Administrativ information
| Titel | Försvar mot medlemskap och Attribute Inference Attacks in Machine Learning Models |
| Varaktighet | 90 min |
| Modul | B |
| Typ av lektion | Praktiskt |
| Fokus | Etiskt – tillförlitlig AI |
| Ämne | Integritetsattacker på maskininlärning, motåtgärder |
Nyckelord
Sekretess för maskininlärning, Mitigation, Anonymisering, Differentiell integritet, Differentiellt privat träning, Random Forest,
Lärandemål
- Få praktiska färdigheter för att minska integritetsläckage genom att tillämpa Differential Privacy
- Hur man anonymiserar dataset med differentiell integritet
- Hur man tränar ML-modeller med Differential Privacy
- Förstå skillnaden mellan dataanonymisering och sekretessbevarande modellutbildning
- Studera avvägningen mellan bevarande av privatlivet (anonymisering) och nytta (modellkvalitet, datanoggrannhet)
Förväntad förberedelse
Lärande händelser som ska slutföras innan
- Föreläsning: Integritet och maskininlärning
- Föreläsning: Introduktion till integritet och risk
- Praktiskt: Granskningsramar för integritet och dataskydd
- Föreläsning: Beslutsträd
- Föreläsning: Modellutvärdering
- Föreläsning: Slutsats och förutsägelse
- Föreläsning: Modellmontering och optimering
- Praktiskt: Modellmontering och optimering
- Föreläsning: Dataförberedelse och undersökning
- Praktiskt: Dataförberedelse och undersökning
- Föreläsning: Neurala nätverk
- Föreläsning: Sekretess
Obligatoriskt för studenter
- Python
- Scikit
- Pandor
- KONST
- Smartnoise-SDK
- Virtual-env
- Medlemsangrepp
- Attribut inferens
- Differentierad integritet
- Modellutvärdering
Valfritt för studenter
Ingen.
Referenser och bakgrund för studenter
Rekommenderas för lärare
Lektionsmaterial
Instruktioner för lärare
Denna laboratorieövning är en uppföljning av Praktisk: Granskningsramar för integritet och dataskydd,där integritetsattacker mot ML-modeller utvecklas, medan denna aktuella inlärningshändelse handlar om att mildra dessa attacker.
Maskininlärningsmodeller utbildas ofta på konfidentiella (eller personliga, känsliga) uppgifter. Till exempel kan en sådan modell förutsäga lönen för en individ från dess andra attribut (t.ex. utbildning, bostad, ras, kön, etc.). En vanlig missuppfattning är att sådana modeller inte betraktas som personuppgifter även om deras träningsdata är personliga (utbildningsuppgifter kan vara insamling av register över enskilda personer), eftersom de beräknas utifrån aggregerad information som härrör från känsliga utbildningsdata (t.ex. medelgradienter i neurala nätverk eller entropi/räkning av etiketter i slumpmässiga skogar). Målet med denna labbsession är att visa att maskininlärningsmodeller kan betraktas som personuppgifter och därför är det mycket troligt att behandlingen av dem kommer att regleras i många länder (t.ex. av GDPR i Europa). Eleverna kommer att utforma integritetsattacker för att testa om de utbildade modellerna läcker information om sina träningsdata, och även mildra dessa attacker. Till exempel syftar medlemsinferensattacker till att upptäcka förekomsten av ett givet prov i träningsdata för en målmodell från modellerna och/eller dess utdata. White-box attacker kan komma åt både de utbildade modellerna (inklusive dess parametrar) och utdata av modellen (dvs. dess förutsägelser), medan black-box modeller endast kan komma åt förutsägelser av modellen för ett givet prov. Attributinferensattacker syftar till att förutsäga ett saknat känsligt attribut från utdata från maskininlärningsmodellen som tränas på såväl som alla andra attribut.
Lärare rekommenderas att betona avvägningen mellan integritetsskydd och modellens kvalitet/datanoggrannhet i allmänhet. Vid behov kan extra övningar byggas in i kursplanen för att visa detta (utvärdera modellkvaliteten beroende på epsilon och delta).
Konturer
I denna labbsession, kommer du att minska integritetsrisker fin AI-modeller. Specifikt kommer eleverna att utveckla två begränsningstekniker:
- Försvar 1: generera syntetiska data med garantier för differentiell integritet och kontroll
- hur mycket försämras modellens kvalitet om den integritetsbevarande syntetiska datan används för att träna modellen i stället för de ursprungliga uppgifterna (beroende på integritetsparametern epsilon)
- om träning på syntetiska data i stället för den ursprungliga förhindrar medlemskap och attribut inference attack
- Försvar 2: träna modellen med differentiella sekretessgarantier, och kontrollera
- hur mycket försämras modellens kvalitet om den integritetsbevarande modellen används i stället för den ursprungliga modellen för förutsägelse (beroende på integritetsparametern epsilon)
- om den integritetsbevarande modellen förhindrar medlemsangrepp
- hur korrektheten i den integritetsbevarande modellen ändras jämfört med Defense 1
Eleverna kommer att bilda grupper om två och arbeta som ett team. En grupp behöver bara lämna in en dokumentation/lösning.
Erkännanden
Masterprogrammet Human-Centered AI har samfinansierats av Fonden för ett sammanlänkat Europa i Europeiska unionen inom ramen för Grant CEF-TC-2020–1 Digital Skills 2020 EU-IA-0068.