FedAttack: Effective and Covert Poisoning Attack on Federated Recommendation via Hard Sampling
摘要
联邦学习是一种从分散的用户数据中学习个性化推荐模型的可行技术。不幸的是,联合推荐系统很容易受到恶意客户端的中毒攻击。现有的推荐系统中毒方法主要集中在提高目标项目的推荐机会,由于经济激励。事实上,在现实世界中,攻击者也可能试图降低推荐系统的整体性能。然而,现有的一般FL中毒降低模型性能的方法要么是无效的或不隐藏中毒联邦推荐系统。本文提出了一种针对联邦推荐的简单有效的隐蔽中毒攻击方法--FedAttack。它的核心思想是使用全局最hard样本来颠覆模型训练。更具体地说,恶意客户端首先根据本地用户配置文件推断用户嵌入。 接下来,他们选择与用户嵌入最相关的候选项作为最hard负样本,并找到距离用户嵌入最远的候选项作为最难的正样本。然后,从这些中毒样本推断出的模型梯度被上传到服务器以进行聚合和模型更新。由于恶意客户端的行为与具有不同兴趣的用户有些相似,因此服务器无法有效地将其与正常客户端区分开来。在两个基准数据集上的大量实验表明,FedAttack可以有效地降低各种联邦推荐系统的性能,同时许多现有方法无法有效地检测或防御FedAttack。
1.Introduction
个性化推荐技术广泛应用于许多在线场景,如电子商务(Kang和McAuley,2018)和新闻推送(Wu等人,2019年),以缓解用户的信息过载。传统的推荐系统是在集中的用户数据上学习的,这可能引起相当大的隐私问题和风险(Yan