diff options
Diffstat (limited to 'aia/aia.tex')
| -rw-r--r-- | aia/aia.tex | 46 |
1 files changed, 46 insertions, 0 deletions
diff --git a/aia/aia.tex b/aia/aia.tex new file mode 100644 index 0000000..39db20b --- /dev/null +++ b/aia/aia.tex @@ -0,0 +1,46 @@ +\subsection{Modèle de menace}\footnote{\textit{Threat model}} +Nous considéront qu'un adversaire souhatie conduire une AIA pour un attribute sensible sur un modèle cible. +Le but de l'adversaire est d'inférer l'attribut sensible à partir uniquement des prédictions du modèle cible. +L'adversaire a accès une base de donnée que nous appelons auxillière et qui ne contient pas d'individu en commun avec la base de donée d'entraînement du modèle cible que nous appelon base cible. +La base cible ne contiens pas l'attribut sensible qui n'a donc pas été utilisé à l'entraînement. +La base auxilière contiens l'attribut sensible et des prédictions du modèle cible correspondantes à ces attributs sensibles. +La base auxilmière ne contient pas les donnés d'entrée car sinon l'adversaire pourrait simplement entraîner un modèle pour inférer l'attribut sensible à partir des données d'entrée et le modèle cible n'aporterai pas plus d'informations~\cite{jayaraman2022attribute}. +Il n'est pas du ressort de cette étude d'étudier commen un adversaire pourrait avoir accès à une telle base de donnée. +Cela pourrait être le cas après une fuite de donnée ou une attaque de type homme du milieu\footnote{\textit{Man in the middle}}. + +\subsection{AIA pour les modèles de classification} +Considérons que le modèle cible prennet ses valeurs dans $F$, un ensemble fini. +C'est à dire que le modèle cible ne donne accès à l'attaquant que des prédictions d'étiquette. +Cela peut-être le cas après application d'un seuil sur un logit par exemple. +Alors le but de l'attaquant est de trouver une fonction mesutable de $(F,\mathcal{P}(F))$ dans $(G,\mathcal{P}(G))$ qui maximise l'exactitude équilibrée. +Où $G$ est l'ensemble dans lequel l'attribut sensible prend ces valeurs. +Cela est un cas d'application parfait pour l'algorithme que nous avons construit au Chapitre~\ref{sec:fini}. +Nous allons l'utiliser pour construir une AIA qui donne la garantie théorique d'être le meilleur modèle qui permette de classifier l'attribut sensible en utilisant la prédiction du modèle. +Nous appelons cette AIA : \AIAHard. + +\subsection{AIA pour les modèles de regression} +Dans le cas d'un modèle cible qui effectu une regression nous avons $\#F$ infini donc nous ne pouvons pas utiliser \AIAHard. +Ce cas où l'adversaire a accès un modèle de regression prend en compte le cas où le modèle cible de prédiction divulgue un logit par exemple. +C'est le modèle de menace qu'applique Song et. al~\cite{Song2020Overlearning} dans leur AIA. + +Nous utiliserons comme modèle d'AIA une forêt aléatoire puis nous optimiserons son seuil en utilisant la courbe ROC pour prendre en compte le déséquilibre de classses dans l'attribut sensible. +Cette methode fonctione uniquement pour des attributs binaires. +C'est-à dire que pour une prédiction dans l'espace mesurable $(F,\mathcal{F})$ et un attribut sensible dans $(\{0,1\},\mathcal{P}(\{0,1\})$ +la forêt aléatoire construit une fonction de mesurbale +$a : (F,\mathcal{F})\rightarrow ([0,1],\mathcal{B}([0,1]))$. +$a$ modélise le logit de la prédiction du modèle AIA. +Ensuite nous calculons, la courbe ROC de $a$ comme nous l'avons défini à la Section~\ref{sec:background-ml-classif} et nous choisis $\upsilon^*$ tel que, pour la prédiction $a_\upsilon = 1_{[\upsilon,1]}\circ a$ : +\begin{equation*} + \upsilon^* = \text{argmin}_{\upsilon\in [0,1]} + (1-tpr(\upsilon))^2 + fpr^2(\upsilon) +\end{equation*} +Nous réprésenton sur la Figure~\ref{fig:aia-rocopt} le choix du seuil optimal et du seuil par rapport au seuil par défaut fixé à $0,5$. +\begin{figure} + \centering + \includegraphics[width=0.45\linewidth]{aia/figure/rocr.pdf} + \caption{Optimisation du seuil du modèle d'attaque \AIASoft.} + \label{fig:aia-rocopt} +\end{figure} + +Contrairement a \AIAHard, \AIASoft~ne donne pas la garantie de maximisaion l'exactitude équilibré. +Ainsi \AIASoft~constitue un approximation relativement à la théorie que nous avons décrite à la Section~\ref{sec:aia-theo}. |