基于影响函数的数据污染攻击：矩阵分解型前N推荐系统

186 浏览量更新于2023-11-29 收藏 12.62MB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

30190基于影响函数的数据污染攻击矩阵分解型前N推荐系统0Minghong Fang爱荷华州立大学myfang@iastate.edu0Neil Zhenqiang Gong杜克大学neil.gong@duke.edu0Jia Liu爱荷华州立大学jialiu@iastate.edu0摘要0推荐系统是吸引用户的网络服务的重要组成部分。流行的推荐系统使用大量的众包用户-物品交互数据（例如评分）对用户偏好和物品属性进行建模，然后向用户推荐与其偏好最匹配的前N个物品。在这项工作中，我们展示了攻击者可以通过向推荐系统注入精心制作的用户-物品交互数据的虚假用户来发起数据污染攻击，以使推荐按照攻击者的意愿进行。具体而言，攻击者可以欺骗推荐系统向尽可能多的正常用户推荐目标物品。我们专注于基于矩阵分解的推荐系统，因为它们已经在工业界广泛部署。鉴于攻击者可以注入的虚假用户数量，我们将为虚假用户的评分制定为一个优化问题。然而，由于这是一个非凸整数规划问题，解决这个优化问题具有挑战性。为了应对这一挑战，我们开发了几种技术来近似解决这个优化问题。例如，我们利用影响函数来选择一部分对推荐有影响力的正常用户，并基于这些有影响力的用户解决我们制定的优化问题。我们的结果表明，我们的攻击是有效的，并且优于现有方法。0CCS概念0• 安全和隐私 → 网络应用安全。0关键词0对抗性推荐系统，数据污染攻击，对抗性机器学习。0ACM参考格式：Minghong Fang，Neil Zhenqiang Gong和JiaLiu。2020。基于影响函数的数据污染攻击矩阵分解型前N推荐系统。在2020年Web会议（WWW'20）论文集中，2020年4月20日至24日，台北，台湾。ACM，纽约，纽约，美国，7页。https://doi.org/10.1145/3366423.338007201 引言0推荐系统是许多网络服务的关键组成部分，用于帮助用户找到他们感兴趣的物品。许多推荐系统基于协同过滤。例如，给定大量的用户-物品交互数据（我们考虑评分）0本文根据知识共享署名4.0国际（CC-BY4.0）许可证发表。作者保留在个人和公司网站上传播作品的权利，并附上适当的归属。WWW'20，2020年4月20日至24日，台北，台湾© 2020IW3C2（国际万维网会议委员会），根据知识共享CC-BY 4.0许可证发布。ACM ISBN978-1-4503-7023-3/20/04。https://doi.org/10.1145/3366423.33800720通过用户提供的数据（在这项工作中是评分），推荐系统学习建模潜在用户的偏好和物品的特征，然后系统向每个用户推荐前N个物品，其中前N个物品的特征与用户的偏好最匹配。由于推荐系统是由用户-物品交互数据驱动的，攻击者可以通过向系统注入带有虚假用户-物品交互数据的虚假用户来操纵推荐系统。这种攻击被称为数据污染攻击[9, 10, 17, 19, 23, 34,38]。最近的几项研究设计了针对关联规则型[38]、基于图的[10]和基于矩阵分解的推荐系统[19]的特定数据污染攻击。然而，即使这些推荐系统已经在工业界广泛部署，如何设计定制化的攻击矩阵分解型前N推荐系统仍然是一个开放的问题。在这项工作中，我们旨在填补这一空白。具体而言，我们旨在设计一种优化的数据污染攻击矩阵分解型前N推荐系统。假设攻击者可以向推荐系统注入m个虚假用户，每个虚假用户最多可以对n个物品进行评分，我们将这些物品称为填充物品。那么，关键问题是：如何选择填充物品并为其分配评分，以便将攻击者选择的目标物品推荐给尽可能多的正常用户？为了回答这个问题，我们制定了一个优化问题，用于选择填充物品并为虚假用户分配评分，目标是最大化推荐目标物品的正常用户数量。然而，解决这个优化问题具有挑战性，因为它是一个非凸整数规划问题。为了应对这一挑战，我们提出了一系列技术来近似解决这个优化问题。首先，我们提出使用损失函数来近似推荐目标物品的正常用户数量。我们将整数评分分数放松为连续变量，并在解决了重新制定的优化问题后将其转换回整数评分分数。其次，为了增强我们的攻击的效果，我们利用了受可解释机器学习文献[14, 15,33]启发的影响函数方法，以考虑到前N推荐可能仅受到一部分有影响力的用户集合S的影响。为了方便起见，在本文的其余部分中，我们将我们的攻击称为S攻击。我们证明了有影响力的用户选择子问题具有子模性属性，这保证了简单的贪婪选择算法具有(1-1/e)的近似比率。最后，给定S，我们开发了一种基于梯度的优化算法来确定虚假用户的评分。我们评估了我们的S攻击，并将其与多个基准攻击在两个基准数据集上进行了比较，包括Yelp和亚马逊数字音乐（Music）。我们的结果表明，我们的攻击可以有效地推广目标物品。例如，在Yelp数据集上，arg minX ,Y�u,irui − x⊤u yi2 + λ�u∥xu ∥22 +�i∥yi ∥22 ,(1)30200WWW '20，2020年4月20日至24日，台北，台湾方明宏，龚振强，刘佳0当注入了仅0.5%的假用户时，我们的攻击可以使一个随机选择的目标物品在150倍的正常用户的推荐列表中出现。我们的S-攻击优于基线攻击，并且即使攻击者不知道目标推荐系统的参数，仍然有效。我们还研究了我们的攻击对具备假用户检测能力的推荐系统的影响。为此，我们训练了一个二元分类器来区分假用户和正常用户。我们的结果表明，该分类器对传统的攻击方案，如PGA攻击[19]等，是有效的。值得注意的是，我们发现我们的基于影响函数的攻击仍然有效。原因是我们提出的攻击是为了隐蔽而设计的，检测方法可以检测到一些假用户，但会漏掉很大一部分。总之，我们的贡献如下：0•我们提出了第一个针对基于矩阵分解的Top-N推荐系统的数据污染攻击，将其形式化为一个非凸整数优化问题。0• 我们提出了一系列技术来近似解决优化问题，并提供了可证明的性能保证。0•我们使用两个基准数据集评估了我们的S-攻击，并将其与最先进的方法进行了比较。我们的结果表明，我们的攻击是有效的，并且优于现有的攻击方法。02 相关工作0对推荐系统的数据污染攻击：机器学习模型中的安全和隐私问题已经在许多场景中进行了研究[24,29-31,39,41,42]。数据污染攻击在推荐系统中也被认识到[7,21-23,28,37]。早期对推荐系统的毒化攻击的研究大多是对推荐系统不可知的，并且没有达到令人满意的攻击性能，例如随机攻击[17]和平均攻击[17]。最近，有一系列的工作专注于攻击特定类型的推荐系统[10,19,38]。例如，方等人[10]提出了对基于图的推荐系统的高效毒化攻击。他们向推荐系统注入了具有精心设计的评分的假用户，以推广一个目标物品。他们将攻击建模为一个优化问题，以决定假用户的评分。李等人[19]提出了对基于矩阵分解的推荐系统的毒化攻击。他们的目标不是攻击Top-N推荐列表，而是操纵评分矩阵中所有缺失条目的预测。因此，他们的攻击的有效性在基于矩阵分解的Top-N推荐系统中是不令人满意的。0对其他系统的数据污染攻击：数据污染攻击通常指的是攻击者操纵机器学习或数据挖掘系统的训练数据，使得学习模型按照攻击者的意愿进行预测。除了推荐系统，数据污染攻击还被用于其他系统的研究。例如，现有研究已经证明，可以对异常检测器[27]、垃圾邮件过滤器[25]、支持向量机[4,36]、回归方法[12,35]、基于图的方法[32,43]、神经网络[5,11,20]和联邦学习[9]发起有效的数据污染攻击，这显著影响了它们的性能。03 问题形式化 3.1基于矩阵分解的推荐系统：初步了解0基于矩阵分解的推荐系统[16]将用户和物品映射为潜在因子向量。让U，I和E分别表示用户、物品和评分集合。我们还让|U|，|I|和|E|分别表示用户、物品和评分的数量。让R∈R|U|×|I|表示用户-物品评分矩阵，其中每个条目rui表示用户u对物品i的评分。让xu∈Rd和yi∈Rd分别表示用户u和物品i的潜在因子向量，其中d是潜在因子向量的维度。为了方便起见，我们使用矩阵X=[x1,...,x|U|]和Y=[y1,...,y|I|]来分组所有的x-向量和y-向量。在基于矩阵分解的推荐系统中，我们的目标是通过解决以下优化问题来学习X和Y：0其中 ∥∙∥ 2 是 ℓ 2 范数， λ 是正则化参数。然后，用户 u对未见过的物品 i 给出的评分预测为 ˆ r ui = x � u y i ，其中 x � u表示向量 x u 的转置。最后，推荐给每个用户的是预测评分最高的N 个未见过的物品。03.2 威胁模型0给定目标物品 t ，攻击者的目标是将物品 t推荐给尽可能多的正常用户，并最大化命中率 h ( t )，即正常用户的推荐列表中包含目标物品 t的比例。我们假设攻击者能够向推荐系统中注入一些虚假用户，每个虚假用户将以高评分对目标物品 t进行评价，并对其他精心选择的物品给出精心设计的评分。攻击者可能对目标推荐系统拥有全面的了解（例如，所有评分数据、推荐算法），也可能只对目标推荐系统拥有部分了解，例如，攻击者只能访问一些评分。我们将展示，即使攻击者只对目标推荐系统拥有部分了解，我们的攻击仍然有效。03.3 攻击策略0我们假设目标推荐系统的评分是整数值，并且只能从集合 { 0 , 1 , ∙ ∙ ∙ ,r max } 中选择，其中 r max是最大评分。我们假设攻击者可以向推荐系统中注入 m个虚假用户。我们用 M表示虚假用户的集合。每个虚假用户将对目标物品 t进行评价，并对最多 n个精心选择的其他物品（称为填充物品）进行评价。我们考虑每个虚假用户最多对 n 个填充物品进行评价，以避免被轻易检测到。我们用 r v和 Ω v 分别表示虚假用户 v 的评分向量和用户 v评价的物品集合，其中 v ∈ M 且 | Ω v | ≤ n + 1。然后， r vi是用户 v 对物品 i 进行评分的得分，其中 i ∈ Ω v 。显然， Ω v满足 | Ω v | = ∥ r v ∥ 0 ，其中 ∥∙∥ 0 是 ℓ 0范数（即向量中非零条目的数量）。攻击者的目标是为每个虚假用户 v找到一个最优的评分向量，以最大化命中率 h ( t )。我们将这个命中率最大化问题（HRM）制定为如下形式：HRM: max h t(2)We optimize the rating scores for fake users one by one instead ofoptimizing for all the m fake users simultaneously. In particular, werepeatedly optimize the rating scores of one fake user and add thefake user to the recommender system until we have m fake users.However, it is still challenging to solve the HRM problem even ifwe consider only one fake user. To address the challenge, we designseveral techniques to approximately solve the HRM problem forone fake user. First, we relax the discrete ratings to continuous dataand convert them back to discrete ratings after solving the problem.Second, we use a differentiable loss function to approximate thehit ratio. Third, instead of using all normal users, we use a selectedsubset of influential users to solve the HRM problem, which makesour attack more effective. Fourth, we develop a gradient-basedmethod to solve the HRM problem to determine the rating scoresfor the fake user.π(k,t) def=j ∈Ωk φ((k, j),t),(8)where φ((k, j),t) is the influence of removing edge (k, j) in the user-item bipartite on the prediction at the target item t, Ωk is the set ofitems rated by user k. Then, the influence of removing user set Son the prediction at the target item t can be defined as:𭟋(S,t) def=�k ∈S π(k,t).(9)Since the influence of user and user set can be computed basedon the edge influence φ((k, j),t), the key challenge boils down tohow to evaluate φ((k, j),t) efficiently. Next, we will propose anappropriate influence function to efficiently compute φ((k, j),t).4.3.1Influence Function for Matrix-factorization-based RecommenderSystems. For a given matrix-factorization-based recommender sys-tem, we can rewrite (1) as follows:θ∗ = arg minθ1|E|�(u,i)∈Eℓ((u,i),θ),(10)30210基于影响函数的数据投毒攻击对Top-N推荐系统 WWW '20，2020年4月20日至24日，台北，台湾0s.t. | Ω v | ≤ n + 1 , � v ∈ M , (3)0问题 HRM 是一个整数规划问题，一般情况下是 NP难的。因此，找到一个最优解是具有挑战性的。在下一节中，我们将提出技术来近似解决这个问题。0我们逐个优化虚假用户的评分，而不是同时优化所有 m个虚假用户的评分。具体来说，我们重复优化一个虚假用户的评分，并将该虚假用户添加到推荐系统中，直到我们有 m个虚假用户。然而，即使只考虑一个虚假用户，解决 HRM问题仍然具有挑战性。为了应对这个挑战，我们设计了几种技术来近似解决一个虚假用户的 HRM问题。首先，我们将离散评分放松为连续数据，并在解决问题后将其转换回离散评分。其次，我们使用可微的损失函数来近似命中率。第三，我们使用一组具有影响力的用户的选择子集来解决 HRM问题，从而使我们的攻击更加有效。第四，我们开发了一种基于梯度的方法来解决 HRM 问题，以确定虚假用户的评分。0我们的解决方案0我们将向量 w v = [ w vi , i ∈ Ω v ] � 定义为虚假用户 v的放松连续评分分数向量，其中 w vi 是用户 v 对物品 i给出的评分分数。由于 r vi ∈ { 0 , 1 , ∙ ∙ ∙ , r max }是离散的，这使得在(2)中定义的优化问题难以解决，我们将离散评分分数 r vi 放松为满足 w vi ∈ [ 0 , r max ] 的连续变量 w vi。然后，我们可以使用基于梯度的方法计算 w v。在解决优化问题后，我们将每个 w vi 转换回集合 { 0 , 1 , ∙ ∙ ∙ , rmax } 中的离散整数值。04.2 近似命中率0我们将 Γ u 定义为用户 u 的前 N 推荐物品集合，即 Γ u 包含用户 u之前未评级且具有最大预测评分分数的 N个物品。为了近似解决(2)中定义的优化问题，我们定义了一个满足以下规则的损失函数：1）对于每个 i ∈ Γ u ，如果 ˆ r ui < ˆ r ut，则损失较小，其中 ˆ r ui 和 ˆ r ut 分别是用户 u 对物品 i和目标物品 t 的预测评分分数；2）目标物品 t 在 Γ u中的排名越高，损失越小。基于这些规则，我们将 HRM问题重新定义为以下问题：0最小化 w v L U ( wv ) = �0i ∈ Γ u д ( ˆ r ui − ˆ r ut ) + η ∥0满足 w vi ∈ [ 0 , r max ] ，(5)01 + exp (− x / b ) 是Wilcoxon-Mann-Whitney损失函数 [ 2]，b是宽度参数，η是正则化参数，∥∙∥ 1 是ℓ 1范数。注意，д(∙)保证0L U ( w v ) ≥ 0 且可微分。ℓ 1 正则化项 ∥ w v ∥ 1旨在模拟每个虚假用户对最多 n 个填充物品的评分约束。特别地，ℓ1正则化使得虚假用户对许多物品的评分较小，我们可以选择评分最高的 n 个物品作为填充物品。04.3 确定有影响力的用户集合0在[ 18 , 33]中观察到不同的训练样本对于优化问题的解质量有不同的贡献，并且如果我们删除一些贡献较低的训练样本，可以改善模型训练的性能。受到这一观察的启发，我们不再优化所有正常用户的评分，而是使用一部分有影响力的用户来解决(5)中的问题，这些用户在攻击前对目标物品的预测负责。我们将 S ∈ U 表示目标物品 t的有影响力用户集合。为方便起见，接下来我们将我们的攻击称为 S-攻击。在 S -攻击下，我们将(5)进一步重新定义为以下问题：0最小化 w v L S ( wv ) = �0i ∈ Γ u д ( ˆ r ui − ˆ r ut ) + η ∥0满足 w vi ∈ [ 0 , r max ] ，(6)0接下来，我们提出了一种影响函数方法来确定 S并解决(6)中定义的优化问题。我们将 � (S , t ) 定义为在移除集合 S中的所有用户对目标物品 t的预测的影响，其中影响在这里定义为预测评分分数的变化。我们希望找到一组对目标物品 t有最大影响的有影响力用户。形式上，影响最大化问题可以定义为：0最大化 � (S , t ) ，满足 |S| = ∆ ，(7)0其中 ∆ 是所需的集合大小（即集合 S中的用户数量）。然而，可以证明该问题是 NP-hard [ 13]。为了解决上述影响最大化问题(7)，我们首先展示如何衡量一个用户的影响，然后展示如何近似找到一组 ∆个具有最大影响力的用户。我们将 π ( k , t ) 定义为移除用户 k对目标物品 t 的预测的影响：WWW ’20, April 20–24, 2020, Taipei, TaiwanMinghong Fang, Neil Zhenqiang Gong, and Jia Liuwhere θ ≜(X,Y). We let ˆrui(θ) denote the predicted rating scoreuser u gives to item i under parameter θ, and ˆrui(θ) ≜ x⊤u (θ)yi(θ).If we increase the weight of the edge (k, j) ∈ E by some ζ , thenthe perturbed optimal parameter θ∗ζ,(k,j) can be written as:θ∗ζ,(k,j) = arg minθ1|E|�(u,i)∈Eℓ((u,i),θ) + ζ ℓ((k, j),θ).(11)Since removing the edge (k, j) is equivalent to increasing itsweight by ζ = − 1|E | , the influence of removing edge (k, j) on theprediction at edge (o,t) can be approximated as follows [8, 15]:Φ((k, j), (o,t))def= ˆrot�θ∗ε\(k,j)�− ˆrot (θ∗)≈− 1|E| ·∂ˆrot�θ∗ζ,(k,j)�∂ζ��ζ =0=1|E| ∇θ ˆr⊤ot (θ∗)H−1θ ∗ ∇θ ℓ((k, j),θ∗),(12)where θ∗ε\(k,j) is the optimal model parameter after removing edge(k, j) and Hθ ∗ represents the Hessian matrix of the objective func-tion defined in (10). Therefore, the influence of removing edge (k, j)on the prediction at the target item t can be computed as:φ((k, j),t) def=�o∈U |Φ((k, j), (o,t))| ,(13)where |·| is the absolute value.4.3.2Approximation Algorithm for Determining S. Due to the com-binatorial complexity, solving the optimization problem defined in(7) remains an NP-hard problem. Fortunately, based on the observa-tion that the influence of set S (e.g., 𭟋(S,t)) exhibits a diminishingreturns property, we propose a greedy selection algorithm to find asolution to (7) with an approximation ratio guarantee. The approxi-mation algorithm is a direct consequence of the following result,which says that the influence 𭟋(S,t) is monotone and submodular.Theorem 1 (Submodularity). The influence 𭟋(S,t) is normal-ized, monotonically non-decreasing and submodular.Proof. Define three sets A, B and C, where A ⊆ B and C =B \ A. To simplify the notation, we use 𭟋(A) to denote 𭟋(A,t).It is clear that the influence function is normalized since 𭟋(∅) = 0.Since 𭟋(B)−𭟋(A) = �u ∈B𭟋(u)− �u ∈A𭟋(u) = �u ∈B\A𭟋(u) = 𭟋(C) ≥0, which implies that the influence 𭟋(S,t) is monotonically non-decreasing. To show the submodular property, we let S denote thecomplement of a set. Now, consider an arbitrary set, for whichaxk ∈U\Sπ(k,t).+λ=30220我们有：�(B ∪ D) - �(A ∪ D) = �((B ∪ D) \ (A ∪ D)) (a) = �(C \ (C ∩D)) ≤ �(C) = �(B) - �(A)，其中(a)来自于(B ∪ D) \ (A ∪ D) = (B ∪ D)∩ (A ∪ D) = C \ (C ∩ D)。因此，影响力�(S, t)是子模的，证明完成。□0基于影响力函数�(S,t)的子模性质，我们提出了基于贪心的选择方法Algorithm1来选择一个包含∆个影响力用户的集合S。具体而言，我们首先计算每个用户的影响力，并将具有最大影响力的用户添加到候选集合S中（随机打破平局）。然后，我们重新计算集合U \S中剩余用户的影响力，并在剩余用户中找到具有最大影响力的用户，依此类推。我们重复这个过程直到找到∆个用户。0算法1 贪心影响用户选择。0输入：评分矩阵R，预算∆。输出：影响力用户集合S。01: 初始化 S = �。02: while |S| < ∆ do04: S ← S ∪ {u}.05: end while06: return S.0显然，算法1的运行时间是线性的。以下结果表明算法1达到了(1 -1/e)的近似比率，其证明可以从子模优化的标准结果中立即得出，此处省略。0定理2. 设S是Algorithm户集合，则有e ≤ �(S�, t)。0则有 �(S, t) ≥ �1 - 104.4 解决伪用户的评分得分0�0arg minX, Y, z0�rui-x�uyi�0(u, i) ∈ E'0�wvi - z�yi�20u∥xu∥22 + �0其中z ∈Rd是伪用户v的0i∥yi∥22 + ∥z∥22，(14)0G(wv) = �0是当前评分集（评分集E中没有攻击加上在用户v之前添加的伪用户的注入评分）。为此，注意到损失函数LS(wv)的次梯度可以计算为：0�0u ∈0= �0其中，i ∈ Γu，�wvд(ˆrui - ˆrut) +0u ∈ S0i ∈ Γu0∂д � δu,it0∂δu,it0��wvˆrui - �wvˆrut� + η∂∥wv∥1，(15)0其中，δu,it = ˆrui -0∂δu,it = д(δu,it)(1 0b.0次梯度∂∥wv∥1可以计算为∂0∂wvi∥wv∥1 = wvi|wvi|.0计算�wvˆrui，注意到ˆrui = x�uyi，然后梯度∂ˆrui0∂wv可以计算为：0∂ˆrui∂wv = Jwv(xu)�yi + Jwv(yi)�xu，(16)0其中，Jwv(xu)和Jwv(yi)分别是xu和yi相对于wv的雅可比矩阵。接下来，我们利用一阶稳定条件来近似计算Jwv(xu)和Jwv(yi)。注意，问题（14）的最优解满足以下一阶稳定条件：0λxu = �0i ∈ Ωu (rui − x�uyi)yi，（17）0λyi = �0u ∈ Ωi (rui − x�uyi)xu + (wvi − z�yi)z，（18）0λz = �0i ∈ I (wvi − z�yi)yi，（19）0.5%0.0017 0.0945 0.10210.13550.09420.15211%0.0017 0.1803 0.19850.24920.20540.25673%0.0017 0.3681 0.35870.40150.35110.41725%0.0017 0.5702 0.57310.58320.56530.60210.3%0.0015 0.0224 0.02610.06190.02580.06430.5%0.0015 0.1623 0.17570.23040.16470.22621%0.0015 0.4162 0.41010.43230.41730.44153%0.0015 0.4924 0.51310.53160.49230.54295%0.0015 0.6442 0.64310.68060.65320.681330230基于影响函数的数据污染攻击对Top-N推荐系统WWW'20，2020年4月20日至24日，台北，台湾0算法2 我们的S-攻击。0输入：评分矩阵R，目标物品t，参数m，n，d，η，λ，∆，b。输出：虚假用户集合M。01：根据算法1找到有影响力的用户集合S以获取物品t。02：令M = �。03：对于v =04：解决等式（6）定义的优化问题以获取wv。05：选择具有最大wvi值的n个物品作为填充物品。06：设置rvt = rmax。07：令µi和σ2i分别为物品i被所有正常用户评分的均值和方差。令rvi�N(µi, σ2i)为每个填充物品i由虚假用户v给出的随机评分。08：令R ← R ∪ {rv}和M ← M ∪ {v}。09：结束循环010：返回{rv}m v = 1和M。0其中Ωu是用户u评价过的物品集合，Ωi是评价物品i的用户集合。受[19,35]的启发，我们假设在wv的微小变化下，由（17）-（19）给出的最优性条件仍然成立。因此，将（17）-（19）对wv的导数设为零，并进行一些代数计算，我们可以推导出：∂xu∂wvi = 0，（20）0∂yi∂wvi = �λI + 0u ∈ Ωi xu x �u + zz ��−1z，（21）0其中I是单位矩阵，（21）来自于（x�uyi）xu =(xux�u)yi。最后，对于所有i ∈Γu计算（20）和（21）得到Jwv(xu)和Jwv(yi)。注意，可以以完全相同的过程计算�wvˆrut。最后，在获得G(wv)后，我们可以使用投影次梯度法[3]解决虚假用户v的wv。通过wv，我们选择具有最大wvi值的n个物品作为填充物品。然而，通过解决（6）获得的wv的值可能不会模仿正常用户的评分行为。为了使我们的S-攻击更加“隐蔽”，我们将展示如何生成评分以伪装虚假用户v。我们首先将rvt =rmax设置为促进目标物品t。然后，我们通过对每个填充物品使用围绕合法用户对该物品的平均评分的正态分布来生成评分，其中N(µi,σ2i)是物品i的均值µi和方差σ2i的正态分布。我们的S-攻击算法总结如算法2所示。05 实验 5.1 实验设置05.1.1数据集。我们在两个真实世界的数据集上评估我们的攻击。第一个数据集是亚马逊数字音乐（Music）[1]。该数据集包含8,844个用户对15,442首音乐的88,639个评分。第二个数据集是Yelp[40]，其中包含11,534个用户对25,229个物品的504,713个评分。05.1.2S-攻击变体。通过选择不同的有影响力的用户集合S，我们比较了我0U-Top-N攻击（U-TNA）：该变体使用所有正常用户作为有影响力的用户集合S，即S = U，然后解决问题（6）。0表1：不同攻击的HR@10。0数据集攻击规模无 PGA SGLD U-TNA S-TNA-Rand S-TNA-Inf0音乐0Yelp0S-Top-N攻击+随机选择（S-TNA-Rand）：该变体随机选择∆个用户作为有影响力的用户集合S，然后解决问题（6）。0S-Top-N攻击+影响（S-TNA-Inf）：该变体通过算法1找到有影响力的用户集 S，然后解决问题（6）。05.1.3基线攻击。我们将我们的S-攻击变体与以下基线攻击进行比较。0投影梯度上升攻击（PGA）[19]：PGA攻击旨在为目标物品分配高评分，并为虚假用户随机生成填充物品进行评分。0随机梯度Langevin动力学攻击（SGLD）[19]：该攻击也旨在为目标物品分配高评分，但它模拟了正常用户的评分行为。每个虚假用户将选择具有最大绝对评分的 n 个物品作为填充物品。05.1.4参数设置。除非另有说明，我们使用以下默认参数设置：d =64，∆ = 400，η = 0.01，b = 0.01和N =10。此外，我们将攻击规模设置为3％（即虚假用户的数量占正常用户数量的3％），填充物品的数量设置为 n =20。我们随机选择10个物品作为目标物品，并将命中率（HR@N）平均计算在这10个目标物品上，其中目标物品的HR@N是正常用户的推荐列表中包含目标物品的比例。请注意，我们的 S-攻击是S-TNA-Inf攻击。05.2完全知识攻击0在本节中，我们考虑了最坏情况的攻击场景，即攻击者对推荐系统具有完全的知识，例如目标推荐系统的类型（基于矩阵分解），所有评分数据以及推荐系统的参数（例如维度 d 和权衡参数λ）。表1总结了不同攻击的结果。“None”表示没有任何攻击的命中率。首先，我们观察到我们的S-攻击变体可以仅使用少量虚假用户有效地推广目标物品。例如，在Yelp数据集中，当仅注入0.5％的虚假用户时，S-TNA-Inf攻击相对于非攻击设置，随机目标物品的命中率提高了150倍。其次，我们的S-攻击变体在大多数情况下优于基线攻击。这是因为基线攻击旨在操纵评分矩阵的所有缺失条目，而我们的攻击旨在操纵前 N推荐列表。第三，令人惊讶的是，S-TNA-Inf攻击优于U-TNA攻击。我们的观察结果表明，在优化虚假用户的评分得分时，通过放弃对目标物品推荐没有影响力的用户，我们可以提高攻击的效果。0.30000.33500.37000.40500.440020%40%60%80%100%HR@10Size of observed dataS-TNA-Inf (d=32)S-TNA-Inf (d=64)S-TNA-Inf (d=128)SGLD (d=64)0.38000.43000.48000.53000.580020%40%60%80%100%HR@10Size of observed dataS-TNA-Inf (d=32)S-TNA-Inf (d=64)S-TNA-Inf (d=128)SGLD (d=64)0.30000.33500.37000.40500.44000.3%0.5%1%3%5%FNRAttack sizePGASGLDU-TNAS-TNA-RandS-TNA-Inf0.25000.28750.32500.36250.40000.3%0.5%1%3%5%FNRAttack sizePGASGLDU-TNAS-TNA-RandS-TNA-Inf0.5%0.0011 0.0043 0.01450.02980.01390.03421%0.0011 0.0311 0.09160.12820.09340.12153%0.0011 0.2282 0.26310.28460.26790.29945%0.0011 0.3243 0.35160.36520.35310.37040.3%0.0010 0.0018 0.00970.02310.00930.02420.5%0.0010 0.0062 0.02780.04310.02650.04741%0.0010 0.1143 0.15850.17740.16120.18313%0.0010 0.3301 0.36740.39510.36650.39685%0.0010 0.4081 0.42230.44860.42690.450130240WWW '20，2020年4月20日至24日，台北，台湾，方明宏，龚振强，刘佳0（a）音乐0（b）Yelp0图1：攻击者知道正常用户的一部分评分，但不知道 d。0（a）音乐0（b）Yelp0图2：不同攻击的FNR分数。05.3部分知识攻击0在本节中，我们考虑了部分知识攻击。特别是，我们考虑了攻击者知道目标推荐系统的类型（基于矩阵分解），但攻击者只能访问正常用户的一部分评分，并且不知道维度 d的情况。具体来说，我们将用户-物品评分矩阵视为一个二

下载后可阅读完整内容，剩余1页未读，立即下载