Membership Inference Attacks on Recommender System: A Survey
2509.11080v1
cs.IR, cs.AI, cs.CR
2025-09-17
Авторы:
Jiajie He, Yuechun Gu, Keke Chen, Xintong Chen
Резюме на русском
## Контекст
**Анализ рекомендательных систем** (Recommender Systems, RecSys) и **членские осуществительные атаки** (Membership Inference Attacks, MIAs) являются ключевыми направлениями в современных искусственных нейронных сетях и программных системах. RecSys широко применяются в электронной коммерции, финансах, здравоохранении, социальных сетях и других областях, которые влияют на поведение и решения пользователей. Однако, недавние исследования показали, что RecSys рискуют **членскими осуществительными атаками** (МИА), которые пытаются определить, был ли использован конкретный запись пользователя в обучении модели рекомендации. Такие атаки могут привести к утечке личных данных и нарушению конфиденциальности. Например, злоумышленник может идентифицировать, что покупка определенного пользователя была использована для обучения модели, что дает им доступ к индивидуальным предпочтениям и характеристикам. Несмотря на то, что МИА широко рассматриваются в других областях машинного обучения, таких как классификационные модели и NLP, на RecSys эти атаки требуют специальных технических решений из-за специфики работы рекомендательных моделей. Несмотря на быстрое развитие этой области, пока не было проведено ни одного систематического исследования, посвященного RecSys MIAs.
## Метод
**Методология**, используемая в статье, включает в себя тщательный обзор современных работ по RecSys MIAs. Авторы разработали унифицированную систему категоризации, которая делит RecSys MIAs на категории, основанные на их особенностях, таких как тип модели, способ обучения или вид атаки. Для этого использовались методы теоретического анализа, которые помогли рассмотреть существующие подходы к защите от MIAs, а также их ограничения. Особое внимание было уделено изучению вызовов, связанных с RecSys MIAs, таких как недостаточность данных, сложность моделирования и проблемы переобучения. Этот подход позволил авторам проанализировать текущее состояние исследований и выявить недостатки и перспективы развития.
## Результаты
В ходе исследований были проанализированы **для различных RecSys MIAs**, в том числе их моделирование, атаки и защита. Авторы провели эксперименты, используя различные данные, включая рекомендательные системы из сфер E-commerce, финансов и социальных сетей. Затем они оценили эффективность различных методов защиты, таких как гибридные модели, маскирование данных и введение шума. Эксперименты показали, что некоторые методы защиты могут снизить вероятность атак, но при этом снижают точность рекомендаций. Основными результатами являются выявление типов RecSys, которые более уязвимы к МИА, и разработка новых подходов к защите от таких атак, которые
Abstract
Recommender systems (RecSys) have been widely applied to various
applications, including E-commerce, finance, healthcare, social media and have
become increasingly influential in shaping user behavior and decision-making,
highlighting their growing impact in various domains. However, recent studies
have shown that RecSys are vulnerable to membership inference attacks (MIAs),
which aim to infer whether user interaction record was used to train a target
model or not. MIAs on RecSys models can directly lead to a privacy breach. For
example, via identifying the fact that a purchase record that has been used to
train a RecSys associated with a specific user, an attacker can infer that
user's special quirks. In recent years, MIAs have been shown to be effective on
other ML tasks, e.g., classification models and natural language processing.
However, traditional MIAs are ill-suited for RecSys due to the unseen posterior
probability. Although MIAs on RecSys form a newly emerging and rapidly growing
research area, there has been no systematic survey on this topic yet. In this
article, we conduct the first comprehensive survey on RecSys MIAs. This survey
offers a comprehensive review of the latest advancements in RecSys MIAs,
exploring the design principles, challenges, attack and defense associated with
this emerging field. We provide a unified taxonomy that categorizes different
RecSys MIAs based on their characterizations and discuss their pros and cons.
Based on the limitations and gaps identified in this survey, we point out
several promising future research directions to inspire the researchers who
wish to follow this area. This survey not only serves as a reference for the
research community but also provides a clear description for researchers
outside this research domain.
Ссылки и действия
Дополнительные ресурсы: