Upravne informacije
| Naslov | Obramba pred članstvom in atributiranje napadov v modelih strojnega učenja |
| Trajanje | 90 min |
| Modul | B |
| Vrsta lekcije | Praktična |
| Osredotočenost | Etična – zaupanja vredna umetna inteligenca |
| Tema | Napadi na zasebnost pri strojnem učenju, protiukrepi |
Ključne besede
Zasebnost strojnega učenja, blaženje, anonimizacija, diferencialna zasebnost, Diferencialno zasebno usposabljanje, Naključni gozd,
Učni cilji
- Pridobite praktične spretnosti za ublažitev uhajanja zasebnosti z uporabo diferencialne zasebnosti
- Kako anonimizirati nabore podatkov z diferencialno zasebnostjo
- Kako usposabljati ML modele z diferencialno zasebnostjo
- Razumevanje razlike med anonimizacijo podatkov in usposabljanjem modela za ohranjanje zasebnosti
- Preučitev kompromisa med ohranjanjem zasebnosti (anonimizacija) in uporabnostjo (kakovost modela, točnost podatkov)
Pričakovana priprava
Učenje Dogodki, ki jih je treba dokončati pred
- Predavanje: Zasebnost in strojno učenje
- Predavanje: Uvod v zasebnost in tveganje
- Praktično: Revizijski okviri zasebnosti in varstva podatkov
- Predavanje: Drevesa odločanja
- Predavanje: Vrednotenje modela
- Predavanje: Sklepanje in predvidevanje
- Predavanje: Opremljanje in optimizacija modela
- Praktično: Opremljanje in optimizacija modela
- Predavanje: Priprava in raziskovanje podatkov
- Praktično: Priprava in raziskovanje podatkov
- Predavanje: Nevronske mreže
- Predavanje: Zasebnost
Obvezno za študente
- Python
- Škarje
- Pande
- UMETNOST
- Smartnoise-SDK
- virtualni env
- Napadi članstva
- Atribut sklepanja
- Diferencialna zasebnost
- Vrednotenje modela
Neobvezno za študente
Nobenega.
Reference in ozadje za študente
Priporočeno za učitelje
Gradivo za učne ure
Navodila za učitelje
Ta laboratorijska vaja je nadaljevanje praktičnega: Revizijska okvira zasebnosti in varstva podatkov,kjer se razvijajo napadi zasebnosti proti modelom ML, medtem ko je ta trenutni učni dogodek namenjen blažitvi teh napadov.
Modeli strojnega učenja so pogosto usposobljeni za zaupne (ali osebne, občutljive) podatke. Na primer, tak model lahko predvidi plačo posameznika iz njegovih drugih lastnosti (kot so izobrazba, življenjski prostor, rasa, spol itd.). Pogosto napačno prepričanje je, da se taki modeli ne štejejo za osebne podatke, tudi če so njihovi podatki o usposabljanju osebni (dejansko so lahko podatki o usposabljanju zbiranje evidenc o posameznikih), saj se izračunajo iz zbirnih informacij, pridobljenih iz občutljivih podatkov o usposabljanju (npr. povprečje gradientov v nevronskih mrežah ali entropija/število oznak v naključnih gozdovih). Cilj te laboratorijske seje je pokazati, da se modeli strojnega učenja lahko obravnavajo kot osebni podatki, zato je zelo verjetno, da bo njihova obdelava v številnih državah urejena (npr. s Splošno uredbo o varstvu podatkov v Evropi). Študenti bodo načrtovali napade zasebnosti, da bi preverili, ali usposobljeni modeli puščajo informacije o svojih podatkih o usposabljanju, in tudi ublažili te napade. Na primer, napadi na podlagi sklepanja o članstvu so namenjeni odkrivanju prisotnosti določenega vzorca v podatkih o usposabljanju ciljnega modela iz modelov in/ali njegovih rezultatov. Napadi bele škatle lahko dostopajo do usposobljenih modelov (vključno z njegovimi parametri) in rezultatov modela (tj. njegovih napovedi), medtem ko lahko modeli črne škatle dostopajo le do napovedi modela za dani vzorec. Atributni napadi sklepanja so namenjeni napovedovanju manjkajočega občutljivega atributa iz izhoda modela strojnega učenja, ki je usposobljen za vse druge atribute.
Učiteljem se priporoča, da poudarijo kompromis med ohranjanjem zasebnosti in kakovostjo modela/točnostjo podatkov na splošno. Če je potrebno, se lahko v učni načrt vgradijo dodatne vaje, da se to dokaže (ocenite kakovost modela glede na epsilon in delto).
Obris
V tej laboratorijski seji boste zmanjšali tveganja za zasebnost fin AI modelov. Študenti bodo razvili dve tehniki za ublažitev:
- Obramba 1: ustvarjanje sintetičnih podatkov z jamstvi diferencialne zasebnosti in preverjanje
- koliko se kakovost modela poslabša, če se sintetični podatki, ki ohranjajo zasebnost, uporabljajo za usposabljanje modela namesto prvotnih podatkov (odvisno od parametra zasebnosti epsilon)
- če usposabljanje za sintetične podatke namesto prvotnih preprečuje članstvo in atribut napad sklepanja
- Obramba 2: trenirajte model z diferencialnimi jamstvi zasebnosti in preverite
- koliko se kakovost modela poslabša, če se namesto prvotnega modela za napovedovanje uporablja model za ohranjanje zasebnosti (odvisno od parametra zasebnosti epsilon)
- če model za ohranjanje zasebnosti preprečuje napad članstva
- kako se spreminja natančnost modela za ohranjanje zasebnosti v primerjavi z obrambo 1
Učenci bodo sestavljali dve skupini in delali kot ekipa. Ena skupina mora predložiti samo eno dokumentacijo/rešitev.
Priznanja
Program Masters umetne inteligence, ki je bil vključen v človeka, je bil sofinanciran z instrumentom za povezovanje Evrope Evropske unije v okviru nepovratnih sredstev (CEF-TC-2020–1 Digital Skills 2020-EU-IA-0068).