path: root/aia/aia.tex

\subsection{Modèle de menace}\footnote{\textit{Threat model}}
\label{sec:aia-tm}
Nous considérons qu'un adversaire souhaite conduire une AIA pour un attribut sensible sur un modèle cible.
Le but de l'adversaire est d'inférer l'attribut sensible à partir uniquement des prédictions du modèle cible.
L'adversaire a accès à une base de données que nous appelons auxiliaire et qui ne contient pas d'individu en commun avec la base de données d'entraînement du modèle cible que nous appelons base cible.
La base cible ne contient pas l'attribut sensible, qui n'a donc pas été utilisé à l'entraînement.
La base auxiliaire contient l'attribut sensible et des prédictions du modèle cible correspondant à ces attributs sensibles.
La base auxiliaire ne contient pas les données d'entrée car sinon l'adversaire pourrait simplement entraîner un modèle pour inférer l'attribut sensible à partir des données d'entrée et le modèle cible n'apporterait pas plus d'informations~\cite{jayaraman2022attribute}.
Il n'est pas du ressort de cette étude d'étudier comment un adversaire pourrait avoir accès à une telle base de données.
Cela pourrait être le cas après une fuite de données ou une attaque de type homme du milieu\footnote{\textit{Man in the middle}}.

\subsection{AIA pour les modèles de classification}
Considérons que le modèle cible prenne ses valeurs dans $F$, un ensemble fini.
C'est-à-dire que le modèle cible ne donne accès à l'attaquant qu'à des prédictions d'étiquette.
Cela peut être le cas après application d'un seuil sur un logit par exemple.
Alors le but de l'attaquant est de trouver une fonction mesurable de $(F,\mathcal{P}(F))$ dans $(G,\mathcal{P}(G))$ qui maximise l'exactitude équilibrée.
Où $G$ est l'ensemble dans lequel l'attribut sensible prend ces valeurs.
Cela est un cas d'application parfait pour l'algorithme que nous avons construit au Chapitre~\ref{sec:fini}.
Nous allons l'utiliser pour construire une AIA qui donne la garantie théorique d'être le meilleur modèle qui permette de classifier l'attribut sensible en utilisant la prédiction du modèle.
Nous appelons cette AIA : \AIAHard.

\subsection{AIA pour les modèles de régression}
\label{sec:aia-soft}
Dans le cas d'un modèle cible qui effectue une régression nous avons $\#F$ infini, donc nous ne pouvons pas utiliser \AIAHard.
Ce cas où l'adversaire a accès au modèle de régression prend en compte le cas où le modèle cible de prédiction divulgue un logit par exemple.
C'est le modèle de menace qu'applique Song et. al~\cite{Song2020Overlearning} dans leur AIA.

Nous utiliserons comme modèle d'AIA une forêt aléatoire puis nous optimiserons son seuil en utilisant la courbe ROC pour prendre en compte le déséquilibre de classes dans l'attribut sensible.
Cette méthode fonctionne uniquement pour des attributs binaires.
C'est-à-dire que pour une prédiction dans l'espace mesurable $(F,\mathcal{F})$ et un attribut sensible dans $(\{0,1\},\mathcal{P}(\{0,1\}))$
la forêt aléatoire construit une fonction mesurable 
$a : (F,\mathcal{F})\rightarrow ([0,1],\mathcal{B}([0,1]))$.
$a$ modélise le logit de la prédiction du modèle AIA.
Ensuite nous calculons, la courbe ROC de $a$ comme nous l'avons définie à la Section~\ref{sec:background-ml-classif} et nous choisissons $\upsilon^*$ tel que, pour la prédiction $a_\upsilon = 1_{[\upsilon,1]}\circ a$ : 
\begin{equation*}
    \upsilon^* = \text{argmin}_{\upsilon\in [0,1]}
    (1-tpr(\upsilon))^2 + fpr^2(\upsilon)
\end{equation*}
Nous représentons sur la Figure~\ref{fig:aia-rocopt} le choix du seuil optimal et du seuil par rapport au seuil par défaut fixé à $0,5$.
\begin{figure}
    \centering
    \includegraphics[width=0.45\linewidth]{aia/figure/rocr.pdf}
    \caption{Optimisation du seuil du modèle d'attaque \AIASoft.}
    \label{fig:aia-rocopt}
\end{figure}

Contrairement a \AIAHard, \AIASoft~ne donne pas la garantie de maximisation de l'exactitude équilibrée. 
Ainsi \AIASoft~constitue une approximation relativement à la théorie que nous avons décrite à la Section~\ref{sec:aia-theo}.