Административна информация
Дял | Членство и атрибут на атаките върху моделите за машинно обучение |
Продължителност | 90 мин. |
Модул | Б |
Вид на урока | Практичен |
Фокус | Етичен — надежден ИИ |
Тема | Атаки за поверителност на машинното обучение |
Ключови думи
Одит, поверителност на машинното обучение, тест за изводи за членство, тест за заключение на атрибута,
Учебни цели
- Подобряване на практическите умения за одит на гаранциите за поверителност (и поверителност) на машинното самообучение
- Как да прилагате атаки за членство и атрибутни атаки за проверка на поверителността на ML
Очаквана подготовка
Обучение на събития, които трябва да бъдат завършени преди
- Лекция: Неприкосновеност на личния живот и машинно обучение
- Лекция: Въведение в неприкосновеността на личния живот и риска
- Лекция: Оценка на модела
- Лекция: Заключение и предвиждане
- Лекция: Монтаж и оптимизиране на модела
- Практически: Монтаж и оптимизиране на модела
- Лекция: Изготвяне и проучване на данни
- Практически: Изготвяне и проучване на данни
- Лекция: Невронни мрежи
- Лекция: Уединение
Задължително за студентите
- Питон
- Скит
- Панди
- ИЗКУСТВОТО
- виртуално-env
- Атаки за членство
- Извод за атрибута
- Оценка на модела
Незадължително за студенти
Няма.
Референции и фон за студенти
- Преглед на неприкосновеността на личния живот в машинното обучение
- Поверителност на данните и надеждно машинно обучение
- Атаки срещу модели за машинно самообучение
- Цялостен анализ на неприкосновеността на личния живот на задълбоченото учене: Пасивни и активни атаки срещу централизираното и федерираното учене
- Извличане на данни от обучение от големи езикови модели
- Машинно обучение с поверителност на членството с използване на състезателно узаконяване
- Тайният споделник: Оценка и тестване на непреднамерено запаметяване в невронните мрежи
Препоръчва се за учители
Инструкции за учители
Това лабораторно упражнение има за цел да развие практическите умения на студентите за одит на гаранциите за поверителност на моделите за машинно обучение. Студентите трябва да разберат, че атаките за членство предполагат познаването на целевата извадка, което не винаги е осъществимо. Все пак успехът на изводите за членство може да предвиди по-сериозни изтичания в областта на неприкосновеността на личния живот в бъдеще.
Моделите за машинно обучение често се обучават върху поверителни (или лични, чувствителни) данни. Например, такъв модел може да предскаже заплатата на индивида от неговите други атрибути (като образование, място за живеене, раса, секс и т.н.). Често срещано погрешно схващане е, че такива модели не се считат за лични данни, дори ако техните данни за обучение са лични (наистина данните от обучението могат да бъдат събирането на записи за физически лица), тъй като те се изчисляват от обобщена информация, получена от чувствителните данни за обучение (напр. средна стойност на градиентите в невронните мрежи или ентропия/броя на етикетите в случайни гори). Целта на тази лабораторна сесия е да покаже, че моделите за машинно обучение могат да се разглеждат като лични данни и поради това е много вероятно тяхната обработка да бъде регулирана в много държави (напр. от GDPR в Европа). Студентите ще проектират атаки за поверителност, за да тестват дали обучените модели изтичат информация за своите данни за обучението, както и да смекчат тези атаки. Например, атаките с изводи за членство имат за цел да открият наличието на дадена извадка в данните за обучението на целевия модел от моделите и/или резултатите от него. Атаките с бяла кутия могат да имат достъп както до обучените модели (включително неговите параметри), така и до изхода на модела (т.е. неговите прогнози), докато моделите с черна кутия имат достъп само до прогнозите на модела за дадена извадка. Атаките на атрибутите имат за цел да предскажат липсващ чувствителен атрибут от изхода на модела за машинно обучение, който е обучен, както и всички останали атрибути.
Последваща учебна проява е насочена към смекчаване на тези заплахи: Практически: Прилагане и оценка на техники за запазване на неприкосновеността на личния живот
Очертаване
В тази лабораторна сесия ще измервате рисковете за неприкосновеността на личния живот за моделите на ИИ и също така ще смекчите атаките. По-конкретно, учениците ще
- обучете модел за машинно обучение (Random Forest) върху набора от данни за възрастни, за да прогнозирате атрибута на двоичен доход в набора от данни
- измерване на рисковете за неприкосновеността на личния живот чрез започване на атака за членство на обучения модел, за да се провери дали присъствието на което и да е лице в данните от обучението може да бъде открито само от прогнозирането на модела (атака с черна кутия)
- атака на атрибута за изстрелване на тренирания модел, за да се провери дали липсващият (чувствителен) атрибут може да бъде изведен от някои допълнителни данни, наподобяващи оригиналните данни и изхода на тренирания модел (атака на черна кутия)
Учениците ще сформират групи по двама и ще работят в екип. Една група трябва да представи само една документация/решение.
Потвърждения
Магистърската програма по ИИ, насочена към човека, беше съфинансирана от Механизма за свързване на Европа на Европейския съюз под формата на безвъзмездни средства № CEF-TC-2020—1 Digital Skills 2020-EU-IA-0068.