syntetické údaje so zárukami diferenciálneho súkromia a kontroly
- do akej miery sa kvalita modelu zhoršuje, ak sa syntetické údaje, ktoré chránia súkromie, použijú na trénovanie modelu namiesto pôvodných údajov (v závislosti od parametra ochrany osobných údajov epsilon)
- ak tréning na syntetických dátach namiesto pôvodného zabraňuje členstvu a atribút inference útoku
- Obhajoba 2: trénujte model so zárukami diferenciálnej ochrany osobných údajov a skontrolujte
- do akej miery sa kvalita modelu degraduje, ak sa model zachovávajúci súkromie použije namiesto pôvodného modelu na predpovedanie (v závislosti od parametra ochrany osobných údajov epsilon)
- ak model zachovávajúci súkromie zabraňuje útoku na členstvo
- ako sa mení presnosť modelu ochrany súkromia v porovnaní s obranou 1
Študenti budú tvoriť dve skupiny a pracovať ako tím. Jedna skupina musí predložiť len jednu dokumentáciu/riešenie.
Uznania
Program Masters umelej inteligencie zameraný na človeka bol spolufinancovaný z Nástroja Európskej únie na prepájanie Európy v rámci grantu CEF-TC-2020 – 1 Digitálne zručnosti 2020-EU-IA-0068.