Informații administrative
| Titlu | Calitatea de membru și Atribuirea atacurilor de inferență asupra modelelor de învățare automată |
| Durată | 90 min |
| Modulul | B |
| Tipul lecției | Practică |
| Focalizare | Etică – IA demnă de încredere |
| Subiect | Atacuri de confidențialitate asupra învățării automate |
Cuvinte cheie
Audit, confidențialitatea învățării automate, testul de deducție a membrilor, testul de inferență atributului,
Obiective de învățare
- Îmbunătățirea abilităților practice de auditare a garanțiilor de confidențialitate (și confidențialitate) ale învățării automate
- Cum se aplică atacurile de membru și atacurile de deducție a atributelor pentru auditul de confidențialitate ML
Pregătirea preconizată
Evenimente de învățare care urmează să fie finalizate înainte
- Prelegere: Confidențialitatea și învățarea automată
- Prelegere: Introducere în confidențialitate și risc
- Prelegere: Evaluarea modelului
- Prelegere: Inferență și predicție
- Prelegere: Montarea și optimizarea modelului
- Practică: Montarea și optimizarea modelului
- Prelegere: Pregătirea și explorarea datelor
- Practică: Pregătirea și explorarea datelor
- Prelegere: Rețele neuronale
- Prelegere: Confidențialitate
Obligatoriu pentru studenți
- Python
- Scikit
- Urși panda
- ARTĂ
- virtual-env
- Atacurile membrilor
- Inferența atributului
- Evaluarea modelului
Opțional pentru studenți
Nici unul.
Referințe și context pentru studenți
- O prezentare generală a confidențialității în învățarea mașinilor
- Confidențialitatea datelor și învățarea mașinilor de încredere
- Atacuri de deducție a membrilor împotriva modelelor de învățare automată
- Analizacuprinzătoare a confidențialității învățării profunde: Atacuri pasive și active de tip white-box împotriva învățării centralizate și federate
- Extragerea datelor de instruire din modele lingvistice mari
- Învățarea automată cu confidențialitatea membrilor utilizând regularizarea adversarilor
- Partajarea secretă: Evaluarea și testarea memorării neintenționate în rețelele neuronale
Recomandat pentru profesori
Materiale de lecție
Instrucțiuni pentru profesori
Acest exercițiu de laborator își propune să dezvolte abilitățile practice ale studenților de a audita garanțiile de confidențialitate ale modelelor Machine Learning. Elevii ar trebui să înțeleagă că atacurile de membru presupun cunoașterea eșantionului țintă care urmează să fie testat, ceea ce nu este întotdeauna fezabil. Cu toate acestea, succesul deferenței membrilor poate anticipa scurgeri mai grave de confidențialitate în viitor.
Modelele de învățare automată sunt adesea instruite cu privire la datele confidențiale (sau personale, sensibile). De exemplu, un astfel de model poate prezice salariul unui individ din alte atribute ale sale (cum ar fi educația, locul de locuit, rasa, sexul etc.). O concepție greșită comună este că astfel de modele nu sunt considerate date cu caracter personal, chiar dacă datele lor de antrenament sunt personale (de fapt, datele de formare pot fi colectarea de înregistrări despre persoane fizice), deoarece sunt calculate pe baza informațiilor agregate derivate din datele sensibile de antrenament (de exemplu, media gradinților din rețelele neuronale sau entropia/numărul de etichete din pădurile aleatorii). Scopul acestei sesiuni de laborator este de a demonstra că modelele de învățare automată pot fi considerate date cu caracter personal și, prin urmare, este foarte probabil ca prelucrarea acestora să fie reglementată în multe țări (de exemplu, prin RGPD în Europa). Elevii vor proiecta atacuri de confidențialitate pentru a testa dacă modelele instruite scurg informații despre datele sale de antrenament și, de asemenea, vor atenua aceste atacuri. De exemplu, atacurile de deducție a membrilor au scopul de a detecta prezența unui anumit eșantion în datele de antrenament ale unui model țintă din modele și/sau din rezultatele acestuia. Atacurile cu cutie albă pot accesa atât modelele instruite (inclusiv parametrii săi), cât și rezultatele modelului (adică predicțiile sale), în timp ce modelele black-box pot accesa doar predicțiile modelului pentru un anumit eșantion. Atacurile de deducție a atributelor au scopul de a prezice un atribut sensibil care lipsește din rezultatul modelului de învățare automată care este antrenat, precum și toate celelalte atribute.
Un eveniment de învățare ulterioară se referă la atenuarea acestor amenințări: Practică: Aplicarea și evaluarea tehnicilor de conservare a vieții private
Contur
În această sesiune de laborator, veți măsura riscurile de confidențialitate pentru modelele AI și, de asemenea, veți atenua atacurile. În mod specific, studenții vor
- antrenați un model de învățare automată (Random Forest) pe setul de date pentru adulți pentru a prezice atributul venitului binar din setul de date
- măsurați riscurile de confidențialitate prin lansarea unui atac de membru asupra modelului instruit pentru a verifica dacă prezența oricărei persoane în datele de antrenament poate fi detectată numai din predicția modelului (atac cu cutie neagră)
- atac de deducție a atributelor de lansare asupra modelului instruit pentru a verifica dacă atributul lipsă (sensibil) poate fi dedus din unele date auxiliare care seamănă cu datele originale și cu rezultatul modelului instruit (atac cu cutie neagră)
Elevii vor forma grupuri de câte doi și vor lucra ca o echipă. Un grup trebuie să furnizeze o singură documentație/soluție.
Confirmări
Programul de masterat AI centrat pe om a fost cofinantat de Mecanismul pentru interconectarea Europei al Uniunii Europene sub Grantul CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068.