【Paper-Attack】Poisoning Attacks to Graph-Based Recommender Systems

最新推荐文章于 2023-11-15 14:27:10 发布
最新推荐文章于 2023-11-15 14:27:10 发布
阅读量545 收藏 3
点赞数 2
分类专栏: Paper Notes Attack 文章标签: Paper Notes Attack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41894030/article/details/115264746
版权

Poisoning Attacks to Graph-Based Recommender Systems

背景

一些研究显示推荐系统容易受到poisoning attack(向推荐系统注入虚假数据,从而使推荐系统按照攻击者的意愿做推荐)影响,现有研究在基于图的推荐系统上的工作还很少,都是基于关联规则的或者基于矩阵分解。

攻击者的目标:将target item推荐给越多的用户越好

挑战

如何给fake user分配打分,来使得target item被推荐给更多的正常用户?
⇓ \Downarrow
将poisoning attack定义为一个优化问题(注入m个fake user,每个fake user有n个filler item),并且提出解决优化问题的方法,目标函数是hit ratio(正常用户中,包含target item的用户比例)

动机

模型

单个用户的loss

target item t 排名越靠前,item i排名越靠后,p_ut越大,p_ui越小,loss越小

image-20210310110648645

image-20210310111048148

g是Wilcoxon-Mann-Whitney 损失函数,用来提升排序效果,b是width参数

全部用户的loss

对那些没有为了target item打分的单个用户 s ∈ S s\in S sS 的loss求和

image-20210310110956604

近似为优化问题

正则化w_v是为了建模约束(每个fake user只能为一小部分item打分)

image-20210310110839261

解决优化问题

使用PGD解决公式6的优化问题,得到 w i w_i wi(fake user v 连接全部item的边的权重)

生成打分

几个假设:

  1. fake user对target打最高分
  2. 根据前面求出的 w i w_i wi从高到低选择n个item作为filler item
  3. 为每个filler item打分:从正常用户为这个item打分的分布中sample一个数,离散化后作为分数

注:只使用权重来选择filler item,而不是打分

image-20210310112242052

duanyuchen
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【RS-AttackPoisoning Attacks to Graph-Based Recommender Systems (ACSAC‘18)
chadlee
11-19 427
Poisoning Attacks to Graph-Based Recommender Systems ACSAC’18 这篇文章虽然是攻击图推荐模型,但是实际攻击的是Random Walk算法 Random Walk 选择N步作为随机步数的总数,即停止的目标 从初始点开始( starting point),我们走得每一步都有一个概率,来决定我们继续或是重新开始(回到初始点) 当你决定要继续random walk时,你会统一(如果你的边是带有权重的,你可以做权重采样,比如rating)随机地从接下来的点
Influence and Data Poisoning.pdf
06-28
Interpreting & Manipulating Models via their Training Data Pang Wei Koh Stanford University
A Cache Poisoning Attack Targeting DNS Forwarding Devices
11-20
在本文中,我们提出了一个针对域名系统转发器的缓存中毒攻击。通过这种攻击,攻击者可以使用受控域注入任意受害域名的恶意记录,并绕过广泛部署的缓存中毒防御。通过对流行的家庭路由器模型和DNS软件进行测试,我们发现了几个易受攻击的实现,包括大型供应商的实现(例如,D-Link、Linksys、dnsmasq和MS DNS)。此外,通过一项全国性的测量,我们估计了使用易受攻击的域名系统转发器的中国移动客户的数量。我们已经向受影响的供应商报告了该问题,到目前为止,已经收到了其中三家供应商的积极反馈。我们的工作进一步表明,域名系统转发器可以成为域名系统基础设施中的一个软肋,并呼吁社区给予关注和实施指导。
Towards Data Poisoning Attack against Knowledge Graph Embedding.pdf
08-09
Knowledge graph embedding (KGE) is a technique for learning continuousembeddingsfor entities and relations in the knowledge graph. Due to its benefit to a variety of downstream tasks such as knowledge graph completion, question answering and recommendation, KGE has gained significant attention recently. Despite its effectiveness in a benign environment, KGE’s robustness to adversarialattacks is not well-studied. Existing attack methods on graph data cannot be directly applied to attack the embeddings of knowledge graph due to its heterogeneity. To fill this gap, we propose a collection of data poisoning attack strategies, which can effectively manipulate the plausibility of arbitrary targeted facts in a knowledge graph by adding or deleting facts on the graph. The effectiveness and efficiency of the proposed attack strategies are verified by extensive evaluations on two widely-used benchmarks.
人工智能matlabmnist代码-Poisoning-Attacks-with-Back-gradient-Optimization:论文“
05-26
人工智能matlab mnist代码通过反向梯度优化实现中毒攻击 Matlab代码以及该论文中描述的中毒攻击示例该代码包括针对Adaline,Logistic回归和针对MNIST数据集的小型多层感知器的攻击(使用数字1和7)。 用 要生成随机训练/验证拆分,请首先在“ MNIST_splits”文件夹中运行脚本createSplits.m 。 然后,用于对Adaline,逻辑回归和MLP进行攻击的脚本分别是testAttackAdalineMNIST.m , testAttackLRmnist.m和testAttackMLPmnist.m 。 引文 如果您将此存储库中的代码用作已发布的研究项目的一部分,请引用本文。 @inproceedings{munoz2017towards, title={{Towards Poisoning of Deep Learning Algorithms with Back-gradient Optimization}}, author={Mu{\~n}oz-Gonz{\'a}lez, Luis and Biggio, Battista and Demo
ARP-Poison.rar_arp poisoning_attack_attack arp_poison
09-15
source code attack arp poisoning in c++.
SURF: Detecting and Measuring Search Poisoning
03-18
Search engine optimization (SEO) techniques are often abused to promote websites among search results. This is a practice known as blackhat SEO. In this paper we tackle a newly emerging and especially aggressive class of blackhat SEO, namely search poisoning. Unlike other blackhat SEO techniques, which typically attempt to promote a website’s ranking only under a limited set of search keywords relevant to the website’s content, search poisoning techniques disregard any term relevance constraint and are employed to poison popular search keywords with the sole purpose of diverting large numbers of users to short-lived traffic-hungry websites for malicious purposes.
Poisoning Attack in Adversarial Machine Learning
ColdWindHA的博客
03-05 1603
Poisoning Attack in Adversarial Machine Learning Data Poisoning攻击区别于Evasion攻击,是攻击者通过对模型的训练数据做手脚来达到控制模型输出的目的,是一种在训练过程中产生的对模型安全性的威胁。Data Poisoning,即对训练数据“下毒”或“污染”。这种攻击手段常见于外包模型训练工作的场景,例如我们常常将模型训练任务委托给第三方云平台(如Google Colab等等),此时第三方平台就掌握了我们的所有训练数据,很容易在训练数据上做手脚,
AI Security2-投毒攻击(Poisoning Attacks)
热门推荐
学渣的博客
12-25 2万+
接着上一章写的:https://blog.csdn.net/weixin_42468475/article/details/111684668 这是目录1 数据投毒攻击是什么?2 数据中毒的根本原因3 数据投毒攻击分类和解决方案3.1 模型偏斜(Model skewing)3.2 反馈武器化(Feedback weaponization):3.3 后门攻击(backdoor attacks)参考文献 1 数据投毒攻击是什么? 数据投毒/中毒攻击(Data Poisoning Attack)是什么?这里我们用
Index poisoning attack 分析
云里雾里的专栏
05-10 946
Way: 用来破坏p2p网络,这里针对P2p botnets: 1 产生bots搜索key的hash 2 产生随机的id,不关联任何文件 3 发布,key=hash, value=random id 4 此时,如果谁请求这个key,将会路由到随机ID,但由于此ID是随机的,不存在的。因此恶意代码是不会被下载的。 5 第二种方法:选择一个副本id,使用fake entries填充,这样恶意ids将会被re-route到合法ids  两片文章参考: 1 the index poisoning
2018s&p Manipulating Machine Learning Poisoning Attacks and Countermeasures for Regression Learning
柯同学要谦虚
09-26 777
操纵机器学习:回归学习的中毒攻击与对策 论文的出发点 不同对抗模型下的中毒线性回归问题系统研究 从现有的中毒攻击分类入手,提出了一个专门针对回归模型的优化框架 设计了一种快速的统计攻击,对学习过程的知识要求低 设计一种新的鲁棒防御算法(TRIM),该算法在很大程度上优于现有的稳健回归方法 很强的鲁棒性和恢复能力 保证了算法的收敛性,MSE设置了上界· 在四个回归模型和来自不同领域的几个数据集上广...
-Injection-Poisoning-Binary-Translation-Cache.pdf
11-17
AS-23-Koh-Dirty-Bin-Cache-A-New-Code-Injection-Poisoning-Binary-Translation-Cache
推荐相关最新论文集-WWW2020
04-25
机器学习推荐算法领域,顶会WWW2020推荐系统相关最新论文集,共计33篇论文,具有极大的参考价值。
READ-2315 Data Poisoning Attacks Against Federated Learning Systems
m0_51638853的博客
03-13 288
针对有目标投毒攻击,攻击者的目标是在维持其他类的识别准确率的前提下,降低目标类的识别准确率。对此不由得思考:有目标攻击者的模型更新只是在特定维度上不可用,但非目标类的相关神经元仍具有可用性。
PoisonGAN: Generative Poisoning Attacks Against Federated Learning in Edge Computing Systems 阅读报告
mental的博客
12-05 1662
生成中毒数据的算法: 输入:训练数据DtrainD_{train}Dtrain​,全局模型GtG_tGt​,噪声样本ZnoiseZ_{noise}Znoise​,标签YYY。 输出:噪声数据DnoiseD_{noise}Dnoise​ Step1:初始化鉴别器D和生成器G。 Step2:循环t次,t为全局模型更新的次数。 Step3:把噪声样本中的数据输入到生成器G中生成xfake,然后把xfakex_{fake},然后把x_{fake}xfake​,然后把xfake​发送到D。 Step4:如果xfak.
Data Poisoning Attacks against Online Learning针对在线学习的数据中毒攻击
Mars_prime的博客
11-15 68
最后,我们进行了详细的实验,在对手的背景下评估这些攻击,对手试图降低四个数据集、两种设置(半在线和完全在线)以及三种学习率风格的分类错误。我们的实验表明,在这种情况下,在线对手确实比那些忽视问题在线性质的对手更强大。此外,我们表明攻击的严重程度取决于学习率和设置;学习率快速下降的在线学习者更容易受到攻击,半在线环境也是如此。最后,我们简要讨论了我们的工作对构建有效防御的影响。
certified-defenses-for-data-poisoning-attacks
柯同学要谦虚
09-26 1184
数据中毒攻击的认证防御 出发点: 问题的重要性; 以用户提供的数据为训练对象的机器学习系统容易受到数据中毒攻击,恶意用户注入错误的训练数据,目的是破坏所学习的模型。虽然最近的工作提出了一些攻击和防御。在面对意志坚定的攻击者时,最坏的情况是失去防御,对此我们知之甚少 以前工作有何不足: 我们注意到,尽管生成对抗网络是安全的,但它们并不关注安全性,而是为训练生成模型提供了一个博弈论目标。// 在均值和...
When Does Machine Learning FAIL? Generalized Transferability for Evasion and Poisoning Attacks论文笔记
XP and Altoria
01-11 618
When Does Machine Learning FAIL? Generalized Transferability for Evasion and Poisoning Attacks论文笔记 该论文主要是介绍了一个FAIL模型, 即一个通用框架用来分析针对机器学习系统的真实攻击, 同时也提出了一种有目标的投毒攻击, 称作StingRay, 使得该攻击能击溃现存的防御, 通过观察FAIL的维度...
rockyou.txt
最新发布
06-06
rockyou
poison frogs! targeted clean-label poisoning attacks on neural networks复现
10-22
Poison frogs! targeted clean-label poisoning attacks on neural networks”这是一个关于对神经网络进行有针对性的干净标签中毒攻击的研究项目。在这种攻击中,研究人员通过修改训练数据集中的特定标签,以欺骗神经网络模型以误分类输入样本。 干净标签中毒攻击是一种隐蔽的攻击方式,因为攻击者不需要修改图像本身或添加任何可见的攻击标记。相反,他们通过对训练数据集进行精心设计的修改,使神经网络在应用中出现错误分类。这种攻击方法可能会导致严重后果,例如在自动驾驶汽车或安全系统中造成事故或功能失效。 这个项目的目的是研究这种攻击方法的可行性和效果,并提出对抗这种攻击的解决方案。研究人员首先对训练数据集进行修改,以使特定类别的图像被误分类为其他类别。然后,他们使用已经训练好的神经网络模型,通过修改训练数据集中的特定图像标签,使模型在测试阶段错误地将这些特定图像分类为不同的类别。 结果表明,即使在高性能的神经网络上进行干净标签中毒攻击也是可行的。这些攻击可以在不影响模型在其他正常输入上性能的情况下,误导模型对特定图像的分类。这使得攻击者能够操纵模型的行为,甚至可能导致系统的安全漏洞和错误决策。 为了对抗这种攻击,研究人员提出了一种改进的训练策略,称为“防御机制”。这种方法可以增强模型对干净标签中毒攻击的鲁棒性,并提供了一种有效的方法来检测和解决这种攻击。 总体而言,这个项目揭示了干净标签中毒攻击在神经网络中的潜在威胁,并提供了对抗这种攻击的解决方案。这有助于进一步加强神经网络模型在面临安全挑战时的鲁棒性,并推动相关领域的研究和技术发展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值