Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: Knoppia Wiki » Privacidad y Anonimato » Machine Learning para preservar la anonimidad
pan:machine_learning_privacy_v2

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
pan:machine_learning_privacy_v2 [2026/01/07 21:47] thejuanvisupan:machine_learning_privacy_v2 [2026/01/07 23:07] (actual) thejuanvisu
Línea 35: Línea 35:
     * **Prevención de ataques de inferencia**: Se aplica Agregación segura con SMC y técnicas de cifrado homomórfico. También se pueden aplicar mecanismos de privacidad diferencial para ofuscar parcialmente las actualizaciones de los modelos.     * **Prevención de ataques de inferencia**: Se aplica Agregación segura con SMC y técnicas de cifrado homomórfico. También se pueden aplicar mecanismos de privacidad diferencial para ofuscar parcialmente las actualizaciones de los modelos.
  
 +====== Ataques contra el Machine Learning ======
 +Existen varios tipos de ataques que se suelen realizar contra modelos de Machine Learning:
 +  * Inferencia sobre miembros de la población:
 +    * Divulgación estadística
 +    * Inversión del modelo
 +    * Inferencia de representativos de una clase
 +  * Inferencia sobre miembros del dataset de entrenamiento
 +    * Inferencia de membresía
 +    * Inferencia de propiedad
 +  * Inferencia sobre parámetros del modelo
 +    * Extracción del modelo
 +    * Robo de funcionalidad
 +
 +===== Ataques de inferencia sobre miembros =====
 +Tratan de determinar si se ha usado cierto input para entrenar el modelo. Basado en el comportamiento del modelo sobre datos de entrenamiento y datos ocultos.
 +  * Ataques de caja negra: Asume el conocimiento de la salida de la predicción del modelo
 +  * Ataques de caja blanca: Accede a parámetros del modelo y gradientes
 +  * Ataques contra Modelos generativos: Recoge información asobre entrenamiento usando el conocimiento de los componentes generadores de datos.
 +  * Ataque contra prendizaje federado: Un participante trata de inferir si un registro forma parte del set de entrenamiento de un participante específico o cualquier participante.
 +  * Filtración de la cantidad de miembtros a través de las salidas de predicción.
 +  * Problema de la inferencia de miembros. Usando un shadwo training se puede crear un sahdow model que imita el comportamiento del modelo.
 +    * El atacante no tiene datos para entrenar ni estradísticas sobre su distribución.
 +    * General datos sintéticos usando el modelo objetivo
 +
 +===== Ataque de reconstrucción  =====
 +Se trata de recrear los ejemplos de entrenamiento y sus etiquetas. La reconstrucción puede ser parcial o completa. Dadas las etiquetas de salida y conocimiento parcial sobre características se puede intentar recuperar características sensibles o toda la muestra de datos.
 +  * Inversión del modelo:
 +    * Un alto nivel de error de generalización puede resultar en una mayor probabilidad de inferir atributos de los datos. Un poder predictivo mñas alto es mñas susceptible a ataques de reconstrucción.
 +    * El ataque se implementa de la siguiente forma:
 +      * El adversario tiene axceso al modelo y la salida del modelo para un ejemplo específico.
 +      * El ataque se basa en estimar los valores de características sensibles dados los valores de características no sensibles y las etiquetas de salida.
 +      * La inversión del modelo produce las características medias que mejor caracterica la salida de una clase. No construye un número específico de miembros del dataset de entrenamiento. No determina si una entrada específica fue usada para entrenar el modelo.
 +
 +===== Ataque de inferencia de propiedades =====
 +La capacidad para extraer propiedades del dataset no codificadas como características o no correlacionadas con la tarea de aprendizaje. Este tipo de ataque tiene implicaciones de privacidad. Puede permitir a un atacante crear modelos similares. Puede ser usado para detectar vulnerabilidades en un sistema. Es posible de realizar incluso en modelos bien generalizados.
 +
 +===== Ataque de extracción del modelo =====
 +El adversario trata de extraer información y potencialmente reconstruir el modelo. Crea un modelo sustituto que se comporta de forma similar al modelo atacado. El adversario quiere ser lo más eficiente posible. 
 +  * Task Accuracy Extraction: Para igualar la exactud del modelo objetivo, se usand atos con una distribución relacionada con los datos de aprendizaje.
 +  * Fidelity extraction: Para hacer coincidir un set de puntos de entrada no necesariamente relacionado con la tarea de aprendizaje se crea una falsificación llamada Extracción de funcionalidad.
 +No es encesario saber la arquitectura del modelo bajo ataque si el modelo sustituto tiene la misma o mayor complejidad. 
 +
 +
 +====== Técnicas de defensa en Machine Learning ======
 +Las técnicas de privacidad diferencial pueden resistir ataques de inferencia de membresía añadiendo rudio en los datos de entrada, interaciones del algoritmo de machine learning y en la salida del algoritmo.
 +
 +  * **Perturbación de la entrada**: Tras el enetranamiento en datos saneados, la salida será privadamente diferencial. Requiere la adición de ruido en los datos de entrada ya que estos datos suelen tener mayor sensibilidad.
 +  * **Perturbación del algoritmo**: Aplicado a modelos de Machine learning que necesitan muchas iteraciones o pasos. Requiere un diseño específico para diferentes algoritmos de machine learning. Con los mismos recursos de privacidad diferencial suele producir menos ruido. Los valires intermedios en el etrenamiento suielen tenerr menos sensibilidad.
 +  * **Perturbación del objetivo**: Se añade ruido a la función objetivo del algoritmo de aprendizaje. La mayoría de los mecanismos de perturbación asumen un espacio acotado. Si el espacio de muestra está acotado, el valor de cada muestra será truncado en la fase de preprocesado.
 +  * **Perturbación de la salida**: Se usa un algoritmo no privado de aprendizaje y después se añade ruido al modelo generado. Normalmente se aplica sobre modelos que producen estadísticas complejas. No apto para muchos de los algoritmos supervisados que requieren interacturar con datos de prueba muchas veces.
 +
 +===== Generación de datos sintéticos que preservan la privacidad =====
 +Algunos usuarios de los datos pueden pedir los datos originales para usarlos localmente. Métodos conservadores de la privacidad para la compartición de datos pueden ser usados para este propósito. La generación de datos sintéticos es una solución para la compartición de datos. Se generan datos artificiamente que tienen distribuciones y propiedades similares a los datos originales. 
 +
 +Los datos sintéticos son un tipo de datos artificialmente formulados generados por algoritmos artificales. Tienen algunas características críticas de los datos actuales. Puede producir resultados similares a los de datos reales. Puede ser generado para características espècíficas de escenarios de prueba poco comunes.
 +
 +Los datos sintéticos ayudan a asegurtar la protección de la privacidad, al comaprtirlos se mantiene la utilidad de la aplicación y se preserva la privacidad.
 +
 +===== Ténicas de minado de datos que preservan la privacidad =====
 +La minería de datos son herramientas y técnicas que pueden ser usadas para recolectar información y analizarla para extraer conocimiento de esta.
 +  * Modelo descriptivo: Convierte relaciones identificadas entra datos en datos reconocibles por el ser humano
 +  * Modelo Prescriptivo: Se usa para predecir el futuro basado en datos pasados.
pan/machine_learning_privacy_v2.1767822431.txt.gz · Última modificación: 2026/01/07 21:47 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki