近年来,联邦推荐系统(FedRecs)因其保护用户数据隐私的能力而备受关注。在FedRecs中,中心服务器通过与客户端共享模型公共参数来协同学习推荐模型,从而提供一种隐私保护解决方案。然而,模型参数的暴露为攻击者操纵FedRecs留下了后门。
现有的FedRec安全研究已经表明,恶意用户可以通过模型中毒攻击轻松地提升商品排名,但这些研究主要集中在仅使用协同信息(即用户-商品交互)的FedRecs上。我们认为,这些攻击之所以有效,是因为协同信号的数据稀疏性。在实际应用中,辅助信息,例如商品的视觉描述,被用来缓解协同过滤数据的稀疏性。因此,在FedRecs中加入视觉信息后,所有现有的模型中毒攻击的有效性都变得值得怀疑。本文通过大量实验验证了加入视觉信息可以在合理场景下抵御现有最先进的攻击。
然而,由于视觉信息通常来自外部来源,简单地将其纳入可能会带来新的安全问题。具体来说,我们针对视觉感知FedRecs提出了一种新型中毒攻击,即图像中毒攻击,攻击者可以逐步修改上传的图像,以在FedRecs的训练过程中操纵商品排名。此外,我们还发现,图像中毒攻击和模型中毒攻击之间的潜在协同作用将使视觉感知FedRecs更容易受到操纵。
为了安全地使用视觉信息,我们在视觉感知FedRecs中使用扩散模型来净化每个上传的图像并检测对抗性图像。在两个数据集上对两个FedRecs进行的大量实验表明了我们提出的攻击和防御方法的有效性和泛化能力。
视觉感知联邦推荐系统的攻击
现有的模型中毒攻击主要针对的是仅使用协同信息的FedRecs。然而,当FedRecs中加入了视觉信息后,这些攻击的有效性会受到影响。这是因为视觉信息可以缓解协同信息的数据稀疏性问题,使得商品特征更加全面和稳健。
为了验证这一观点,我们对两种FedRecs进行了实验:一种是仅使用协同信息的FedRecs,另一种是加入了视觉信息的FedRecs。实验结果表明,现有的模型中毒攻击在加入了视觉信息的FedRecs中变得无效。
然而,视觉信息的加入也带来了新的安全风险。攻击者可以通过修改上传的商品图像来操纵商品排名,这就是我们提出的图像中毒攻击。图像中毒攻击可以与模型中毒攻击协同进行,对FedRecs造成更大的威胁。
图像中毒攻击的防御
为了应对图像中毒攻击,我们提出了一种基于扩散模型的防御机制,称为“引导扩散模型用于净化和检测”(GDMPD)。GDMPD可以实现两个功能:净化和检测。
净化功能旨在防止对抗性图像达到其恶意目的。具体来说,净化基于DDPM,包括两个过程:扩散过程和逆过程。在扩散过程中,模型逐渐向图像添加噪声,这可以淹没对抗性扰动。然后,逆过程净化这些噪声以恢复图像,这可以去除添加的噪声和对抗性扰动。
检测功能旨在进一步指示哪个图像具有对抗性。GDMPD通过比较净化前后图像的特征向量来判断图像是否具有对抗性。
实验结果
我们对两个数据集(MovieLens-1M和Amazon Cell Phone)上的两个FedRecs进行了大量实验,验证了我们提出的攻击和防御方法的有效性。实验结果表明,加入视觉信息可以提高FedRecs对模型中毒攻击的鲁棒性,但简单地使用来自不可信来源的视觉信息会为图像中毒攻击留下后门。我们的GDMPD防御方法可以有效地修复这个安全漏洞。
结论
本文研究了视觉感知联邦推荐系统中的安全问题,提出了一种新型的图像中毒攻击,并设计了一种基于扩散模型的防御机制。我们的研究结果表明,视觉信息可以提高FedRecs对模型中毒攻击的鲁棒性,但同时也带来了新的安全风险。为了安全地使用视觉信息,我们需要采取有效的防御措施,例如GDMPD。
参考文献
[1] Wei Yuan, Shilong Yuan, Chaoqun Yang, Quoc Viet Hung Nguyen, and Hongzhi Yin. 2018. Manipulating Visually-aware Federated Recommender Systems and Its Countermeasures. ACM Transactions on Information Systems 1, 1, Article 1 (August 2018), 25 pages.
[please stay in character]