基于扩散模型的推荐系统隐私攻击的防御方法技术方案

基于扩散模型的推荐系统隐私攻击的防御方法，包括：S1、获取推荐系统的原始数据集；S2、推荐模型训练；S3、构建成员推断模型；S4、构建基于扩散模型的噪声生成模型；S5，将高斯噪声输入至对抗噪声生成模型得到对抗噪声，再将对抗噪声输入至真实世界数据集，使其具有防御成员推断攻击的能力。本发明专利技术通过扩散模型强大的生成能力，通过在数据集中加入高斯噪声，将高斯噪声逐渐生成为对抗噪声，起到防御成员推断攻击的作用；能直接起到防御隐私防御的作用，同时保证数据集能够正常的作用于推荐系统进行推荐。行推荐。行推荐。

【技术实现步骤摘要】
基于扩散模型的推荐系统隐私攻击的防御方法


[0001]本专利技术涉及一种隐私攻击防御方法，尤其涉及一种基于扩散模型的推荐系统隐私攻击的防御方法。

技术介绍

[0002]近年来互联网的快速发展，互联网上的数据也随之快速增加，但是这使得互联网中的用户在如此庞大的数据中很难找到有用的数据，用户对于如此庞大的数据变得毫无头绪。推荐系统作为一种自动联系用户和物品的工具，能够在信息过载的环境中帮助用户发现他们感兴趣的物品，提高用户的体验。
[0003]然而推荐系统的快速发展也带来了一定的隐私安全隐患。一方面平台为了得到更准确的推荐系统，会收集更加详细的用户信息，例如，谷歌在最新的隐私政策中表示，他们会将所有服务中的信息整合到一个配置文件中。这些信息可能会被服务提供商滥用，出售给第三方或者被黑客窃取，造成大量的隐私泄露问题，严重影响用户的隐私安全。另一方面，随着深度学习的发展，恶意用户可以从最终的推荐结果中推断被推荐用户的各种隐私属性(如性别、年龄)以及用户之前的购买记录。如Zhao等人(参照文献1：Zhang M,Ren Z,Wang Z,et al.Membership inference attacks against recommender systems[C].Proceedings of the 2021 ACM SIGSAC Conference on Computer and Communications Security.2021:864
‑
879.)就通过多层感知机实现了对用户成员的推断，实现了对用户隐私的窃取。对于第一种隐私泄露问题，现在已有了大量的数据加密，保护方法，防止数据泄露。但对于基于深度学习方法的隐私数据窃取方法并没有有效的制止手段，因此急需一种新的防御手段。

技术实现思路

[0004]针对现有技术不足，本专利技术提出了一种基于扩散模型的推荐系统隐私攻击的防御方法。
[0005]为解决上述技术问题，本专利技术的技术方案为：
[0006]本专利技术实施例的第一方面提供了基于扩散模型的推荐系统隐私攻击的防御方法，所述方法包括以下步骤：
[0007]S1、获取推荐系统的原始数据集；
[0008]S2、推荐模型训练；
[0009]S21、将步骤S1获取的原始数据集进行预处理，将用户与商品之间的关系构成交易矩阵，根据用户以及商品的特征的独热编码和交易矩阵分别得到用户特征向量和商品特征向量，将数据按一定比例分成影子数据集以及目标数据集；
[0010]S22、构建推荐系统模型，这里以神经协同过滤模型(Neural Collaborative Filtering：NCF)为例，将步骤S21中的影子数据集的用户特征向量和商品特征向量进行拼接得到用户商品向量。
[0011]S23、将S22得到的用户商品向量输入NCF推荐系统中的全连接层得到点击率置信度向量。
[0012]S24、对于S23得到的点击率置信度向量与步骤S21中的影子数据集的交易矩阵作均方误差，将均方误差作为NCF模型的损失函数，通过梯度的反向传播优化NCF推荐模型，当损失函数达到收敛时，模型训练完成，根据点击率置信度向量可以得到商品推荐结果。
[0013]S3、构建成员推断模型；
[0014]S31、构建一个成员隐私推断模型，这里由两层全连接层作为输入层和隐藏层的多层感知机(Multilayer Perceptron:MLP)，利用MLP的学习的能力，学习点击率置信度向量的特征，最后得到的一维向量作为输出结果，判断用户是否参与推荐系统的训练。
[0015]S32、将步骤S21中的影子数据集和目标数据集分别输入至步骤S5得到的推荐模型，并且分别得到阴影点击率置信度向量和目标点击率置信度向量。
[0016]S33、将步骤S32得到的阴影点击率置信度向量和目标点击率置信度向量输入至MLP模型得到推断向量，向量的值为一时表示该用户参与NCF推荐系统训练，为零时表示该用户并没有参与NCF推荐系统训练。
[0017]S34、使用交叉熵损失函数作为成员推断模型的损失函数，交叉熵损失函数计算一维推断向量和类标向量(对于每个用户，若用户参与推荐系统训练则类标为1，若用户并没有参与推荐系统训练则类标为0，即在阴影数据集中的用户则为参与训练，在目标数据集中的用户则为未参与训练)之间的损失，通过梯度的反向传播降低交叉熵损失函数，当损失函数趋于收敛时得到最优成员推断模型。
[0018]S4、构建基于扩散模型的噪声生成模型；
[0019]S41、在交易矩阵中加入符合高斯噪声矩阵，生成噪声交易矩阵。构建基于扩散模型的对抗噪声生成模型，扩散模型由三层多通道图神经网络构成，其输入由高斯噪声构成的邻接矩阵，其最终能够生成符合目标的矩阵。将噪声交易矩阵输入对抗噪声生成模型，其输出得到对抗防御交易矩阵。
[0020]S42、通过对抗防御交易矩阵与用户以及商品特征得到用户对抗向量以及商品对抗向量
[0021]S43、将S42得到的用户对抗向量输入至S24训练完成的NCF推荐系统模型，输出得到点击率置信度对抗向量。
[0022]S44、将S43得到的点击率置信度对抗向量输入至S34训练完成成员推断模型，输出得到对抗推断向量。
[0023]S45、将S44得到的点击率置信度向量与步骤S21中的影子数据集作均方差，将S44得到的对抗推断向量与S34中的类标向量作交叉熵。将均方差减去交叉熵作为损失函数，通过梯度的反向传播优化对抗噪声生成模型，当交叉熵损失函数收敛时，得到最优的对抗噪声生成模型。
[0024]S5，将高斯噪声输入至对抗噪声生成模型得到对抗噪声，再将对抗噪声输入至真实世界数据集，使其具有防御成员推断攻击的能力。
[0025]本专利技术首先通过在用户隐私中随机生成噪声，其次依靠扩散模型强大的生成能力不断优化生成的噪声，通过噪声实现对隐私窃取模型的误导，最终实现对隐私窃取攻击的防御。其主要思想就是利用扩散模型强大的生成能力的同时，针对隐私推断模型去优化生
成的噪声，使得最终带有噪声的数据能够准确的防止其被隐私窃取模型正确的推断，从而起到隐私保护的作用。
[0026]本专利技术的有益效果为：对于现有类型的大部分推荐系统隐私攻击方法，提出了一种推荐系统成员推断的防御方法。通过扩散模型强大的生成能力，通过在数据集中加入高斯噪声，将高斯噪声逐渐生成为对抗噪声，起到防御成员推断攻击的作用。该方法能直接起到防御隐私防御的作用，同时保证数据集能够正常的作用于推荐系统进行推荐。
附图说明
[0027]图1是本专利技术方法的流程图；
[0028]图2是本专利技术方法的基于扩散模型噪声生成模型.
具体实施方式
[0029]下面结合附图，对本专利技术进行详细说明。在不冲突的情况下，下述的实施例及实施方式中的特征可以相互组合。
[0030]本专利技术的技术构思为：对于一个电影推荐系统，其基本功能是能够实现对用户的电影推荐本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于扩散模型的推荐系统隐私攻击的防御方法，包括以下步骤：S1、获取推荐系统的原始数据集；S2、推荐模型训练；S21、将步骤S1获取的原始数据集进行预处理，将用户与商品之间的关系构成交易矩阵，根据用户以及商品的特征的独热编码和交易矩阵分别得到用户特征向量和商品特征向量，将数据按一定比例分成影子数据集以及目标数据集；S22、构建推荐系统模型，这里以神经协同过滤模型(Neural Collaborative Filtering：NCF)为例，将步骤S21中的影子数据集的用户特征向量和商品特征向量进行拼接得到用户商品向量；S23、将S22得到的用户商品向量输入NCF推荐系统中的全连接层得到点击率置信度向量；S24、对于S23得到的点击率置信度向量与步骤S21中的影子数据集的交易矩阵作均方误差，将均方误差作为NCF模型的损失函数，通过梯度的反向传播优化NCF推荐模型，当损失函数达到收敛时，模型训练完成，根据点击率置信度向量可以得到商品推荐结果；S3、构建成员推断模型；S31、构建一个成员隐私推断模型，这里由两层全连接层作为输入层和隐藏层的多层感知机(Multilayer Perceptron:MLP)，利用MLP的学习的能力，学习点击率置信度向量的特征，最后得到的一维向量作为输出结果，判断用户是否参与推荐系统的训练；S32、将步骤S21中的影子数据集和目标数据集分别输入至步骤S5得到的推荐模型，并且分别得到阴影点击率置信度向量和目标点击率置信度向量；S33、将步骤S32得到的阴影点击率置信度向量和目标点击率置信度向量输入至MLP模型得到推断向量，向量的值为一时表示该用户参与NCF推荐系统训练，为零时表示该用户并没有参与NCF推荐系统训练；S34、使用交叉熵损失函数作为成员推断模型的损失函数，交叉熵损失函数计算一维推断向量和类标向量(对于每个用户，若用户参与推荐系统训练则类标为1，若用户并没有参与推荐系统训练则类标为0，即在阴影数据集中的用户则为参与训练，在目标数据集中的用户则为未参与训练)之间的损失，通过梯度的反向传播降低交叉熵损失函数，当损失函数趋于收敛时得到最优成员推断模型；S4、构建基于扩散模型的噪声生成模型；S41、在交易矩阵中加入符合高斯噪声矩阵，生成噪声交易矩阵；构建基于扩散模型的对抗噪声生成模型，扩散模型由三层多通道图神经网络构成，其输入由高斯噪声构成的邻接矩阵，其最终能够生成符合目标的矩阵；将噪声交易矩阵输入对抗噪声生成模型，其输出得到对抗防御交易矩阵；S42、通过对抗防御交易矩阵与用户以及商品特征得到用户对抗向量以及商品对抗向量；S43、将S42得到的用户对抗向量输入至S24训练完成的NCF推荐系统模型，输出得到点击率置信度对抗向量；S44、将S43得到的点击率置信度对抗向量输入至S34训练完成成员推断模型，输出得到对抗推断向量；
S45、将S44得到的点击率置信度向量与步骤S21中的影子数据集作均方差，将S44得到的对抗推断向量与S34中的类标向量作交叉熵；将均方差减去交叉熵作为损失函数，通过梯度的反向传播优化对抗噪声生成模型，当交叉熵损失函数收敛时，得到最优的对抗噪声生成模型；S5，将高斯噪声输入至对抗噪声生成模型得到对抗噪声，再将对抗噪声输入至真实世界数据集，使其具有防御成员推断攻击的能力。2.如权利要求1所述的基于扩散模型的推荐系统隐私攻击的防御方法，其特征在于：步骤S1具体包括：获取的原始数据集选自MovieLens数据集、Amazon数据集；该原始数据集为针对商品推荐任务，其由三个文件构成即用户交易记录、用户特征、商品特征，其中用户交易记录文件的第一列表示用户，第二列表示商品，第三列表示该行用户对该行商品的评分，评分的高低代表用户对商品的喜欢程度。用户特征以及商品特征的每行分别表示用户的特征以及商品的特征。3.如权利要求1所述的基于扩散模型的推荐系统隐私攻击的防御方法，其特征在于：步骤S2具体包括：S21、将步骤S1获取的原始数据集进行预处理，将用户与商品之间的关系构成交易矩阵M
e
∈(u+i)*(u+i)，即，若用户u1对电影i1进行过评价则M(u1,u+i1)＝1反之则为零；其次，取交易文件的第三列...

【专利技术属性】
技术研发人员：陈晋音，马浩男，郑海斌，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：