对基于深度学习的推荐系统的数据中毒攻击
推荐系统在帮助用户在亚马逊、YouTube 和谷歌新闻等各种网络服务中找到他们感兴趣的信息方面发挥着至关重要的作用。各种推荐系统,从基于邻域的、基于关联规则的、基于矩阵分解的到基于深度学习的,已经在工业中开发和部署。其中,基于深度学习的推荐系统因其卓越的性能而变得越来越流行。
在这项工作中,我们对基于深度学习的推荐系统的数据中毒攻击进行了首次系统研究。攻击者的目标是 *** 纵推荐系统,以便将攻击者选择的目标项目推荐给许多用户。为了实现这一目标,我们的攻击将带有精心制作的评分的假用户注入到推荐系统中。具体来说,我们将我们的攻击表述为一个优化问题,这样注入的评级将最大化向其推荐目标项目的普通用户的数量。然而,解决优化问题具有挑战性,因为它是一个非凸整数规划问题。为了应对这一挑战,我们开发了多种技术来近似解决优化问题。我们在三个真实世界数据集(包括小型和大型数据集)上的实验结果表明,我们的攻击是有效的并且优于现有的攻击。此外,我们尝试通过对正常用户和虚假用户的评分模式的统计分析来检测虚假用户。我们的结果表明,即使部署了这样的检测器,我们的攻击仍然有效并且优于现有攻击。
现有解决方案的不足:现有的数据中毒攻击要么对推荐系统算法不可知,要么对传统的推荐系统算法进行优化。尽管基于深度学习的推荐系统受到越来越多的关注,并已在工业中得到了广泛应用,但它们对数据中毒攻击的安全性在很大程度上是未知的。
提出的创新方案概述:将具有精心设计的评级的假用户注入推荐系统,将设计的攻击描述为一个优化问题,由于该优化问题是一个非凸整数规划问题,课题组开发了多种技术来近似求解优化问题。
*** 纵拜占庭:优化联邦学习的模型中毒攻击和防御
联邦学习 (FL) 支持许多数据所有者(例如,移动设备)来训练联合 ML 模型(例如,下一个词预测分类器)而不需要分享他们的私人训练数据。然而,已知 FL 易受模型影响恶意参与者(例如,对手拥有的移动设备)的投毒攻击,旨在妨碍准确性通过发送恶意输入的联合训练模型在联合训练过程中。在本文中,我们提出了一个FL模型中毒攻击的通用框架。我们展示我们的框架会导致大量中毒攻击大大优于最先进的模型中毒攻击边距。例如,我们的攻击导致 1.5 倍到 60 倍以上与最强的 FL 相比,FL 的准确性有所降低
现有的中毒攻击。我们的工作表明现有的拜占庭鲁棒 FL算法明显更容易受到模型中毒的影响比之前想象的要好。受此启发,我们设计了一个防御对抗 FL 中毒,称为分而治之 (DnC)。我们证明 DnC 优于所有现有的拜占庭鲁棒
FL 算法在击败模型中毒攻击方面,具体而言,在我们的不同实验中,它的d性提高了 2.5 倍到 12 倍.
用于保护社交媒体平台上撤回的帖子的欺骗性删除
过度分享措辞不佳的想法和个人信息在在线社交平台上普遍存在。 在许多
在这些情况下,用户后悔发布此类内容。 回顾性地纠正用户分享决策中的这些错误,大多数平台提供(删除)机制以撤回内容,以及社交媒体用户经常使用它们。 具有讽刺意味的是,也许不幸的是,这些删除使用户更容易受到隐私的影响专门追捕删除帖子的恶意行为者的违规行为大规模。 这种狩猎的原因很简单:删除一个帖子充当了一个强有力的信号,表明该帖子可能会对其造成损害它的主人。 今天,多个档案服务已经在扫描这些已删除帖子的社交媒体。 此外,正如我们所展示的在这项工作中,强大的机器学习模型可以检测大规模破坏性删除。
为了遏制这样一个针对用户的全球对手为了被遗忘的权利,我们引入了欺骗性删除,一种将对抗性优势最小化的诱饵机制。 我们的机制注入诱饵删除,因此创建了一个两人寻求在已删除帖子中对破坏性内容进行分类的对手与挑战者之间的最小最大博弈使用诱饵删除来伪装真正的破坏性删除。
我们将两个玩家之间的欺骗性游戏正式化,确定对手或对手所处的条件
挑战者可证明赢得比赛,并讨论场景介于这两个极端之间。 我们应用欺骗性删除Twitter上现实世界任务的机制:隐藏破坏性推文删除。 我们表明,强大的全球对手可以被强大的挑战者击败,大大提高了标准并为真正被遗忘的能力带来一线希望在社交平台上。
ALchemist:融合应用程序和审计日志,无需检测即可获得精确的攻击来源
网络攻击变得更加持久和复杂的。大多数最先进的攻击取证技术需要注释和检测软件应用程序或依靠高质量的执行分析作为基础用于异常检测。我们提出了一种新颖的攻击取证技术炼金术士。它基于内置应用程序日志提供关键的高级语义和审计的观察日志提供低级细粒度信息;并且两人分享很多共同的元素。因此 ALchemist 是对数融合将应用程序日志和审计日志耦合以派生的技术在任一日志中不可见的关键攻击信息。它基于一个关系推理引擎 Datalog 和功能推断新的关系,例如执行的任务结构(例如,Firefox 中的选项卡),尤其是在存在复杂的异步执行模型以及记录事件。我们对 15 种流行应用的评估,包括firefox、Chromium 和 OpenOffice,以及来自文献表明,虽然 ALchemist 不需要仪表,它在分区执行方面非常有效自主任务(为了避免虚假的依赖)并导出精确的攻击来源图,非常小高架。它还优于 NoDoze 和 OmegaLog,这两种不需要仪器的最先进技术。
FARE: Enabling Fine-grained Attack Categorization under Low-quality Labeled DataFARE:在低质量标记数据下启用细粒度攻击分类
和自己研究方向一样,可以精度,很有启发
监督机器学习分类器已广泛用于攻击检测,但它们的训练需要大量的高质量标签。不幸的是,由于数据标记的高成本和攻击者的不断演变,在实践中很难获得高质量的标签。如果没有这样的标签,训练和部署有针对性的对策是很有挑战性的。
在本文中,我们提出了 FARE,一种在低质量标签下实现细粒度攻击分类的聚类方法。我们关注数据标签中的两个常见问题:1)某些攻击类别或家族的标签缺失; 2)只有粗粒度标签可用于不同的攻击类型。 FARE 的核心思想是充分利用有限的标签,同时使用底层数据分布来巩固低质量的标签。我们设计了一个集成模型,将多个无监督学习算法的结果与给定的标签融合在一起,以减轻缺失类和粗粒度标签的负面影响。然后,我们训练一个输入转换网络,将输入数据映射到一个低维潜在空间以进行细粒度聚类。使用两个安全数据集(Android 恶意软件和网络入侵跟踪),我们展示了 FARE
在聚类质量/正确性方面显着优于最先进的(半)监督学习方法。此外,我们通过与大型电子商务服务合作来检测欺诈性账户来执行 FARE 的初始部署。通过真实世界的 A/B 测试和人工调查,我们证明了 FARE 能够有效捕捉以前未发现的欺诈行为。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)