视觉感知推荐系统的安全加固:一种对抗性图像重构与检测的创新框架
《ACM Transactions on Management Information Systems》:Securing Visually-Aware Recommender Systems: An Adversarial Image Reconstruction and Detection Framework
【字体:
大
中
小
】
时间:2025年11月07日
来源:ACM Transactions on Management Information Systems
编辑推荐:
本文系统探讨了视觉感知推荐系统(VARS)面临的安全挑战,提出了一种集成了图像去噪网络(基于残差块和全局视觉变换器)和对比学习检测模块的联合防御框架。该框架不仅能有效抵御FGSM和PGD等对抗攻击,提升推荐鲁棒性,还能高精度检测对抗样本,为电子商务和社交媒体等领域的AI系统安全提供了创新性解决方案。
随着视觉数据(如图像)日益与物品关联,视觉感知推荐系统(VARS)已被广泛应用于电子商务、社交媒体和时尚等领域。然而,近年研究表明VARS易受物品图像对抗攻击的威胁,攻击者通过添加人眼难以察觉的扰动(如FGSM和PGD方法)操纵图像,导致推荐性能下降或特定物品被恶意推广。这类攻击在电子商务中可能误导消费者决策,在房地产领域可能扭曲市场认知,因此防御VARS对抗攻击成为关键安全问题。现有研究多集中于一般推荐系统(RS)的攻击防御,而针对VARS的防御策略尚缺乏系统性探索。本文填补这一空白,提出了一种联合对抗图像去噪和检测的框架,旨在同时提升模型鲁棒性和攻击检测能力。
推荐系统安全研究主要分为两类:通用RS的安全问题以及VARS中的攻击与防御。通用RS的防御策略包括鲁棒模型构建(如对抗训练)和攻击检测(如恶意用户画像识别)。在VARS中,典型模型如VBPR(Visual Bayesian Personalized Ranking)和DVBPR(Deep Visual Bayesian Personalized Ranking)通过卷积神经网络(CNN)提取图像特征并整合至推荐模型中。攻击方面,研究表明VARS易受针对图像的无目标攻击(如整体推荐性能破坏)和有目标攻击(如特定物品推广)。防御研究仍处于早期阶段,现有工作如对抗训练虽能提升鲁棒性,但未能系统结合去噪和检测策略。
本文聚焦于VARS中的无目标攻击,攻击目标是通过添加扰动δi到物品图像xi,生成对抗样本xi* = xi + δi,从而破坏用户偏好评分rui的排序。攻击约束包括扰动幅度限制(如L2范数)和图像值域保持。采用白盒攻击设定,假设攻击者完全了解模型参数和数据结构。
提出的防御框架包含三个核心组件:去噪网络、检测网络和推荐模型(以VBPR为基础)。去噪网络负责从对抗图像中重构干净图像;检测网络基于对比学习区分对抗样本和干净样本;推荐模型则使用去噪后的图像进行预测。框架设计为可插拔式,无需修改原有RS结构。
去噪网络采用包含9个残差块和1个全局视觉变换器块的结构,辅以卷积层(核尺寸3和9)。损失函数结合感知损失(基于ResNet50中间层特征比较)和内容损失(L2距离),确保去噪图像在语义和像素级均接近干净图像。推理阶段引入随机操作(如缩放和填充)以增强鲁棒性。
检测网络由ResNet50编码器和多层感知机(MLP)投影头组成,输出128维特征向量。通过构建正负样本对(如干净图像与去噪图像为正面,对抗图像与去噪图像为负面),使用InfoNCE损失训练模型,以最大化同类样本相似性、最小化异类样本相似性。检测阶段基于特征向量间的欧氏距离设定阈值(如0.2)分类对抗样本。
总损失函数整合去噪损失(Lpix + αLperc)、检测对比损失(βLcontr)和推荐损失(ξLrs),其中α、β、ξ为超参数。联合训练使去噪和检测模块相互促进,提升整体防御性能。
框架时间复杂度与VBPR相近,主要为O(K + KD),其中K为潜在因子维度,D为视觉特征维度。新增操作(去噪和检测)仅线性增加计算负担,整体效率可控。
实验使用Amazon Men和Amazon Fashion数据集,预处理后保留交互记录≥5的用户。评估指标包括HR@N和NDCG@N(N=5,10,20),检测任务使用准确率。
首先预训练VBPR模型,随后分别训练去噪网络(学习率1e-5)和检测网络。去噪网络使用FGSM和PGD生成对抗样本进行训练,检测网络基于对比学习优化。
在干净数据上,本文框架未显著降低推荐性能(HR@10仅波动±0.5%)。在FGSM攻击下,框架将HR@10从基线0.0286提升至0.4103(Amazon Men);在PGD攻击下,从近0恢复至0.0892。相比对抗训练方法(如AMR),本文框架展现出更强鲁棒性。可视化结果显示,去噪图像在视觉上与干净图像高度一致。
检测网络在多种扰动水平(?=8–64)下均保持高准确率(≥94%)。通过ROC曲线分析,阈值0.2能有效平衡真阳性率和假阳性率。对比基线方法ADDITION,本文框架能更好区分对抗噪声与高斯噪声。
去噪和检测网络呈现互补特性:大扰动时检测主导,小扰动时去噪主导。t-SNE可视化显示干净样本与对抗样本在特征空间明显分离。框架对未训练扰动水平(如?=32)仍具防御能力,体现良好可转移性。
移除检测网络导致推荐性能下降超40%;移除感知损失使检测准确率降至85.21%,验证各组件必要性。
测试了针对AIP(INSA/EXPA)和TAaMR(FGSM/PGD)等目标攻击的防御效果。框架将预测偏移(Δset)从攻击时的>2.5降低至防御后的<0.5,有效遏制目标物品排名提升。
本文提出的联合去噪与检测框架为VARS安全提供了新颖解决方案,兼顾鲁棒性和可检测性。未来工作将探索多模态攻击防御及自监督联合训练策略。该框架对电子商务、社交媒体等依赖视觉推荐的领域具有重要应用价值。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
