كاساندرا: اكتشاف الشبكات المُعدّة بخيانة من خلال الاضطرابات العدوية

تُستخدم الشبكات العصبية العميقة على نطاق واسع في العديد من المهام الحيوية بفضل دقتها العالية في التصنيف. في العديد من الحالات، يتم استرجاع النماذج المُدرَّبة مسبقًا من موردين قد يكونون قد عطلوا عملية التدريب لإدخال سلوك تروجان (Trojan) إلى النموذج. يمكن للسلوكيات الضارة هذه أن تُفعَّل حسب رغبة المهاجم، مما يُشكِّل تهديدًا جسيمًا لانتشار الشبكات العصبية العميقة على نطاق واسع. نقترح طريقة لتأكيد ما إذا كانت النموذج المُدرَّب مسبقًا يحتوي على سلوك تروجان أم لا. تعتمد طريقة التحقق هذه على استخلاص بصمات رقمية للشبكات العصبية من خلال اضطرابات معاكسة (adversarial perturbations) تم تعلّمها من متجهات التدرج (gradients) للشبكة. فإن إدخال بوابات خلفية (backdoors) إلى الشبكة يؤدي إلى تغيير حدود القرار، والتي يتم ترميزها فعليًا في الاضطرابات المعاكسة. نُدرّب شبكة ذات مسارين (two-stream network) للكشف عن التروجان بناءً على الاضطرابات العالمية (المحدودة بـ $L_\infty$ و $L_2$) ونطاقات محلية ذات طاقة عالية داخل كل اضطراب. يُشْكِل الأول ترميزًا لحدود القرار في الشبكة، بينما يُشْكِل الثاني ترميزًا لشكل المُحفِّز غير المعروف. كما نقترح أيضًا طريقة كشف غير طبيعية (anomaly detection) لتحديد الفئة المستهدفة في الشبكة المُتَروجانة. تتميز طرقنا بالاستقلال عن نوع المُحفِّز، وحجمه، وبيانات التدريب، وبنية الشبكة. وقد قمنا بتقييم طرقنا على مجموعات بيانات MNIST وNIST-Round0 وNIST-Round1، باستخدام ما يصل إلى 1000 نموذج مُدرَّب مسبقًا، مما يجعل هذه الدراسة الأكبر حتى الآن في مجال الكشف عن الشبكات المُتَروجانة، وحققنا دقة كشف تفوق 92%، مُحدِّدين بذلك أحدث حالة من التطور في هذا المجال.