On the resilience of Collaborative Learning-based Recommender Systems Against Community Detection Attack

要約

協調学習ベースのレコメンダー システムは、Federated Learning (FL) や Gossip Learning (GL) などの協調学習手法の成功に続いて登場しました。
これらのシステムでは、ユーザーはデバイス上で消費したアイテムの履歴を維持しながら、レコメンダー システムのトレーニングに参加します。
これらのソリューションは一見、参加者のプライバシーを保護する点で魅力的に見えましたが、最近の研究では、共同学習がさまざまなプライバシー攻撃に対して脆弱である可能性があることが明らかになりました。
この論文では、コミュニティ検出攻撃 (CDA) と呼ばれる新しいプライバシー攻撃に対する協調学習ベースのレコメンダー システムの回復力を研究します。
この攻撃により、敵対者は、選択したアイテムのセットに基づいてコミュニティ メンバーを識別することができます (たとえば、特定の関心のある地点に興味があるユーザーを識別する)。
2 つの最先端の推奨モデルを使用した 3 つの実際の推奨データセットの実験を通じて、FL ベースの推奨システムと 2 種類のゴシップ学習ベースの推奨システムの CDA に対する感度を評価しました。
結果は、すべてのモデルとデータセットにわたって、FL 設定はゴシップ設定と比較して CDA に対してより脆弱であることを示しています。
さらに、差分プライバシー (DP) と、機密性の低いモデル パラメーターのサブセットを共有することで構成される \emph{Shareless} ポリシーという 2 つの既製の緩和戦略を評価します。
この調査結果は、特に FedRecs において、 \emph{シェアレス} 戦略の方がプライバシーとユーティリティのトレードオフが有利であることを示しています。

要約(オリジナル)

Collaborative-learning-based recommender systems emerged following the success of collaborative learning techniques such as Federated Learning (FL) and Gossip Learning (GL). In these systems, users participate in the training of a recommender system while maintaining their history of consumed items on their devices. While these solutions seemed appealing for preserving the privacy of the participants at first glance, recent studies have revealed that collaborative learning can be vulnerable to various privacy attacks. In this paper, we study the resilience of collaborative learning-based recommender systems against a novel privacy attack called Community Detection Attack (CDA). This attack enables an adversary to identify community members based on a chosen set of items (eg., identifying users interested in specific points-of-interest). Through experiments on three real recommendation datasets using two state-of-the-art recommendation models, we evaluate the sensitivity of an FL-based recommender system as well as two flavors of Gossip Learning-based recommender systems to CDA. The results show that across all models and datasets, the FL setting is more vulnerable to CDA compared to Gossip settings. Furthermore, we assess two off-the-shelf mitigation strategies, namely differential privacy (DP) and a \emph{Share less} policy, which consists of sharing a subset of less sensitive model parameters. The findings indicate a more favorable privacy-utility trade-off for the \emph{Share less} strategy, particularly in FedRecs.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google