Mitigating Unfairness and Adversarial Attacks in Machine Learning

Abstract

Gli algoritmi di apprendimento automatico (machine learning) come gli alberi di decisione ed gli ensamble di alberi di decisione sono ampiamente utilizzati, ed ottengono prestazioni all'avanguardia in diverse applicazioni, che vanno da sistemi finanziari alla sicurezza informatica. Nonostante gli alti livelli di performance spesso raggiunti, vi è un ampio consenso sul fatto che la loro affidabilità dovrebbe essere attentamente valutata, soprattutto se vengono utilizzati in discipline essenziali come medicina, giustizia penale, mercati finanziari o auto a guida autonoma. Il rischio che questi algoritmi prendano inconsapevolmente conclusioni errate, principalmente dovuto da correlazioni fuorvianti nei dati di addestramento, non è trascurabile, soprattutto nell'era dei big data dove l'uso di modelli di machine learning e' pervasivo. Di conseguenza, per aumentare la fiducia degli utenti ed identificare potenziali vulnerabilità in questi approcci, un'area di ricerca, chiamata Adversarial Machine Learning si e' presa l'incarico di esplorare le vulnerabilità dei suddetti sistemi e di sviluppare delle tecniche che rendono l'apprendimento robusto agli attacchi Molti lavori sono stati introdotti per studiare i potenziali punti deboli, valutare le prestazioni dei modelli sotto attacchi e progettare meccanismi difensivi. A stesso modo, anche l'affidabilità dei sistemi nel processo decisionale e' un argomento ampiamente studiato ed in particolare viene affrontato con nel Fair Machine Learning. L'obiettivo e' quello di progettare sistemi che utilizzino l'apprendimento automatico che siano in grado di eseguire compiti in modo accurato, ma che lo facciano anche evitando giudizi pregiudizi nei confronti di un particolare individuo o gruppo di individui, pregiudizi che potrebbero essere stati appresi dal flusso di dati di training. In questa tesi, dopo aver fornito un background approfondito sull'adversarial e fair machine learning, e dopo aver motivato l'essenzialita' di questi due requisiti, presentiamo prima una revisione della letteratura. Prima sull'adversarial machine learning, incentrata in particolare sugli alberi di decisione ed i loro ensemble. Faremo questo mettendo insieme attacchi, difese, verifiche della robustezza e valutazioni delle prestazioni per comprendere meglio i lavori presenti nella letteratura. Dopodiche', proponiamo un nuovo algoritmo di apprendimento per gli alberi di decisione chiamato TREANT che, basato su un threat model formale, minimizza una evasion-aware loss function ad ogni passo della costruzione dell albero. La tecnica e' composta da due concetti: il robust splitting e l'invarianza dell'attacco, entrambi garantiscono un corretto apprendimento del modello. L'algoritmo utilizza un threat model formale in modo da garantire la generazione degli attacchi in maniera piu' flessibile anche a seconda delle capacita' dell' attaccante. L' algoritmo puo generare un esemble di alberi di decisione che sono allo stesso tempo accurati, ma anche poco sensibili agli attacchi di tipo evasion, superando le tecniche allo stato dell'arte. Infine, presentiamo una tecnica di post-processing chiamata, Enforcing Fairness in Forests by Flipping Leaves (EiFFFeL), affrontando la questione della fairness nei modelli di ensemble. La tecnica garantisce fairness attraverso il leaves flipping. Questo approccio sfrutta la struttura degli alberi di decisione basandosi su strategie proprie dell'albero e delle foglie per rietichettare le foglie degli alberi di decisione selezionati di una determinata foresta. La tecnica e' in grado di raggiunge un grado di fairness definito dall'utente senza perdere un'accuratezza significativa.