Few-shot Model Extraction Attacks against Sequential Recommender Systems

要約

逐次推薦システムに対する敵対的攻撃のうち、モデル抽出攻撃は、事前知識なしに逐次推薦モデルを攻撃する手法の代表的なものである。
既存の研究は主に、データフリーのモデル抽出による敵対者のブラックボックス攻撃の実行に焦点を当ててきました。
ただし、数ショットの生データ (10% 未満) にアクセスする攻撃者による代理モデルの開発に関する文献には、大きなギャップが残っています。
つまり、少数ショット データ シナリオのコンテキスト内で機能的類似性の高いサロゲート モデルをどのように構築するかという課題は、依然として解決が必要な問題です。この研究では、逐次レコメンダーに対する新しい少数ショット モデル抽出フレームワークを導入することで、このギャップに対処しています。
、数ショット データを利用して優れたサロゲート モデルを構築するように設計されています。
提案された少数ショット モデル抽出フレームワークは、自己回帰拡張生成戦略と双方向修復損失促進モデル蒸留手順の 2 つのコンポーネントで構成されます。
具体的には、生データの分布に非常に近い合成データを生成するために、自己回帰拡張生成戦略は、固有の依存関係を抽出するための確率的相互作用サンプラーと、ユーザーの行動パターンを特徴付けるための合成決定要因信号モジュールを統合します。
その後、推奨リスト間の不一致を対象とする双方向修復損失が、代理モデルからの誤った予測を修正するための補助損失として設計され、被害者モデルから代理モデルに知識を効果的に転送します。
3 つのデータセットに対する実験では、提案された少数ショット モデル抽出フレームワークが優れた代理モデルを生成することが示されています。

要約(オリジナル)

Among adversarial attacks against sequential recommender systems, model extraction attacks represent a method to attack sequential recommendation models without prior knowledge. Existing research has primarily concentrated on the adversary’s execution of black-box attacks through data-free model extraction. However, a significant gap remains in the literature concerning the development of surrogate models by adversaries with access to few-shot raw data (10\% even less). That is, the challenge of how to construct a surrogate model with high functional similarity within the context of few-shot data scenarios remains an issue that requires resolution.This study addresses this gap by introducing a novel few-shot model extraction framework against sequential recommenders, which is designed to construct a superior surrogate model with the utilization of few-shot data. The proposed few-shot model extraction framework is comprised of two components: an autoregressive augmentation generation strategy and a bidirectional repair loss-facilitated model distillation procedure. Specifically, to generate synthetic data that closely approximate the distribution of raw data, autoregressive augmentation generation strategy integrates a probabilistic interaction sampler to extract inherent dependencies and a synthesis determinant signal module to characterize user behavioral patterns. Subsequently, bidirectional repair loss, which target the discrepancies between the recommendation lists, is designed as auxiliary loss to rectify erroneous predictions from surrogate models, transferring knowledge from the victim model to the surrogate model effectively. Experiments on three datasets show that the proposed few-shot model extraction framework yields superior surrogate models.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google