Data Poisoning Attacks to Deep Learning Based Recommender Systems NDSS’21
首个在基于深度学习的推荐系统中进行投毒攻击的研究。文章总结的攻击深度学习推荐系统的难点,概括的来说就是:
- user-item 的数据是离散变量(和loss function建立不起联系)
- 神经网络的训练过程耗时(重新训练embedding至收敛)
本文方法
近似 Hit Ratio
我们的优化目标肯定是希望最大化target item的hit ratio:
max H R t subject to ∥ y ( v ) ∥ 0 ≤ n + 1 , ∀ v ∈ { v 1 , v 2 , … , v m } y v i ∈ { 0 , 1 , … , r max } \begin{aligned} \max & \ \ \mathrm{HR}_{t} \\ \text { subject to } &\left\|\mathbf{y}_{(v)}\right\|_{0} \leq n+1, \forall v \in\left\{v_{1}, v_{2}, \ldots, v_{m}\right\} \\ & y_{v i} \in\left\{0,1, \ldots, r_{\max }\right\} \end{aligned} max subject to HRt∥∥y(v)∥∥0≤n+1,∀v∈{
v1,v2,…,vm}yvi∈{
0,1,…,rmax}
直接优化这个函数行不通,采取多种方法:
Relaxing Rating Scores to Obtain Continuous Variables
把整数评分都转换成0.0~1.0的连续值,最后生成打分时再离散成整数。