Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Data Poisoning Attacks on Factorization-Based Collaborative Filtering

Bo Li, Yining Wang|arXiv (Cornell University)|Aug 29, 2016
Adversarial Robustness in Machine Learning参考文献 7被引用数 154
ひとこと要約

データポイズニング攻撃を因数分解ベースの協調フィルタリングに対して提案し、2つのアルゴリズム(交互最小化と核ノルム最小化)に対してほぼ最適な悪意データを導出し、検出を回避するために正常なユーザーの行動を模倣する方法を示す。

ABSTRACT

Recommendation and collaborative filtering systems are important in modern information and e-commerce applications. As these systems are becoming increasingly popular in the industry, their outputs could affect business decision making, introducing incentives for an adversarial party to compromise the availability or integrity of such systems. We introduce a data poisoning attack on collaborative filtering systems. We demonstrate how a powerful attacker with full knowledge of the learner can generate malicious data so as to maximize his/her malicious objectives, while at the same time mimicking normal user behavior to avoid being detected. While the complete knowledge assumption seems extreme, it enables a robust assessment of the vulnerability of collaborative filtering schemes to highly motivated attacks. We present efficient solutions for two popular factorization-based collaborative filtering algorithms: the \emph{alternative minimization} formulation and the \emph{nuclear norm minimization} method. Finally, we test the effectiveness of our proposed algorithms on real-world data and discuss potential defensive strategies.

研究の動機と目的

  • 推奨の可用性と完全性への影響により、協調フィルタリングにおけるデータポイズニングの研究を動機付ける。
  • 最悪ケースの知識仮定の下でほぼ最適な攻撃戦略を開発する。
  • 2つの人気CFアルゴリズムのための悪質データを生成する勾配ベースおよび確率的手法を提供する。
  • 実データ上での攻撃を示し、潜在的な防御戦略を論じる。

提案手法

  • 悪質データが悪用者の有用性を最大化するように、悪質プロファイルの実行可能集合の下で選択される最適化としてポイズニングを定式化する。
  • 交互最小化と核ノルム最小化の一階のKKT条件を用いて、悪質データに対する攻撃者の勾配計算を導出する。
  • 正射影付き勾配上昇法とSGLDベースのアプローチを提案し、正常なユーザーを模倣する悪質プロファイルを生成する。
  • 特徴相関の逸脱を検出し、アンサンブル法を用いることに焦点を当てた緩和策に関する議論を提供する。

実験結果

リサーチクエスチョン

  • RQ1現実的な制約の下で、攻撃者は因数分解ベースの協調フィルタリングの性能を劣化させるためにデータを最適に注入できるか。
  • RQ2攻撃者は検出を回避しつつ、可用性・完全性のいずれか、あるいは両方の組み合わせを最大化できるか。
  • RQ3交互最小化と核ノルム手法のほぼ最適なポイズニングの効率的な計算を可能にする勾配ベースの戦略は何か。
  • RQ4SGLDのような検出回避戦略は、現実的な悪質プロファイルの生成にどれだけ効果的か。

主な発見

  • 可用性と完全性のユーティリティに対して、統一最適化フレームワークの下で最適な攻撃戦略を計算できる。
  • KKT条件を用いた勾配ベースの手法は、交互最小化と核ノルムの定式化の両方に対して、悪質データに関する攻撃者の目的関数の導関数を概算計算することを可能にする。
  • 攻撃はRMSEを著しく低下させ、アイテム評価を変更でき、特定のアイテムを操作するためにターゲットを絞った完全性攻撃がより効果的である。
  • SGLDを介して正常なユーザー挙動を模倣すると、ランダム攻撃と比較して競争力のある攻撃性能を持ち、検出回避性の高い悪質プロファイルを得られる。
  • PGAはRMSEへの影響をより強くするが、攻撃者プロファイルの説得力が低く、SGLDは検出回避の利点を提供。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。