33. 道高一尺魔高一丈：推荐系统的攻防.pdfVIP

毫无疑问，推荐系统是一种流量操控手段，所以其运转需要满足平台方的利益。 为了这个目的，推荐系统通过科学的手段建立起一套运转规则和逻辑，希望平台 内的各方能够皆大欢喜，物品生产方能源源不断地生产物品，消费方能孜孜不倦 地消费。 当然这里的物品和消费都是泛指，物品可以是内容、商品、娱乐方式、甚至是人 等等，消费也不定是直接掏钱，花时间也是一种消费。 既然推荐系统是某一方流量诸侯的运转规则，那么就不能不考虑到在其诸侯封地 之内会有刁民闹事、钻营规则的漏洞，从而达到自己的目的。 攻和防 用行话说，就是推荐系统也会受到攻击，推荐系统也是一种软件，只要是软件， 就一定有安全问题，推荐系统也不能免俗。 如果推荐系统非常脆弱，容易受到攻击，那么推荐系统就不是为平台利益而运转， 而是为攻击者利益而运转，推荐系统不过是个傀儡，前面讲到的那么多酷炫的算 法也就成了摆设，想必正在听课的你会瑟瑟发抖吧？ 让前面讲到的所有算法、架构起到它该起的作用；让那些指标数据反映真实的效 果，这两件事都很重要。推荐系统如果被攻击也就需要被防护，因此，我今天就 和你讨论一下推荐系统的攻防这个略带黑色的话题。 攻击 知己知彼，百战不殆。要更好地守护你的推荐系统，就需要先了解别人会怎么攻 击你的推荐系统。在推荐系统攻防研究领域，被研究得最为彻底的就是针对协同 过滤的攻防。 为什么呢？一方面是协同过滤本身就应用广泛，另一方面是针对协同过滤的攻击 容易生效。 我们先概略认识一下推荐系统的攻击是怎么回事，然后再认识一下攻击怎么做。 有人对身为流量控制器的推荐系统攻击，并不是他吃饱了没事做，来帮你测试系 统，根据“无利不起早”这条社会公理，攻击方一定是想扶持或者打压某些物品， 从而获得他想要的个人利益。 攻击方要扶持一个物品，就想要推荐算法在计算他的评分时给出高分，想要打压 一个物品，就要反之行事。 不论目的是扶持还是打压，都需要先达到操纵选民的目的，你知道的，协同过滤， 无论是基于物品还是基于用户，都是群体智慧，也就是说需要有投票过程。 所以攻击协同过滤，核心问题在于如何操纵选民。选民有两种，一种是用户，一 种是物品，前者是基于用户的协同过滤所需要的，后者是基于物品的协同过滤所 需要的。 现在，从一个简单例子开始，你和我一起来思考，如何攻击基于用户的协同过滤 算法。 我们先回顾一下它的原理，首先计算出用户之间的相似度，在给一个用户计算推 荐结果时，让相似的用户集体决策，其背后的思想也很直接：人以群分，与你口 味相似的人给你推荐的结果你会喜欢。 那么攻击任务就是，要让自己扶持的物品在推荐算法决定是否要推荐给一个用户 时，得到高分。 方法就是操纵选民，这里的选民就是和被欺骗用户相似的用户，被欺骗用户肯定 是吃瓜群众，也是攻击方的利益攫取，所以不会成为被操纵的选民。 通常的手段就是，批量制造假用户资料，并装作是与被欺骗用户兴趣相投的人。 这叫做托攻击或者 Shilling Attacks ，托也就是水军，名字很形象有没有？ 具体怎么制造这批选民呢？首先，攻击者会注册一批用户，这部分用户就是攻击 者可以操纵的选民，然后让这批用户去做出和被欺骗用户一样的历史评分行为。 被欺骗的用户打高分的物品，这批水军也打高分，这样一来就可以在计算用户相 似度时，这一批新注册的用户都和那个用户有较高的相似度，从而就变成了参与 推荐算法计算时的选民，也就可以给扶持的物品打高分或者给打压的物品打低分。 只不过，针对一个吃瓜群众做这些事情显然是一个不划算的事情，所以攻击者会 先找到目标用户群体，针对目标用户群体来做这些事，这样一来就可以把扶持的 物品推荐给这个群体，让打压的物品从这个群体面前消失。 攻击者在伪造用户兴趣时，除了要做出和被欺骗用户相似的历史行为之外，还要 做出掩人耳目的行为，以防止被平台发现，所以还会给一些无关的物品打分。至 此，一个简单的攻击过程完成了。 总结一下，攻击手段包含这些元素。 1. 目标物品，就是攻击方要扶持或者打压的那个物品。 2. 助攻物品，就是用来构造假的相似用户所需要的物品。 3. 陪跑物品，就是用来掩饰造假的物品。 三类物品构成一个靶子，靶心是攻击者要拿下的，层层包围，示意如下。 其中，根据对最外环物品的评分构造方法不同，可以把攻击分为两种。 1. 随机攻击。随机攻击就是在上面示意图中，构造最外环“陪跑物品”评分时， 采用随机打分方式生成。随机打分就是用全局平均分构造一个正态分布，给无关 物品打分时，用这个正态分布产生一个随机分值。 2. 平均分攻击。平均分攻击也是用在最外环物品中，给他们打每个物品的平