以毒攻毒Fight Fire with Fire: Towards Robust Recommender Systems via Adversarial Poisoning Training论文解读

1 摘要

最近的研究表明，推荐系统是脆弱的，攻击者很容易将精心设计的恶意配置文件注入系统，从而导致有偏见的推荐。我们不能否认这些数据的合理性，因此建立一个强大的推荐系统势在必行。对抗性训练已被广泛研究以获得可靠的建议。然而，传统的对抗训练给参数（输入）增加了小的扰动，这不符合推荐系统中的中毒机制。因此，对于非常擅长学习现有数据的实用模型，它的表现并不好。为了解决上述限制，我们提出了对抗性中毒训练（APT）。它通过注入虚假用户（ERM 用户）来模拟中毒过程，这些虚假用户致力于最小化经验风险以构建一个强大的系统。此外，为了生成 ERM 用户，我们探索了一种近似方法来估计每个假用户对经验风险的影响。尽管“以火取胜”的策略似乎违反直觉，但我们从理论上证明了所提出的 APT 可以提高中毒鲁棒性的上限。此外，我们提供了第一个理论证明，即对抗性训练对增强推荐稳健性具有积极影响。通过对四个真实世界数据集进行五次中毒攻击的广泛实验，结果表明 APT 的鲁棒性改进显着优于基线。值得一提的是，APT 在大多数情况下也提高了模型泛化能力。

2 预备知识

2.1 矩阵分解

问：矩阵分解为什么不能进行精确分解？也就是R=UVR = UVR=UV，而不是R≈UVR \approx UVR≈UV。
答：从欠定方程、正定方程、超定方程角度考虑，由于评分矩阵上需要拟合的点比变量多，通过最小二乘法进行误差最小拟合。
问：为什么需要正则项？
答：为了防止过拟合。
问：为什么正则项必须是二范数？
答：一范数和二范数，还有其它的都可以作为正则项，推荐去看B站上的浙江大学胡浩基老师的《机器学习》的视频，里面有理论推导。

2.2 针对推荐系统的对抗训练

对抗训练向模型参数（或输入）添加扰动以迫使推荐系统适应这种噪声并学习扰动的非鲁棒性特征，从而增强面对对抗性攻击的鲁棒性。

Δ\DeltaΔ是专门用于破坏推荐的附加扰动，ϵ>0\epsilon > 0ϵ>0限制扰动的幅度，λadv\lambda_{adv}λadv控制扰动的影响，D\mathcal{D}D、θR\theta_RθR和L\mathcal{L}L分别是推荐系统的数据集、参数和训练损失。
简而言之，对抗训练在推荐者和攻击对手之间进行零和博弈，并在博弈中寻求鲁棒模型。

问：公式(2)里面为什么有min⁡\minmin，还有max⁡\maxmax?
答：这个公式很有意思，可以分为两个步骤来理解，第一步是在已经训练好的模型（即固定参数θR\theta_RθR），攻击者通过加入扰动Δ\DeltaΔ使得模型的误差最大，这样可以保证攻击的效果最佳；第二步是利用已经污染后的数据集进行重新训练模型，也就是改变θR\theta_RθR，如果是矩阵分解，就是重新计算新的子矩阵UUU和VVV，使得损失最小。

2.3 威胁模型

攻击目标。根据攻击者的意图，他们可以设计各种攻击，包括提升攻击、降级攻击和可用性攻击[22]。提升攻击（降级攻击）通常旨在增加（降低）目标项目的受欢迎程度（例如，提高（降低）项目在基于排名的模型上的推荐排名 [24]）。对于可用性攻击，攻击者希望最大化推荐误差以最终使模型无用。我们不能删除现有的评分，因此降级攻击可以通过增加非目标项目的受欢迎程度来实现，直到目标项目不在用户的推荐列表中[42]，这在某种意义上相当于提升攻击。此外，可用性攻击本质上是提升攻击和降级攻击的混合体。为简单起见，我们主要专注于防御提升攻击。

攻击能力。理论上，只要注入的假配置文件足够大，任何模型都是脆弱的。显然，模型的鲁棒性和攻击能力不能解耦。另外，注入过多的假用户操作难度大，难免会产生与正常用户不同的签名，导致被检测到。鉴于上述考虑，我们限制攻击者最多注册