核心概念
提出一種新的雙視角目標攻擊方法DV-FSR,能有效地操縱聯邦序列推薦系統中目標項目的曝光率,即使只有少量的惡意用戶參與。同時提出一種混合的防禦策略mixed-RFA來緩解此類攻擊。
摘要
本文探討了在聯邦序列推薦(FSR)系統中的目標攻擊問題。作者提出了一種新的雙視角目標攻擊框架DV-FSR,結合了顯式和隱式的策略來協調攻擊。
顯式策略:通過替換序列中最容易受攻擊的項目,上傳惡意梯度以最大化目標項目的得分。
隱式策略:利用對比學習增強目標項目與交互項目之間的相似性,從而提高目標項目的得分。
作者還提出了一種混合的防禦策略mixed-RFA,結合了幾何中位數的魯棒性和傳統平均方法的效率,以緩解目標項目攻擊。
實驗結果表明,DV-FSR在需要很少的惡意用戶參與的情況下,仍能顯著提高目標項目的曝光率,而且比現有的攻擊方法更加有效。mixed-RFA在低比例的惡意用戶情況下能夠有效緩解攻擊,但隨著惡意用戶比例的增加,防禦效果也逐漸降低。
總的來說,本文提出了一種新穎的目標攻擊方法,並設計了一種防禦策略,為聯邦序列推薦系統的安全性研究提供了新的思路。
統計資料
即使只有0.05%的惡意用戶,DV-FSR在ML-1M數據集上也能將目標項目的曝光率提高到0.9701。
在Steam數據集上,DV-FSR在0.1%的惡意用戶情況下,將目標項目的曝光率提高到0.9169。
隨著惡意用戶比例的增加,DV-FSR的攻擊效果也越來越強,在0.2%的惡意用戶情況下,目標項目的曝光率達到1.0。
引述
"DV-FSR成功地破壞了系統的魯棒性,不論是在標準設置還是我們新開發的防禦機制下。"
"我們希望,我們的研究能夠引發更多人對聯邦推薦框架內推薦模型感知攻擊的興趣,並鼓勵開發更複雜的方法來增強系統的安全性。"