Data Poisoning Attacks on Factorization-Based Collaborative Filtering NIPS’16
针对矩阵分解的投毒攻击。文章针对两个矩阵分解算法,提出了三类攻击目标,设计了两种攻击方法,以及逃避检测的方法。
问题定义
推荐系统的本质是一个矩阵补全。矩阵分解是实现矩阵分解的一种方法。目标是补全矩阵 M M M,那么不断训练矩阵 U , V U, V U,V,使 U V T UV^T UVT尽可能拟合 M M M中已经观测到了的值 M Ω \mathbf{M}_{\Omega} MΩ,那么就认为 U V T UV^T UVT可以已经补全了 M M M。数学表达:
min U ∈ R m × k , V ∈ R n × k { ∥ R Ω ( M − U V ⊤ ) ∥ F 2 + 2 λ U ∥ U ∥ F 2 + 2 λ V ∥ V ∥ F 2 } \min _{\mathbf{U} \in \mathbb{R}^{m \times k}, \mathbf{V} \in \mathbb{R}^{n \times k}}\left\{\left\|\mathcal{R}_{\Omega}\left(\mathbf{M}-\mathbf{U} \mathbf{V}^{\top}\right)\right\|_{F}^{2}+2 \lambda_{U}\|\mathbf{U}\|_{F}^{2}+2 \lambda_{V}\|\mathbf{V}\|_{F}^{2}\right\} U∈Rm×k,V∈Rn×kmin{
∥∥RΩ(M−UV⊤)∥∥F2+2λU∥U∥F2+2λV∥V∥F2}
现在添加一部分假用户 m ′ = α m m^{'} = \alpha m m′=αm,矩阵变成了 M M M和 M ~ \widetilde{M} M
,参数变成了 U , U ~ , V U,\widetilde{U},V U,U
,V。这个时候优化目标为:
Θ λ ( M ~ ; M ) = arg min U ,