في عصر تتزايد فيه الاعتماديات على الشبكات العصبية البيانية (Graph Neural Networks)، تبرز قضية أمان هذه الأنظمة بشكل متزايد. فقد أظهرت الأبحاث أن هذه الشبكات، عند نشرها كخدمات سحابية، قد تكون عرضة لهجمات تعرف بهجمات استخراج النموذج (model-extraction attacks)، حيث يُسعى إلى تدريب نموذج بديل يمكنه تقليد سلوك النموذج المستهدف من خلال الردود على الاستفسارات.

تتساءل دراسة حديثة مقدمة في ورقة بحثية جديدة، عن مدى صعوبة سرقة شبكة عصبية بيانية (GNN) وهل يمكننا إيقاف ذلك؟ التحليل السابق لم يكن قادراً على إعطاء إجابات دقيقة بسبب استخدام مجموعات بيانات ونماذج تهديد غير متسقة.

لذلك، تم تقديم أداة جديدة تُعرف باسم GraphIP-Bench، وهي معيار موحد لتقييم جميع الجوانب تحت بروتوكول مغلق (black-box). تستند هذه الأداة إلى اثني عشر هجوماً لاستخراج النموذج، وكذلك اثني عشر دفاعاً تمتد عبر مجالات مثل علامات الماء (watermarking) والتغيير في المخرجات (output-perturbation) واكتشاف نمط الاستفسارات (query-pattern-detection).

يتناول GraphIP-Bench عشرة رسومات بيانية تغطي نظم بيانية متجانسة ومتباينة وأخرى ذات نطاق واسع. يتم تقييمه على ثلاثة أعمدة لشبكات عصبية بيانية وثلاث مهام تعلم بيانية، إلى جانب تقرير عن الدقة وفائدة المهمة والتحقق من الملكية وتكلفة الحساب.

تظهر نتائج الدراسة أن سرقة شبكة عصبية بيانية يمكن أن تكون سهلة إلى حد ما عند ميزانيات استفسار متوسطة، وأن العديد من الدفاعات لا تُحدث فرقاً كبيراً في هذا الصدد. كما أن بعض علامات الماء تتحقق بشكل موثوق على النموذج المحمي لكنها تفقد معظم فعاليتها على النموذج البديل المستخرج. تظهر الدراسة أن الرسوم المتجانسة أكثر صعوبة في السرقة، بينما تقلل الاختلافات بين بنية النموذج المستهدف والنموذج البديل من المقاومة ولكنها لا تمنعها.

يمكنكم الاستفادة من الكود المصدري المتوفر للجمهور على [LabRAI/GraphIP-Bench]. هل تعتقدون أن هذه الدفاعات كافية لحماية الشبكات العصبية البيانية؟ شاركونا آرائكم.