推荐系统安全攻防全景分析：模型演进、检测进展与发展趋势

《IEEE Transactions on Knowledge and Data Engineering》：Attacks and Detections in Recommender Systems: A Comprehensive Analysis for Models, Progresses, and Trends

【字体：大中小】 时间：2025年12月16日 来源：IEEE Transactions on Knowledge and Data Engineering 10.4

编辑推荐：

　　本文针对推荐系统(RSs)长期面临的数据注入攻击威胁，系统梳理了攻击模型与检测技术的研究进展。作者从攻击目标、安全与隐私威胁、先验知识利用等维度对攻击策略(AS)进行重新分类，同时提出基于统计行为表征、隐特征检测和关联挖掘等五类防御方法(DM)。研究首次系统关联了攻击特征与防御策略，并重点关注真实无标签数据场景下的异常取证分析，为推荐系统安全研究提供了新的理论框架和实践指导。该综述还建立了开源资源库，推动领域内实验复现与比较研究。

在信息爆炸的时代，用户常常被海量数据淹没而难以决策。作为解决信息过载问题的重要工具，推荐系统(RSs)能够根据用户交互历史、上下文信息或额外知识来估计用户对物品的偏好并生成个性化建议。从亚马逊、谷歌到YouTube、TikTok等在线服务平台，推荐系统的个性化服务能力已获得广泛认可。据Mordor Intelligence报告预测，推荐引擎市场规模将从2025年的91.5亿美元增长至2030年的381.8亿美元，年复合增长率达33.06%。

然而，新技术的涌现、应用场景的拓展以及需求的多样化在为推荐系统提供广阔应用前景的同时，其开放性和固有脆弱性也让攻击者有了可乘之机。攻击者通过向推荐系统注入精心设计的虚假数据来操纵推荐结果，以实现特定攻击目标。在电子商务领域，攻击者制造热门商品与劣质商品间的虚假关联，误导推荐系统向目标用户推送劣质商品；在金融领域，通过虚假广告吸引用户投资以获取非法利益；在教育领域，对特定课程或教材进行虚假评分以夸大课程价值；在新闻传播领域，操纵目标新闻的排名以影响传播效果。这些攻击行为严重偏离了推荐系统连接生产者与消费者的初衷，因此其安全问题受到学术界和工业界的广泛关注。

为了系统分析推荐系统安全领域的发展脉络，本文作者将安全演进分为两个主要阶段：推荐系统安全的初始阶段，该阶段的攻击策略(AS)和防御方法(DM)相对简单，攻击模型以随机攻击、平均攻击和跟风攻击等配置文件注入攻击为代表，防御方面则主要依赖基于数值统计的特征分析方法；推荐系统安全的发展阶段，随着攻击模型开始呈现多样化和隐蔽性特点，防御方法的局限性逐渐显现，为了应对更复杂隐蔽的攻击行为，检测方法开始关注模型的泛化能力，同时针对真实无标签数据的异常检测和取证分析成为当前研究重点。

与2014-2025年间发表的相关综述相比，本文的创新性体现在四个方面：首次在统一框架内系统比较攻击与防御工作，避免读者对攻防演进产生片面理解；深入分析已有防御手段的攻击方法的防御潜力，并对尚未有效防御的攻击方法进行系统性的防御潜力分析；系统讨论真实场景下的异常检测与取证问题，验证防御策略在实际环境中的可部署性和有效性；关注影响研究可复现性的关键要素，为后续工作的公平比较和结果复现提供支持。

为了开展这项综述工作，作者聚焦2018-2025年间的相关研究，包括101篇攻击研究论文和130篇防御研究论文。为确保覆盖领域内最新学术成果，他们依托计算机科学书目数据库（如DBLP和Scopus）进行文献检索，同时使用Google Scholar补充相关论文。为捕捉最有影响力的前沿研究，主要关注顶级会议和期刊上发表的论文，同时收录arXiv上的预印本论文。

在关键技术方法方面，研究人员主要从攻击和防御两个维度展开分析。攻击模型重点关注攻击目标、安全与隐私、先验知识等不同维度的攻击策略，防御方法则涵盖基于统计的行为表征、基于隐特征的检测、隐私攻击防护、基于关联挖掘的异常发现以及真实数据异常取证等五类技术路线。

研究结果表明，推荐系统安全领域目前存在多个研究空白和未来方向。攻击方面面临高隐蔽攻击的挑战，现有研究方法主要关注推荐系统的可用性攻击，一定程度上忽视了攻击行为的隐蔽性；用户隐私攻击的挑战，尽管差分隐私和数据匿名化能有效防止隐私泄露，但推荐系统的输入输出仍会暴露用户的少量敏感信息；针对基于大语言模型推荐系统攻击的挑战，大语言模型在推荐系统中的广泛应用为攻击者提供了新的攻击策略；侧信道信息整合的挑战，随着防御机制的日益成熟，基于评分行为的攻击方法难以达到预期效果。

防御方面则存在异常检测的必要性，当前检测机制高度依赖大量原始评分数据，易导致数据不平衡问题并受到噪声数据干扰；统一检测机制的需求，现有防御方法主要针对特定类型的推荐系统，在不同推荐系统间的可迁移性相当有限；攻击目标早期识别的重要性，高隐蔽攻击通常通过多阶段、深层次渗透方式构成威胁，传统的基于隐特征的单一检测机制在处理此类攻击时表现出明显局限性；真实数据适用性的挑战，当前检测方法主要依赖合成数据验证其有效性，但合成数据往往无法还原真实数据的复杂性。

研究人员通过异常取证分析验证防御方法在真实数据中的有效性。针对在线推荐系统中的各种恶意攻击，研究者提出了基于耦合网络因子图模型的统一检测框架，该框架首先根据用户固有评分动机和耦合网络原子传播规则，从原始评分矩阵构建关联图，然后利用耦合网络因子图模型评估耦合关联网络中目标网络链接行为的可信度，重新确定目标网络中的相关链接，最后基于经验分析综合评估目标网络中链接和节点的可信度来推断可疑用户和物品。

针对在线评论推荐系统中的垃圾信息发送者，研究者提出了基于半监督学习的混合检测模型，通过利用用户特征以及用户与物品之间的关系，该模型可以迭代检测多种类型的垃圾信息发送者，并在半监督混合学习框架下构建分类器，最终获得预测类别概率，成功发现亚马逊数据中隐藏的垃圾信息发送者及其潜在雇主。

研究结论强调，与依赖模拟数据的方法相比，异常取证能够从真实数据中获取未经证实的异常行为洞察，增强防御模型的泛化能力。然而，当前可用的真实数据来源有限，真实推荐系统中原始未处理的数据几乎不存在，这需要研究人员自行收集。同时，异常取证分析尚未形成统一标准，因此急需一些通用评估指标来分析真实数据中的异常行为。

本研究通过系统梳理推荐系统的现有攻击与防御方法，为深入理解推荐系统安全性提供了全面的发展视角。威胁模型的引入为分析推荐系统安全问题奠定了理论基础，95种攻击方法和130种相应防御方法的系统总结为领域研究提供了清晰框架。通过攻击与防御的关联讨论，揭示了二者之间的内在联系，获得了更深层次的研究见解。开源资源库的建立为推荐系统安全研究拓展深度和广度提供了平台，而对当前研究局限性的总结和未来方向的展望则为研究者提供了指导和参考。

这项研究的重要意义在于为推荐系统安全领域建立了统一的分析框架，首次系统性地将攻击特征与防御策略进行关联，对推动推荐系统安全研究的深入发展具有重要理论价值和实践指导意义。特别是在真实场景异常取证方面的探索，为推荐系统安全防护在实际应用中的落地提供了新的思路和方法。

热点排行

新闻专题