Poisoning Decentralized Collaborative Recommender System and Its Countermeasures

为了保护隐私和提高效率，许多推荐系统的部署正在从中央服务器转向个人设备，联邦推荐系统（FedRecs）和分散协作推荐系统（DecRecs）是两种最具代表性的模式。虽然两者都利用知识（例如梯度）共享来促进学习本地模型，但FedRecs依赖于中央服务器来协调优化过程，而在DecRecs中，知识共享直接发生在客户端之间。知识共享也为模型污染攻击打开了后门，攻击者伪装成良性客户端并传播污染知识，以实现恶意目标，如提高物品的曝光率。虽然对此类污染攻击的研究为发现安全漏洞和相应的对策提供了有价值的见解，但现有的攻击大多集中在FedRecs上，对于DecRecs来说要么不适用，要么无效。与FedRecs相比，一旦篡改信息上传到云端，篡改信息就可以普遍分布到所有客户端，而在DecRecs中，每个攻击者只能与小规模的邻居客户端通信，将其影响范围限制在有限范围内。为了填补这一空白，我们提出了一种新的攻击方法，名为适应恶意邻居的毒化（PAMN）。以在top-K推荐中提升物品推广为攻击目标，PAMN使用几个模拟良性客户端的攻击者有效地提高目标物品的排名，并传递适应性制作的梯度，这些梯度是根据每个攻击者的邻居条件化的。此外，由于发现了DecRecs的漏洞，我们提出了一种基于用户级梯度剪辑和稀疏更新的专用防御机制。广泛的实验证明了毒化攻击的有效性和我们的防御机制的鲁棒性。

本文试图解决分布式协同推荐系统中的模型污染攻击问题，尤其是针对去中心化协同推荐系统的攻击。

本文提出了一种名为PAMN的新型攻击方法，通过模拟良性客户端的方式，将经过调整的梯度转移到目标物品的邻居客户端，从而提高目标物品的推荐排名。同时，作者提出了一种基于用户级别梯度剪切和稀疏更新的防御机制。

本文的亮点在于提出了一种针对去中心化协同推荐系统的模型污染攻击方法，并且设计了一种防御机制。作者在多个数据集上进行了实验，证明了攻击的有效性和防御机制的鲁棒性。

最近在这个领域中，还有一些相关的研究，如《Federated Collaborative Filtering for Privacy-Preserving Personalized Recommendation》和《Collaborative Filtering with Decentralized Matrix Factorization》等。