From 07b4490dc63504079a5904cd42ab1ec6015cfb76 Mon Sep 17 00:00:00 2001 From: Jan Aalmoes Date: Fri, 27 Sep 2024 15:14:05 +0200 Subject: =?UTF-8?q?AJout=20des=20r=C3=A9sultats=20aia=20et=20de=20l'interp?= =?UTF-8?q?r=C3=A9tation?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- aia/aia.tex | 34 +++++++++++++++++----------------- 1 file changed, 17 insertions(+), 17 deletions(-) (limited to 'aia/aia.tex') diff --git a/aia/aia.tex b/aia/aia.tex index 39db20b..fe56ec2 100644 --- a/aia/aia.tex +++ b/aia/aia.tex @@ -1,32 +1,32 @@ \subsection{Modèle de menace}\footnote{\textit{Threat model}} -Nous considéront qu'un adversaire souhatie conduire une AIA pour un attribute sensible sur un modèle cible. +Nous considérons qu'un adversaire souhaite conduire une AIA pour un attribut sensible sur un modèle cible. Le but de l'adversaire est d'inférer l'attribut sensible à partir uniquement des prédictions du modèle cible. -L'adversaire a accès une base de donnée que nous appelons auxillière et qui ne contient pas d'individu en commun avec la base de donée d'entraînement du modèle cible que nous appelon base cible. +L'adversaire a accès une base de donnée que nous appelons auxiliaire et qui ne contient pas d'individu en commun avec la base de donnée d'entraînement du modèle cible que nous appelons base cible. La base cible ne contiens pas l'attribut sensible qui n'a donc pas été utilisé à l'entraînement. -La base auxilière contiens l'attribut sensible et des prédictions du modèle cible correspondantes à ces attributs sensibles. -La base auxilmière ne contient pas les donnés d'entrée car sinon l'adversaire pourrait simplement entraîner un modèle pour inférer l'attribut sensible à partir des données d'entrée et le modèle cible n'aporterai pas plus d'informations~\cite{jayaraman2022attribute}. -Il n'est pas du ressort de cette étude d'étudier commen un adversaire pourrait avoir accès à une telle base de donnée. +La base auxiliaire contiens l'attribut sensible et des prédictions du modèle cible correspondantes à ces attributs sensibles. +La base auxiliaire ne contient pas les donnés d'entrée car sinon l'adversaire pourrait simplement entraîner un modèle pour inférer l'attribut sensible à partir des données d'entrée et le modèle cible n'apporterai pas plus d'informations~\cite{jayaraman2022attribute}. +Il n'est pas du ressort de cette étude d'étudier comment un adversaire pourrait avoir accès à une telle base de donnée. Cela pourrait être le cas après une fuite de donnée ou une attaque de type homme du milieu\footnote{\textit{Man in the middle}}. \subsection{AIA pour les modèles de classification} -Considérons que le modèle cible prennet ses valeurs dans $F$, un ensemble fini. +Considérons que le modèle cible prenne ses valeurs dans $F$, un ensemble fini. C'est à dire que le modèle cible ne donne accès à l'attaquant que des prédictions d'étiquette. Cela peut-être le cas après application d'un seuil sur un logit par exemple. -Alors le but de l'attaquant est de trouver une fonction mesutable de $(F,\mathcal{P}(F))$ dans $(G,\mathcal{P}(G))$ qui maximise l'exactitude équilibrée. +Alors le but de l'attaquant est de trouver une fonction mesurable de $(F,\mathcal{P}(F))$ dans $(G,\mathcal{P}(G))$ qui maximise l'exactitude équilibré. Où $G$ est l'ensemble dans lequel l'attribut sensible prend ces valeurs. Cela est un cas d'application parfait pour l'algorithme que nous avons construit au Chapitre~\ref{sec:fini}. -Nous allons l'utiliser pour construir une AIA qui donne la garantie théorique d'être le meilleur modèle qui permette de classifier l'attribut sensible en utilisant la prédiction du modèle. +Nous allons l'utiliser pour construire une AIA qui donne la garantie théorique d'être le meilleur modèle qui permette de classifier l'attribut sensible en utilisant la prédiction du modèle. Nous appelons cette AIA : \AIAHard. -\subsection{AIA pour les modèles de regression} -Dans le cas d'un modèle cible qui effectu une regression nous avons $\#F$ infini donc nous ne pouvons pas utiliser \AIAHard. -Ce cas où l'adversaire a accès un modèle de regression prend en compte le cas où le modèle cible de prédiction divulgue un logit par exemple. +\subsection{AIA pour les modèles de régression} +Dans le cas d'un modèle cible qui effectua une régression nous avons $\#F$ infini donc nous ne pouvons pas utiliser \AIAHard. +Ce cas où l'adversaire a accès un modèle de régression prend en compte le cas où le modèle cible de prédiction divulgue un logit par exemple. C'est le modèle de menace qu'applique Song et. al~\cite{Song2020Overlearning} dans leur AIA. -Nous utiliserons comme modèle d'AIA une forêt aléatoire puis nous optimiserons son seuil en utilisant la courbe ROC pour prendre en compte le déséquilibre de classses dans l'attribut sensible. -Cette methode fonctione uniquement pour des attributs binaires. -C'est-à dire que pour une prédiction dans l'espace mesurable $(F,\mathcal{F})$ et un attribut sensible dans $(\{0,1\},\mathcal{P}(\{0,1\})$ -la forêt aléatoire construit une fonction de mesurbale +Nous utiliserons comme modèle d'AIA une forêt aléatoire puis nous optimiserons son seuil en utilisant la courbe ROC pour prendre en compte le déséquilibre de classes dans l'attribut sensible. +Cette méthode fonctionne uniquement pour des attributs binaires. +C'est-à dire que pour une prédiction dans l'espace mesurable $(F,\mathcal{F})$ et un attribut sensible dans $(\{0,1\},\mathcal{P}(\{0,1\}))$ +la forêt aléatoire construite une fonction de mesurable $a : (F,\mathcal{F})\rightarrow ([0,1],\mathcal{B}([0,1]))$. $a$ modélise le logit de la prédiction du modèle AIA. Ensuite nous calculons, la courbe ROC de $a$ comme nous l'avons défini à la Section~\ref{sec:background-ml-classif} et nous choisis $\upsilon^*$ tel que, pour la prédiction $a_\upsilon = 1_{[\upsilon,1]}\circ a$ : @@ -34,7 +34,7 @@ Ensuite nous calculons, la courbe ROC de $a$ comme nous l'avons défini à la Se \upsilon^* = \text{argmin}_{\upsilon\in [0,1]} (1-tpr(\upsilon))^2 + fpr^2(\upsilon) \end{equation*} -Nous réprésenton sur la Figure~\ref{fig:aia-rocopt} le choix du seuil optimal et du seuil par rapport au seuil par défaut fixé à $0,5$. +Nous représentons sur la Figure~\ref{fig:aia-rocopt} le choix du seuil optimal et du seuil par rapport au seuil par défaut fixé à $0,5$. \begin{figure} \centering \includegraphics[width=0.45\linewidth]{aia/figure/rocr.pdf} @@ -42,5 +42,5 @@ Nous réprésenton sur la Figure~\ref{fig:aia-rocopt} le choix du seuil optimal \label{fig:aia-rocopt} \end{figure} -Contrairement a \AIAHard, \AIASoft~ne donne pas la garantie de maximisaion l'exactitude équilibré. +Contrairement a \AIAHard, \AIASoft~ne donne pas la garantie de maximisation l'exactitude équilibré. Ainsi \AIASoft~constitue un approximation relativement à la théorie que nous avons décrite à la Section~\ref{sec:aia-theo}. -- cgit v1.2.3