由于推荐系统（RS）在指导客户进行购买中的关键作用，因此有自然的动力，不道德的政党为利润做出欺骗。在本文中，我们研究了先令攻击，在该攻击中，对抗方为不适当的目的注入了许多假用户配置文件。常规的先令攻击方法缺乏攻击性转移性（即，攻击对某些受害者RS模型无效）和/或攻击隐形性（即，很容易检测到注射的配置文件）。为了克服这些问题，我们提出了基于生成对抗网络的新型攻击模型。 Leg-Up从采样``模板''中从真实用户那里学习用户行为模式，并构建了伪造的用户配置文件。为了模拟真实的用户，Lige-Up中的发电机直接输出离散评级。为了增强攻击传递性，通过在替代RS模型上最大化攻击性能来优化生成器的参数。为了提高攻击的隐形性，Leg-Up采用歧视器来指导发电机生成无法检测到的假用户配置文件。基准测试的实验表明，在广泛的受害者RS模型上，腿部超过了最先进的先令攻击方法。我们工作的源代码可在以下网址提供：https：//github.com/xmudm/shillingattack。

最近的研究表明，基于神经网络的深度推荐系统容易受到对抗性攻击的影响，攻击者可以将精心制作的虚假用户配置文件（即，伪造用户与之互动的一组项目）注入目标推荐系统，以实现恶意目的，例如促进或降低一组目标项目。由于安全性和隐私问题，在黑框设置下执行对抗性攻击更为实用，在黑框设置下，攻击者无法轻松访问目标系统的体系结构/参数和培训数据。但是，在Black-Box设置下生成高质量的假用户配置文件，对于目标系统的资源有限，这是一项挑战。为了应对这一挑战，在这项工作中，我们通过利用项目的属性信息（即项目知识图）引入了一种新颖的策略，这些信息可以公开访问并提供丰富的辅助知识来增强伪造用户配置文件的产生。更具体地说，我们提出了一项知识增强的黑框攻击框架（KGATTACK），以通过深度强化学习技术有效地学习攻击政策，其中知识图无缝集成到层次结构策略网络中，以生成伪造的用户配置文件，以表演对抗性黑色 - 黑色 - - 黑色 - 黑色 - 盒子攻击。在各种现实世界数据集上进行的全面实验证明了在黑框设置下提出的攻击框架的有效性。

随着深度学习技术扩展到现实世界推荐任务，已经开发出许多深度神经网络的协作滤波（CF）模型基于各种神经结构，例如多层的神经架构将用户项目交互项目投影到潜伏特征空间中Perceptron，自动编码器和图形神经网络。然而，大多数现有的协作过滤系统不充分设计用于处理缺失的数据。特别是，为了在训练阶段注入负信号，这些解决方案很大程度上依赖于未观察到的用户项交互，并且简单地将它们视为负实例，这带来了推荐性能下降。为了解决问题，我们开发了一个协作反射增强的AutoEncoder网络（Cranet），它能够探索从观察到和未观察的用户项交互的可转移知识。 Cranet的网络架构由具有反射接收器网络的集成结构和信息融合自动统计器模块形成，其推荐框架具有在互动和非互动项目上编码隐式用户的成对偏好的能力。另外，基于参数正规化的捆绑重量方案旨在对两级颅骨模型进行鲁棒联合训练。我们终于在对应于两个推荐任务的四个不同基准数据集上进行了实验验证了Cranet，以表明，与各种最先进的推荐技术相比，脱叠用户项交互的负信号提高了性能。我们的源代码可在https://github.com/akaxlh/cranet上获得。

这项调查旨在全面概述用户与推荐系统之间的相互作用和M＆S应用程序之间的相互作用的最新趋势（M＆S），以改善工业推荐引擎的性能。我们从实施模拟器的框架开发的动机开始，以及它们用于培训和测试不同类型（包括强化学习）的推荐系统的使用。此外，我们根据现有模拟器的功能，认可和工业有效性提供了新的一致分类，并总结了研究文献中发现的模拟器。除其他事情外，我们还讨论了模拟器的构建块：合成数据（用户，项目，用户项目响应）的生成，用于模拟质量评估的方法和数据集（包括监视的方法）和/或关闭可能的模拟到现实差距），以及用于汇总实验仿真结果的方法。最后，这项调查考虑了该领域的新主题和开放问题。

受到计算机愿景和语言理解的深度学习的巨大成功的影响，建议的研究已经转移到发明基于神经网络的新推荐模型。近年来，我们在开发神经推荐模型方面目睹了显着进展，这概括和超越了传统的推荐模型，由于神经网络的强烈代表性。在本调查论文中，我们从建议建模与准确性目标的角度进行了系统审查，旨在总结该领域，促进研究人员和从业者在推荐系统上工作的研究人员和从业者。具体而具体基于推荐建模期间的数据使用，我们将工作划分为协作过滤和信息丰富的建议：1）协作滤波，其利用用户项目交互数据的关键来源; 2）内容丰富的建议，其另外利用与用户和项目相关的侧面信息，如用户配置文件和项目知识图; 3）时间/顺序推荐，其考虑与交互相关的上下文信息，例如时间，位置和过去的交互。在为每种类型审查代表性工作后，我们终于讨论了这一领域的一些有希望的方向。

With rapid progress and significant successes in a wide spectrum of applications, deep learning is being applied in many safety-critical environments. However, deep neural networks have been recently found vulnerable to well-designed input samples, called adversarial examples. Adversarial perturbations are imperceptible to human but can easily fool deep neural networks in the testing/deploying stage. The vulnerability to adversarial examples becomes one of the major risks for applying deep neural networks in safety-critical environments. Therefore, attacks and defenses on adversarial examples draw great attention. In this paper, we review recent findings on adversarial examples for deep neural networks, summarize the methods for generating adversarial examples, and propose a taxonomy of these methods. Under the taxonomy, applications for adversarial examples are investigated. We further elaborate on countermeasures for adversarial examples. In addition, three major challenges in adversarial examples and the potential solutions are discussed.

在过去的几年中，已经提出了针对推荐系统的各种攻击方法，并且推荐系统的安全问题引起了极大的关注。传统攻击试图通过毒害培训数据来使目标物品推荐给尽可能多的用户。从保护用户的私人数据的功能中，联邦建议可以有效地捍卫此类攻击。因此，很多作品致力于开发联合推荐系统。为了证明当前的联合建议仍然很容易受到伤害，在这项工作中，我们探究了针对联合学习方案中基于深度学习的建议模型的设计攻击方法。具体而言，我们的攻击会产生中毒的梯度，以根据两种策略（即随机近似和硬用户挖掘）上传操纵的恶意用户。广泛的实验表明，我们精心设计的攻击可以有效地毒害目标模型，并且攻击效率为最新的攻击效果。

由于它们在各个域中的大量成功，深入的学习技术越来越多地用于设计网络入侵检测解决方案，该解决方案检测和减轻具有高精度检测速率和最小特征工程的未知和已知的攻击。但是，已经发现，深度学习模型容易受到可以误导模型的数据实例，以使所谓的分类决策不正确（对抗示例）。此类漏洞允许攻击者通过向恶意流量添加小的狡猾扰动来逃避检测并扰乱系统的关键功能。在计算机视觉域中广泛研究了深度对抗学习的问题;但是，它仍然是网络安全应用中的开放研究领域。因此，本调查探讨了在网络入侵检测领域采用对抗机器学习的不同方面的研究，以便为潜在解决方案提供方向。首先，调查研究基于它们对产生对抗性实例的贡献来分类，评估ML的NID对逆势示例的鲁棒性，并捍卫这些模型的这种攻击。其次，我们突出了调查研究中确定的特征。此外，我们讨论了现有的通用对抗攻击对NIDS领域的适用性，启动拟议攻击在现实世界方案中的可行性以及现有缓解解决方案的局限性。

节点注入对图神经网络（GNN）的攻击已作为一种实际的攻击场景而引起了人们的注意，攻击者会注入恶意节点，而不是修改节点功能或边缘以降低GNN的性能。尽管节点注射攻击最初取得了成功，但我们发现，通过防御方法，可以通过防御方法和限制其在实践中限制其攻击性能，从而很容易将注射的节点与原始正常节点区分开。为了解决上述问题，我们致力于伪装节点注入攻击，即伪装注入恶意节点（结构/属性）是对防御方法似乎合理/不察觉的普通淋巴结。图形数据的非欧亚人性质和缺乏人类的先验性质给伪装上伪装的形式化，实施和评估带来了巨大挑战。在本文中，我们首先提出并制定了从注射节点围绕的自我网络的忠诚度和多样性中注入的节点的伪装。然后，我们为节点注射攻击（即Cana）设计了一个对抗性伪装框架，以改善伪装，同时确保攻击性能。进一步设计了几种用于图形伪装的新型指标，以进行全面的评估。实验结果表明，当将现有的节点注入攻击方法与我们提出的CANA框架配置时，针对防御方法的攻击性能以及节点伪装将显着改善。

图表神经网络，一种流行的模型，在各种基于图形的学习任务中有效，已被证明易受对抗攻击的影响。虽然大多数文献侧重于节点级分类任务中的这种脆弱性，但很少努力致力于分析对图形级分类的对抗攻击，这是生物化学和社会网络分析等众多现实生活应用的重要问题。少数现有方法通常需要不切实际的设置，例如访问受害者模型的内部信息，或者是一个不切实际的查询。我们提出了一种新型贝叶斯优化的攻击方法，用于图形分类模型。我们的方法是黑匣子，查询效率和涉及扰动的效率和解析。我们经验验证了所提出的方法对涉及不同图形属性，约束和攻击方式的图形分类任务的效果和灵活性。最后，我们分析了产生的对手样本后面的常见可解释模式，这可能会在图形分类模型的对抗鲁棒性上流出进一步的光。

推荐系统已广泛应用于不同的应用领域，包括能量保存，电子商务，医疗保健，社交媒体等。此类应用需要分析和挖掘大量各种类型的用户数据，包括人口统计，偏好，社会互动等，以便开发准确和精确的推荐系统。此类数据集通常包括敏感信息，但大多数推荐系统专注于模型的准确性和忽略与安全性和用户隐私相关的问题。尽管使用不同的风险减少技术克服这些问题，但它们都没有完全成功，确保了对用户的私人信息的密码安全和保护。为了弥合这一差距，区块链技术作为推动推荐系统中的安全和隐私保存的有希望的策略，不仅是因为其安全性和隐私性突出特征，而且由于其恢复力，适应性，容错和信任特性。本文介绍了涵盖挑战，开放问题和解决方案的基于区块链的推荐系统的整体综述。因此，引入了精心设计的分类，以描述安全和隐私挑战，概述现有框架并在使用区块链之前讨论其应用程序和利益，以指示未来的研究机会。

推荐系统（RSS）旨在帮助用户从大型目录中有效检索其兴趣的项目。在很长一段时间内，研究人员和从业人员一直专注于开发准确的RSS。近年来，来自攻击，系统和用户产生的噪音，系统偏见的RSS威胁越来越多。结果，很明显，严格关注RS准确性是有限的，研究必须考虑其他重要因素，例如值得信赖。对于最终用户而言，值得信赖的RS（TRS）不仅应该是准确的，而且应该是透明，无偏见，公平的，并且对噪音或攻击也有牢固的态度。这些观察结果实际上导致了RSS研究的范式转移：从面向准确的RSS到TRS。但是，研究人员缺乏对这一小说和快速发展的TRS领域中文献的系统概述和讨论。为此，在本文中，我们提供了TRS的概述，包括讨论TRS的动机和基本概念，构建TRS的挑战的介绍以及该领域未来方向的观点。我们还提供了一个新颖的概念框架来支持TRS的构建。

Video classification systems are vulnerable to adversarial attacks, which can create severe security problems in video verification. Current black-box attacks need a large number of queries to succeed, resulting in high computational overhead in the process of attack. On the other hand, attacks with restricted perturbations are ineffective against defenses such as denoising or adversarial training. In this paper, we focus on unrestricted perturbations and propose StyleFool, a black-box video adversarial attack via style transfer to fool the video classification system. StyleFool first utilizes color theme proximity to select the best style image, which helps avoid unnatural details in the stylized videos. Meanwhile, the target class confidence is additionally considered in targeted attacks to influence the output distribution of the classifier by moving the stylized video closer to or even across the decision boundary. A gradient-free method is then employed to further optimize the adversarial perturbations. We carry out extensive experiments to evaluate StyleFool on two standard datasets, UCF-101 and HMDB-51. The experimental results demonstrate that StyleFool outperforms the state-of-the-art adversarial attacks in terms of both the number of queries and the robustness against existing defenses. Moreover, 50% of the stylized videos in untargeted attacks do not need any query since they can already fool the video classification model. Furthermore, we evaluate the indistinguishability through a user study to show that the adversarial samples of StyleFool look imperceptible to human eyes, despite unrestricted perturbations.

在推荐系统中，一个普遍的挑战是冷门问题，在系统中，相互作用非常有限。为了应对这一挑战，最近，许多作品将元优化的想法介绍到建议方案中，即学习仅通过过去的几个交互项目来学习用户偏好。核心想法是为所有用户学习全局共享的元启动参数，并分别为每个用户迅速调整其本地参数。他们的目的是在各种用户的偏好学习中得出一般知识，以便通过博学的先验和少量培训数据迅速适应未来的新用户。但是，以前的作品表明，推荐系统通常容易受到偏见和不公平的影响。尽管元学习成功地通过冷启动提高了推荐性能，但公平性问题在很大程度上被忽略了。在本文中，我们提出了一个名为Clover的全面的公平元学习框架，以确保元学习的推荐模型的公平性。我们系统地研究了三种公平性 - 个人公平，反事实公平和推荐系统中的群体公平，并建议通过多任务对抗学习方案满足所有三种类型。我们的框架提供了一种通用的培训范式，适用于不同的元学习推荐系统。我们证明了三叶草对三个现实世界数据集的代表性元学习用户偏好估计器的有效性。经验结果表明，三叶草可以实现全面的公平性，而不会恶化整体的冷淡建议性能。

In recent years, deep neural networks have yielded immense success on speech recognition, computer vision and natural language processing. However, the exploration of deep neural networks on recommender systems has received relatively less scrutiny. In this work, we strive to develop techniques based on neural networks to tackle the key problem in recommendation -collaborative filtering -on the basis of implicit feedback.Although some recent work has employed deep learning for recommendation, they primarily used it to model auxiliary information, such as textual descriptions of items and acoustic features of musics. When it comes to model the key factor in collaborative filtering -the interaction between user and item features, they still resorted to matrix factorization and applied an inner product on the latent features of users and items.By replacing the inner product with a neural architecture that can learn an arbitrary function from data, we present a general framework named NCF, short for Neural networkbased Collaborative Filtering. NCF is generic and can express and generalize matrix factorization under its framework. To supercharge NCF modelling with non-linearities, we propose to leverage a multi-layer perceptron to learn the user-item interaction function. Extensive experiments on two real-world datasets show significant improvements of our proposed NCF framework over the state-of-the-art methods. Empirical evidence shows that using deeper layers of neural networks offers better recommendation performance.

传统的推荐系统面临两个长期存在的障碍，即数据稀疏性和冷启动问题，这些问题促进了跨域建议（CDR）的出现和发展。 CDR的核心思想是利用从其他领域收集的信息来减轻一个域中的两个问题。在过去的十年中，许多努力进行了跨域建议。最近，随着深度学习和神经网络的发展，出现了许多方法。但是，关于CDR的系统调查数量有限，尤其是关于最新提出的方法以及他们解决的建议方案和建议任务。在本调查文件中，我们首先提出了跨域建议的两级分类法，该分类法对不同的建议方案和建议任务进行了分类。然后，我们以结构化的方式介绍并总结了不同建议方案下的现有跨域推荐方法。我们还组织了常用的数据集。我们通过提供有关该领域的几个潜在研究方向来结束这项调查。

在过去的几十年中，人工智能的兴起使我们有能力解决日常生活中最具挑战性的问题，例如癌症的预测和自主航行。但是，如果不保护对抗性攻击，这些应用程序可能不会可靠。此外，最近的作品表明，某些对抗性示例可以在不同的模型中转移。因此，至关重要的是避免通过抵抗对抗性操纵的强大模型进行这种可传递性。在本文中，我们提出了一种基于特征随机化的方法，该方法抵抗了八次针对测试阶段深度学习模型的对抗性攻击。我们的新方法包括改变目标网络分类器中的训练策略并选择随机特征样本。我们认为攻击者具有有限的知识和半知识条件，以进行最普遍的对抗性攻击。我们使用包括现实和合成攻击的众所周知的UNSW-NB15数据集评估了方法的鲁棒性。之后，我们证明我们的策略优于现有的最新方法，例如最强大的攻击，包括针对特定的对抗性攻击进行微调网络模型。最后，我们的实验结果表明，我们的方法可以确保目标网络并抵抗对抗性攻击的转移性超过60％。

链接预测，推断图形的未发现或潜在链接，被广泛应用于现实世界中。通过促进图表的标记链接作为训练数据，已经研究了许多基于深度学习的链接预测方法，与非深度方法相比，它们具有主导的预测准确性。但是，恶意制作的训练图的威胁将在深层模型中留下特定的后门，因此，当一些特定的示例被馈入模型时，它将做出错误的预测，定义为后门攻击。这是当前文献中忽略的重要方面。在本文中，我们促使后门攻击对链接预测的概念，并提出链接 - 背门以揭示现有链接预测方法的训练漏洞。具体而言，链接 - 贝克门将假节点与目标链接的节点结合在一起，形成触发器。此外，它通过目标模型的梯度信息来优化触发器。因此，在后排数据集中训练的链接预测模型将预测与目标状态触发的链接。在五个基准数据集和五个表现良好的链接预测模型上进行的广泛实验表明，链接 - 贝克门都在白色框（即目标模型参数可用）和黑色框下实现了最新的攻击成功率。框（即目标模型参数不可用）方案。此外，我们在防御性情况下作证了攻击，结果表明，链接 - 背部门仍然可以成功构建对表现良好的链接预测方法的成功攻击。代码和数据可在https://github.com/seaocn/link-backdoor上获得。

在线行为广告和相关的跟踪疗法，构成了真正的隐私威胁。不幸的是，现有的隐私增强工具并不总是对在线广告和跟踪有效的。我们提出了基于基于学习的基于学习的方法来通过混淆来颠覆在线行为广告。 Harpo使用强化学习来自适应地交织使用虚假页面的真实页面访问，以扭曲跟踪器的用户浏览配置文件的视图。我们评估Harpo反对用于在线行为广告的现实世界用户分析和广告目标模型。结果表明，Harpo通过触发超过40％的不正确的兴趣和6倍的出价值来提高隐私。 Harpo优于现有的混淆工具，在相同的开销中多达16倍。 Harpo还能够实现比现有的混淆工具更好地对抗对抗性检测。 Harpo有意义地推进利用混淆来颠覆在线行为广告

机器学习与服务（MLAAS）已成为广泛的范式，即使是通过例如，也是客户可用的最复杂的机器学习模型。一个按要求的原则。这使用户避免了数据收集，超参数调整和模型培训的耗时过程。但是，通过让客户访问（预测）模型，MLAAS提供商危害其知识产权，例如敏感培训数据，优化的超参数或学到的模型参数。对手可以仅使用预测标签创建模型的副本，并以（几乎）相同的行为。尽管已经描述了这种攻击的许多变体，但仅提出了零星的防御策略，以解决孤立的威胁。这增加了对模型窃取领域进行彻底系统化的必要性，以全面了解这些攻击是成功的原因，以及如何全面地捍卫它们。我们通过对模型窃取攻击，评估其性能以及探索不同设置中相应的防御技术来解决这一问题。我们为攻击和防御方法提出了分类法，并提供有关如何根据目标和可用资源选择正确的攻击或防御策略的准则。最后，我们分析了当前攻击策略使哪些防御能力降低。