发表于2021年的NDSS,首个在基于深度学习的推荐系统中进行毒药攻击的研究。
《Data Poisoning Attacks to Deep Learning Based Recommender Systems》论文阅读笔记
- 背景:
(1)推荐系统,从基于近邻,关联规则,矩阵分解,到基于深度学习的模型(非线性变换,传统方法达不到,性能好),已在工业界得到广泛应用。
非个性推荐系统:给所有用户推荐相同的项目;
个性化:根据用户的历史行为建模兴趣,给每个用户推荐排名靠前的几个
(2)推荐系统中的毒药攻击:
在系统中注入伪用户,攻击者的目标是操纵推荐系统,给用户推荐攻击者选择的目标项目。可能对推荐系统的可靠性构成威胁,操纵互联网观点。如果攻击者操纵新闻推荐系统,始终把特定类型的新闻推荐给用户,就可以操纵用户的观点。 - 已有方法:
现有的数据毒药攻击只是对传统的推荐算法(如基于关联规则,图形,矩阵分解)进行了优化。 - 存在问题:
尽管基于深度学习的推荐系统越来越受到人们关注,但他们在数据毒药攻击中的安全性还不清楚。
构造攻击的关键是为每一个伪用户选择评分的项目。将攻击视为最优化问题,目标函数是最大化目标项目的命中率(也就是项目推荐给用户的概率)。问题:
(1) 用户项目的数据是离散变量;