TKDE | 推荐系统鲁棒性全面综述及鲁棒性评测库

推荐系统鲁棒性全面综述及

鲁棒性评测库

Towards Robust Recommendation: A Review and an Adversarial Robustness Evaluation Library

**

**

作者：程磊、黄晓雯*、桑基韬、于剑 项目链接: https://github.com/chengleileilei/ShillingREC 论文链接: https://arxiv.org/abs/2404.17844

01

引言****

推荐系统已成为信息获取、内容分发和智能决策的核心技术。然而，随着其应用范围不断扩大，推荐系统面临着越来越复杂的环境挑战。尤其在开放式场景中，它极易受到托攻击（Shilling Attack）的威胁。同时，天然噪声、数据稀疏、不均衡等非对抗性因素 也常常导致模型性能下降。提升推荐系统在此类复杂环境中的鲁棒性（Robustness），已成为学术界和工业界共同关注的重要议题。

基于此，本综述全面收集了推荐系统鲁棒性相关研究，并进行了系统分类与介绍，涵盖常见的攻击方法、攻击检测方法、鲁棒性算法以及非对抗鲁棒性方法。此外，我们提出了一个推荐系统对抗鲁棒性评测库 ShillingREC，可实现对常见托攻击和推荐模型执行公平、高效的评测。本文主要贡献如下:

根据推荐系统是否受到人为设计的恶意攻击将推荐系统鲁棒性分为对抗鲁棒性和非对抗鲁棒性，并对相关经典与最新研究进行了全面梳理。 * 对推荐系统常见数据集和评估指标进行了汇总。 * 提出了一个推荐系统对抗鲁棒性评测库 ShillingREC，可根据数据类型和任务设置，对各类托攻击和推荐模型进行公平、快速的评估与测试。 * 基于 ShillingREC 对已有的托攻击和推荐模型进行了全面评测。

02

分类法

我们根据推荐系统是否受到人为设计的恶意攻击将推荐系统鲁棒性分为对抗鲁棒性和非对抗鲁棒性，分类方法见图1

图1 推荐系统鲁棒性分类方法

对抗鲁棒性

对抗鲁棒性指推荐模型对恶意攻击的抵御能力。推荐系统的对抗鲁棒性分为托攻击和防御两个部分。托攻击模型根据已有知识生成虚假数据并注入推荐系统的训练数据，以尽可能实现攻击目标。防御模型则旨在识别虚假用户，或在存在虚假交互的情况下仍保持稳定的推荐性能。

非对抗鲁棒性

除了针对推荐系统的恶意攻击，一些非人为因素也可能会影响推荐系统的性能，例如数据的稀疏性、训练数据中的天然噪声以及数据不均衡等问题。我们将推荐系统抵抗此类负面效果的能力称为推荐系统的非对抗鲁棒性。

03

对抗鲁棒性部分

对抗鲁棒性主要研究推荐系统如何抵御如托攻击等人为操控行为。攻击者可注入大量虚假用户与虚假交互数据，从而操纵特定物品的推荐排名。托攻击示意图如图2所示。

图2 托攻击的数据形式

托攻击方法的分类如下： * **攻击目标：**Push（提高目标物品排名） / Nuke（降低目标物品排名） / 无目标攻击

**知识可得性：**白盒（如 PGA）、灰盒（如TrialAttack）、黑盒（如LOKI、PoisonRec）

**攻击策略：**启发式方法、基于优化的方法、基于GAN的方法、基于强化学习的方法等

抵御托攻击包括三个方面：一是在交互环节设置门槛防止恶意评论，如增加评分验证；二是在训练阶段构建攻击检测器，筛选干净数据以提升模型安全性；三是开发鲁棒性推荐模型，让模型学习真实用户表示。对抗鲁棒性防御的示意图如图4所示。本文对基于检测的方法和基于鲁棒性算法的方法进行了全面介绍。

图4 推荐系统对抗鲁棒性防御的示意图

03

对抗鲁棒性部分

非对抗鲁棒性关注在无显式攻击情况下，推荐系统面对数据复杂性（如稀疏、噪声、不平衡）时的稳健性。

表1

04

推荐系统对抗鲁棒性评测库ShillingRE

我们对现有开源的推荐系统框架进行了调查，见表2。 表2 推荐系统开源库统计

虽然部分开源框架支持评估推荐模型鲁棒性，但存在数据类型不匹配，评估流程不合理等问题。基于此，我们提出了新一代推荐系统对抗鲁棒性行评测库—ShillingREC，支持多数据类型、支持Top-k排序和评分预测两类任务，实现了数据预处理、模型训练与评估的全流程自动化，框架结构见图5。

图5 ShillingREC框架图

本文展示使用ShillingREC对几种典型托攻击模型在评分数据攻击或隐式反馈数据攻击场景下的攻击性能进行评估，结果如下：

05

总结

尽管当前研究已取得初步进展，但推荐系统鲁棒性仍面临多项挑战：

**缺乏真实场景的虚假用户数据，**现有评估多依赖模拟数据，难以完全还原生产环境复杂性； * **攻击与防御之间存在效率与效果的权衡，**需要在保持鲁棒性的同时兼顾模型的推理性能； * **检测与推荐联合训练仍不成熟，**样本误判对推荐性能影响较大； * **大多数防御策略依赖特定攻击/模型，**缺乏具有通用适应性的鲁棒推荐算法； * 非对抗鲁棒性研究尚无法同时应对多重噪声来源（如数据不平衡、采样偏差等）；

未来的研究方向包括：构建更具真实性的数据基准，提升鲁棒算法的推理效率，探索推荐-检测的联合优化方法，以及开发面向多场景、可泛化的通用鲁棒推荐模型。我们希望本项工作能为推荐鲁棒性研究提供一个系统起点，也期待 ShillingREC 能为社区提供高效实用的实验平台。

欢迎访问与引用

论文链接: https://arxiv.org/abs/2404.17844 项目地址: https://github.com/chengleileilei/ShillingREC