一种基于对抗学习的高鲁棒隐私保护推荐方法

1.本发明涉及个性化推荐技术领域，尤其涉及一种基于对抗学习的高鲁棒隐私保护推荐方法。


背景技术：

2.个性化推荐系统，作为传统信息检索的有效补充手段，充分利用用户与物品自身内容特征及其二者间的交互数据自动过滤无用信息，是一种能够帮助用户发现其潜在兴趣的常见应用，其在学术界和工业界得到了越来越多的关注。个性化推荐系统背后核心的技术支撑是利用机器学习思想来对用户历史浏览数据进行训练的推荐算法。
3.推荐算法之所以能够掌握用户未来的兴趣偏好，是因为其需要尽可能多的收集用户个人信息以及行为信息，以此来实现精准的推荐服务，比如基于内容的推荐系统以及基于协同过滤的推荐系统。另外根据社交同质性理论表明，朋友之间的行为更加趋向于一致，因此许多研究把社交信息融合到了传统的协同过滤方法中。通过融合越来越多的信息与结合不同类型的数据，推荐系统的预测性能固然得到了显著的提高，但这样就不可避免地导致用户隐私泄露的风险。因此，近年来关于保护用户的敏感信息隐私问题越来越得到关注。然而前人的工作大多聚焦在保护用户的人口统计学特性和用户的历史购买行为等敏感信息。其主要通过差分隐私技术以及扰动技术来进行用户信息的隐私保护，这些方法大多在原始数据上进行直接的数据扰动，虽然一定程度上保护了用户的隐私数据，但不可避免地造成了模型预测性能的退化。
4.由于目前主流的服务方式为机器学习即服务的模式，因此很难获取到模型的原始数据并进行直接扰动，所以对模型的原始训练数据进行白盒攻击变得不再现实。最新的研究表明，经过训练的数据和未经过训练的数据往往具有不同的统计特性，因此机器学习模型容易对其训练过的数据集信息造成隐私泄露。更具体的，攻击者可以基于以上不同的统计特性通过构建推理模型来推断某些样本是否是其训练过的数据，这样的推理过程叫做成员推理攻击，由于该种方式可以轻松地对黑盒模型进行攻击，因此成为近年来的主流攻击方式。
5.目前，现有技术中的防御成员推理攻击的方法有两大类。第一类包括简单的缓解技术，即将模型的预测结果进行限制，比如将五分类的预测任务只输出以概率排序后的前三个类别，显然这样的操作会降低模型的预测精度；或对预测模型进行正则化，例如使用常见的l2范式。这些技术虽然一定程度上能够保证模型的预测精度，但他们不能保证任何严格的隐私保护定义。
6.第二大类的防御技术是使用不同的差分隐私机制。然而，现有的差分隐私机制由于严格数学意义上满足隐私保护的要求，同时没有明确的将模型预测性能纳入隐私机制的设计目标中，往往会造成严重的预测精度损失。因此，设计一种兼顾模型预测性能与训练数据隐私保护效果双方面保证的鲁棒算法显得尤为重要。


技术实现要素：

7.本发明的实施例提供了一种基于对抗学习的高鲁棒隐私保护推荐方法，以实现在保护成员隐私的前提下向用户精准推荐其所感兴趣物品。
8.为了实现上述目的，本发明采取了如下技术方案。
9.一种基于对抗学习的高鲁棒隐私保护推荐方法，包括：
10.步骤s1：构建神经协同过滤模型以及所需训练集，并随机初始化神经协同过滤推荐模型的参数p，q，θr，表示用户特征矩阵，表示物品特征矩阵，θr统一表示推荐模型隐藏层的参数矩阵；
11.步骤s2：构建成员推理模型以及所需参考集，并随机初始化成员推理模型的参数矩阵θm，θm统一表示成员推理模型的可学习参数；
12.步骤s3：利用所述神经协同过滤模型和所述成员推理模型构建带有成员推理正则项的神经协同过滤联合模型，设计统一的基于对抗学习的最小最大化目标函数并进行迭代对抗训练，得到鲁棒的用户特征矩阵p和物品特征矩阵q；
13.步骤s4：根据训练好的p和q预测用户对未观测物品的评分值：对逐行降序排列，并将中评分数值较高且未被评过分的若干物品推荐给相应的用户，表示预测出的用户-商品评分矩阵。
14.优选地，所述的步骤s1中的神经协同过滤模型的构建包括：
15.所述神经协同过滤模型f(p，q，θr|u，i)的输入层包括分别描述用户u和物品i的两个one-hot特征稀疏向量vu和vi，将稀疏向量通过嵌入层映射为用户特征向量pu＝p
tvu
和物品特征向量qi＝q
t
vi，其中和矩阵分别表示用户特征矩阵和物品特征矩阵，d为低维嵌入后的维度，将获得的用户和物品隐向量输入到多层神经网络中，将用户和物品低维向量映射为预测点击概率所述预测点击概率越接近于1表示该用户越喜欢该物品，越接近于0表示该用户越不喜欢该物品，预测点击概率越接近于真实标签y
ui
，证明推荐系统的推荐准确度越高。
16.优选地，所述的步骤s1中的训练集构建包括：
17.利用已有的数据集构建用户-物品评分矩阵r∈{0，1，2，3，4，5}m×n，所述评分矩阵中的行和列分别表示用户和物品，所述评分矩阵中的元素值表示用户对物品的评分，其中m和n分别表示用户和物品数量，对所述用户-物品评分矩阵数据进行归一化处理，获得适用于分类任务的评分矩阵y∈{0，1}m×n，数值1表示该用户点击过该物品，0则表示未产生行为，对于评分矩阵中为1的元素生成三元组数据集合其中，u代表用户标号，i表示物品标号，y
ui
＝1表示用户点击物品的正样本；
18.利用负采样技术按照与正样本同分布原则生成用户点击负样本利用所述用户点击正样本和用户点击负样本共同构成训练神经协同过滤推荐模型的训练集
19.优选地，所述的步骤s2中的成员推理模型构建包括：
20.所述成员推理模型g(θm)基于对成员预测和对非成员预测的统计差异利用分类任务来进行建模，即如果该样本存在于训练集则为正样本，否则为负样本，所述成员推理攻击模型被视为一个二分类任务，实例化成员推理攻击模型为g(θm|u，i
×
y2)
→
[0，1]，利用
擅长特征提取的深层神经网络来拟合输入样本与标签之前的复杂联系，对于神经协同过滤模型数据集中的任一样本(u，i，y
ui
)以及对应的个性化推荐模型的输出向量共同构成成员推理攻击模型的输入样本若经过成员推理模型后的输出结果接近于1则为成员，否则为非成员。
[0021]
优选地，所述的步骤s2中的参考集构建包括：
[0022]
将参与神经协同过滤推荐模型训练的数据集作为训练成员推理模型的正样本也称为成员推理模型的成员集合，其中h
ui
＝1表示参与神经协同过滤推荐模型训练的成员样本；根据独立同分布的原则，按照相同比例采样生成用于成员推理模型的负样本其中h
ui
＝0表示未参与神经协同过滤推荐模型训练的非成员样本，也称为成员推理模型的非成员集合；
[0023]
将所述成员推理模型的成员集合与非成员集合共同构成了训练成员推理模型所需的参考集
[0024]
优选地，所述的步骤s3中的基于成员推理正则项的神经协同过滤联合模型的目标函数定义如下：
[0025][0026]
其中，内部的最大化函数的目标是针对给定的推荐模型f(θr)找到最强的成员推理攻击模型g(θm)，外部的最小化函数的目标是针对给定的最强成员推理攻击模型g(θm)，找到最鲁棒的个性化推荐模型，参数λ控制推荐精度和成员隐私之间的权衡；
[0027]
神经协同过滤模型f(θr)的优化目标是最小化期望经验损失，使用交叉熵损失作为目标损失函数，神经协同过滤模型的期望经验损失表示如下：
[0028][0029]
其中为优化神经协同过滤模型的训练集，y
ui
分别为推荐模型的预测点击概率和真实标签；
[0030]
所述成员推理攻击模型的目标为最大化经验收益，即为了建模预测分布与真实分布之前的统计差异，使用交叉熵损失来计算成员推理攻击模型的监督损失，其中经验收益表示如下：
[0031][0032]
合并各项后，所述统一最小最大化对抗目标函数细化为如下数学形式：
[0033][0034]
其中，按照4：1的比例来构造神经协同过滤模型所需的训练集和成员推理模型所需的参考集训练集用于推荐模型的训练和成员推理攻击模型的正样本，参考集不参与推荐系统的训练而是作为成员推理模型的负样本，训练集作为参考集中的正样本，
利用上述训练集与参考集对带有成员推理正则项的神经协同过滤联合推荐模型进行迭代对抗训练。
[0035]
优选地，所述的步骤s3中的对所述带有成员推理正则项的神经协同过滤联合推荐模型进行迭代对抗训练如下：
[0036]
随机初始化神经协同过滤推荐模型参数p，q，θr；随机初始化成员推理模型参数θm，进入迭代训练过程：固定推荐模型的算法参数p，q，θr，计算目标收益关于θm的梯度，利用梯度上升算法更新参数矩阵θm；固定成员推理模型的算法参数θm，计算目标损失分别关于p，q，θr的梯度，利用梯度下降算法分别更新参数矩阵p，q，θr；重复以上步骤，不断交替更新参数p，q，θr，θm，直到满足收敛条件；
[0037]
通过以上算法，找到该最小最大博弈问题的平衡点，获得具有成员隐私保护能力的鲁棒个性化推荐系统。
[0038]
优选地，所述收敛条件包括目标函数值小于某个预设定阈值或迭代轮数达到一定量级。
[0039]
由上述本发明的实施例提供的技术方案可以看出，本发明通过对抗学习的方式设计统一的最小最大化目标函数来显式地赋予推荐算法防御成员推理攻击的能力；通过对个性化推荐模型和成员推理模型进行博弈对抗训练，使得成员推理攻击模型能够学习到推荐模型中潜在的成员隐私风险，同时使得推荐模型通过对训练好的成员攻击模型进行防御学习，达到能够防御成员推理攻击和缓解推荐模型过拟合以此增强泛化能力和鲁棒性的目的，最终实现个性化推荐模型算法性能和训练数据隐私保护程度的双向提升，从而可达到在保护成员隐私的前提下向用户精准推荐其所感兴趣物品的目标。
[0040]
本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
[0041]
为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0042]
图1为本发明实施例提供的一种模型对抗训练工作流程图；
[0043]
图2为本发明实施例提供的一种基于对抗学习范式的成员隐私保护的个性化推荐方法的处理流程图；
[0044]
图3为本发明实施例提供的一种个性化神经协同过滤推荐模型方法的具体实例化结构图。
[0045]
图4为本发明实施例提供的一种成员推理模型方法的具体实例化结构图。
具体实施方式
[0046]
下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。
[0047]
本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
[0048]
本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。
[0049]
为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。
[0050]
本发明首次考虑了推荐系统中的成员隐私保护问题，并将推荐精度与成员保护程度设计为一种最小最大化博弈框架，在推荐系统模型中以成员推理正则项的方式显式考虑了隐私保护问题，设计了一种推荐精度与成员隐私保护效果权衡的算法，以此来实现在保护用户隐私的前提下精准推荐的目标。
[0051]
本发明实施例提出了一种基于对抗学习范式的成员隐私保护的鲁棒个性化推荐框架，该框架通过对个性化神经协同过滤推荐模型与成员推理模型之间进行对抗训练，最终达到推荐性能与成员隐私保护能力的博弈权衡点，使得该方法能够在提高神经协同过滤推荐模型泛化能力的同时，进而具有成员推理保护的能力，以此达到推荐系统泛化能力和成员隐私保护程度的双向提升。
[0052]
本发明将推荐算法对于预测性能和成员隐私保护的权衡问题形式化为一个最小最大化博弈问题，通过设计专门的对抗训练算法，使得算法框架在最大化成员推理攻击能力的同时，最小化推荐算法预测误差和提高模型对于成员推理攻击的防御能力，即在无法准确判断数据是否参与神经协同过滤推荐模型训练的前提下实现精准推荐的目的。具体的，成员推理模型通过学习神经协同过滤推荐模型对于输入数据的点击率预测分布，寻求准确的推断用户的成员信息，即目标数据是否出现在训练集中；神经协同过滤推荐模型通过显式的增加成员推理正则项，使得模型在整个训练过程中一方面能够准确地拟合原始训练集的潜在分布，同时使得模型具有防御最强成员推理攻击的能力。这种策略从侧面缓解了神经协同过滤推荐模型的过拟合问题，以此来提高神经协同过滤推荐模型的泛化能力和鲁棒性，最终实现在保证成员隐私保护的前提下，为用户提供精准推荐的服务。
[0053]
本发明方法主要包含以下内容：
[0054]
(1)构建神经协同过滤模型所需的训练集所述训练集包含原始数据集中给出的用户点击正样本以及利用负采样技术按照与正样本同分布原则生成的用户点击负样本上述两部分子集共同构成训练神经协同过滤推荐模型的训练集
[0055]
(2)构建成员推理模型所需的参考集所述参考集包含参与神经协同过滤推荐模型训练的成员集(与含义相同)，以及相同数量规模和分布的未参与神经协同过滤
推荐模型训练的非成员集上述两部分子集共同构成训练成员推理模型的参考集
[0056]
(3)实例化神经协同过滤模型f(θr)与成员推理模型g(θm)，利用神经协同过滤模型和所述成员推理模型构建带有成员推理正则项的神经协同过滤联合模型，设计统一的基于对抗学习的最小最大化目标函数。利用所述训练集与参考集对所述基于成员推理正则项的神经协同过滤联合推荐模型进行迭代对抗训练，生成鲁棒的用户特征矩阵p与物品特征矩阵q；
[0057]
(4)根据生成的用户特征矩阵p与物品特征矩阵q来预测用户感兴趣的物品。
[0058]
本发明实施例提供了一种模型对抗训练工作流程图如图1所示，其具体包括以下步骤：
[0059]
步骤s1：构建神经协同过滤模型所需的训练集，所述训练集包含原始数据集中给出的用户点击正样本以及利用负采样技术按照与正样本同分布原则生成的用户点击负样本
[0060]
步骤s1-1：对原始数据集中给出的用户点击正样本进行归一化处理。
[0061]
利用已有的数据构建用户-物品评分矩阵r∈{0，1，2，3，4，5}m×n，所述评分矩阵中的行和列分别表示用户和物品，所述评分矩阵中的元素值表示用户对物品的评分，其中m和n分别表示用户和物品数量。随后对评分数据进行归一化处理，获得适用于分类任务的评分矩阵y∈{0，1}m×n，数值1表示该用户点击过该物品，0则表示未产生行为。对于评分矩阵中为1的元素生成三元组数据集合其中，u代表用户标号，i表示物品标号，y
ui
＝1表示用户点击物品的正样本。
[0062]
步骤s1-2：基于负采样策略对用户点击负样本进行构建。
[0063]
一般的，我们可以使用上文所述的原始用户-物品评分矩阵来训练神经协同过滤模型，但由于矩阵中存在大量的负样本数据，对大量负样本进行优化会导致训练过程大大减慢，并且正负样本严重不平衡会对模型的效果产生极大的影响。因此，我们提出了一种负采样技术来加速模型的训练过程和提高模型的预测精度。基于负采样策略对上述划分完成的用户点击正样本进行用户负样本集合生成，所述负样本策略主要通过在每次迭代中以1：4的采样比对未观察到的交互进行随机取样，生成用户点击负样本数据其中y
ui
＝0表示用户未点击物品的负样本。用户点击行为正样本与点击行为负样本共同构成了训练神经协同过滤推荐模型的训练集
[0064]
步骤s2：构建成员推理模型所需的参考集所述参考集包含参与神经协同过滤推荐模型训练的成员集以及同等规模和分布的未参与神经协同过滤推荐模型训练的非成员集
[0065]
一般来说，对成员推理模型进行训练，需要参与神经协同过滤推荐模型训练的正样本，同时也需要未参与神经协同过滤推荐模型训练的负样本。对于成员推理模型而言，所述神经协同过滤模型所需的训练集为成员，所述未参与神经协同过滤模型训练的集合为非成员。因此，参与神经协同过滤推荐模型训练的数据集可以作为训练成员推理模型的正样本即与表达的含义相同，后文中可以进行同义
替换，其中h
ui
＝1表示参与神经协同过滤推荐模型训练的成员样本。
[0066]
为了保证成员推理模型的正常训练，根据独立同分布的原则，按照相同比例采样生成用于成员推理模型的负样本其中h
ui
＝0表示未参与神经协同过滤推荐模型训练的非成员样本。成员集合与非成员集合共同构成了训练成员推理模型所需的参考集
[0067]
步骤s3：实例化神经协同过滤模型f(θr)与成员推理模型g(θm)，利用神经协同过滤模型和所述成员推理模型构建带有成员推理正则项的神经协同过滤联合模型，设计统一的基于对抗学习的最小最大化目标函数。利用所述训练集与参考集对所述基于成员推理正则项的神经协同过滤联合推荐模型进行迭代对抗训练，生成鲁棒的用户特征矩阵p与物品特征矩阵q。
[0068]
经过上述对于数据集的处理，我们得到了神经协同过滤模型所需的训练集和成员推理模型所需的参考集。对抗训练框架主要涉及神经协同过滤推荐模型和成员推理模型的博弈学习，其中成员推理模型通过学习神经协同过滤推荐模型对于输入数据的点击率预测分布，寻求准确的推断用户的成员信息；神经协同过滤推荐模型通过显式的增加成员推理正则项，使得模型在整个训练过程中一方面能够准确的拟合原始训练集的潜在分布，同时使得模型具有防御最强成员推理攻击的能力。在接下来的部分，我们首先对神经协同过滤模型和成员推理模型分别进行介绍，随后介绍两者结合的统一目标函数，最后对两者的对抗训练过程进行阐述。
[0069]
神经协同过滤模型部分：其输入层包括分别描述用户u和物品i的两个one-hot特征稀疏向量vu和vi，然后将稀疏向量通过嵌入层映射为用户特征向量pu＝p
tvu
和物品特征向量qi＝q
t
vi，其中和矩阵分别表示用户特征矩阵和物品特征矩阵，d为低维嵌入后的维度。随后将获得的用户和物品隐向量输入到一个多层神经网络(我们称之为神经协同过滤层)中，最终将潜在向量映射为预测点击概率具体网络结构如图3所示。其中，所述预测点击概率越接近于1表示该用户越喜欢该物品，越接近于0表示该用户越不喜欢该物品。预测点击概率越接近于真实标签y
ui
，证明推荐系统的推荐准确度越高。
[0070]
我们可以将神经协同过滤模型预测函数形式化表述为：
[0071][0072]
其中为用户的隐变量矩阵，为物品的隐变量矩阵，θr为神经协同过滤推荐模型f的模型参数。
[0073]
由于神经协同过滤模型为一个多层神经网络，预测模型可以表示为：
[0074][0075][0076]
……
[0077]
[0078]
其中w
l
，b
l
，a
l
分别为第l层感知机的权重矩阵、偏置向量和激活函数。激活函数我们可以选择sigmoid、tanh、relu等，本发明选用了relu函数。
[0079]
神经协同过滤模型的优化目标是最小化期望经验损失，在本发明中使用交叉熵损失作为目标损失函数，神经协同过滤模型的期望经验损失表示如下：
[0080][0081]
其中为神经协同过滤模型的训练集，y
ui
分别为神经协同过滤推荐模型的预测点击概率和真实标签。
[0082]
成员推理模型部分：其根据输入数据在模型预测分布上的不同表现来推断输入样本是否存在于原始数据集中，即经过训练的成员数据往往产生的模型预测结果存在某一类别置信度极高的情况，而未经过训练的非成员数据往往产生的模型预测结果分布比较均匀。攻击者根据这种统计规律以及其他背景知识很容易对模型造成成员推理攻击，最终导致成员隐私问题的泄露。
[0083]
因此基于以上统计规律，成员推理模型基于对成员的预测和对非成员的预测的统计差异，常常利用分类任务来进行建模，即如果该样本存在于训练集则为正样本，否则为负样本。在本发明中，我们将成员推理模型视为一个二分类任务，实例化成员推理模型为g(θm|u，i
×
y2)
→
[0，1]，利用擅长特征提取的深层神经网络来拟合输入样本与标签之前的复杂联系，具体网络结构如图4所示。对于数据集中的任一样本(u，i，y
ui
)以及对应的个性化神经协同过滤推荐模型的输出向量共同构成成员推理模型的输入样本若经过成员推理模型后的输出结果接近于1则为成员，否则为非成员。我们可以将成员推理模型的预测函数形式化表述为：
[0084][0085]
其中为模型的输入数据，分别表示用户标号，物品标号，神经协同过滤推荐模型的预测分布以及样本的真实标签，θm为成员推理模型g的模型参数。
[0086]
在这里，为了建模预测分布与真实分布之前的统计差异，我们同样使用交叉熵损失来计算成员推理模型的监督损失，成员推理模型的目标为最大化经验收益，其中经验收益可表示如下：
[0087][0088]
通过上述内容，我们已经对神经协同过滤模型和成员推理模型的结构、输入输出以及损失函数进行了介绍，下面我们主要对两者之间的对抗训练的原理和优化算法进行详细的介绍。
[0089]
受目前流行的对抗学习思想的启发，我们可以很自然的将带有成员推理保护的推荐系统视为一个最小最大化博弈问题。成员推理模型会根据掌握的背景知识以及设定的目标函数调整攻击模型的自身参数，以最大化自己在现有的神经协同过滤推荐模型上的攻击收益为最终目的；个性化神经协同过滤推荐模型会根据自己的目标函数调整模型的自身参数，以最小化自身的模型预测误差和降低自身对于成员隐私泄露风险为首要目标。这意味
着防御者和攻击者有着相互冲突的目标，因此可以被认为是一个博弈权衡问题，防御者需要找到不仅使其损失最小化，而且要使对手的最大增益最小化的神经协同过滤推荐模型，该问题可以被建模为一个最小最大化博弈问题。
[0090]
如果单纯是为了抵御成员推理攻击，我们可以简单的使模型的输入和输出之间没有任何联系，但这会极大地影响神经协同过滤推荐模型的推荐效用。因此，本发明将推荐系统的目标创新性的设计成在最小化推荐性能损失的同时，最小化面对最强的成员推理攻击时的成员隐私泄露风险，从而设计出了最优的成员隐私机制，同时确保了模型效用的最大化。
[0091]
我们将成员隐私和推荐性能统一形式化在下面的对抗目标函数中：
[0092][0093]
其中，内部的最大化函数的目标是针对给定的神经协同过滤推荐模型f(θr)找到最强的成员推理模型g(θm)，外部的最小化函数的目标是针对给定的最强成员推理模型g(θm)，找到最鲁棒的个性化神经协同过滤推荐模型，使其不仅能够保护成员信息，还可以提供精准的推荐服务。参数λ控制推荐精度和成员隐私之间的权衡，成员隐私保护模型作为神经协同过滤推荐模型的正则项，另外起到防止神经协同过滤推荐模型过度拟合原始训练数据以此增强模型鲁棒性的目的。
[0094]
更具体的，上文所述的统一对抗目标函数可细化为如下数学形式：
[0095][0096]
其中，为了神经协同过滤推荐模型的训练效果，我们确保按照4：1的比例来构造神经协同过滤模型所需的训练集和成员推理模型所需的参考集训练集用于神经协同过滤推荐模型的训练和成员推理模型的正样本，参考集不参与推荐系统的训练而是作为成员推理模型的负样本。由于训练集作为参考集中的正样本，因此
[0097]
本发明实施例提供的一种对抗学习的成员隐私保护的个性化推荐算法训练与优化的工作流程为，在每一轮训练中，神经协同过滤推荐模型f和成员推理模型g交替训练来寻找对于彼此的最优模型。在内部优化步骤中，对一个固定的神经协同过滤推荐模型f，成员推理模型被训练来区分目标数据是属于训练集d
t
还是参考集dr。这一步中，最大化成员推理模型的经验收益为在外部的优化步骤中，对于一个固定的成员推理模型g，成员推理模型的经验收益作为神经协同过滤推荐模型的正则项，所述神经协同过滤推荐模型在训练集d
t
上进行训练，这一步最小化经验推荐损失
[0098]
更具体的，本发明实施例提供的一种对抗学习的成员隐私保护的个性化推荐算法训练与优化的工作流程如图2所示，包括如下步骤：
[0099]
s3-1：随机初始化神经协同过滤推荐模型参数p，q，θr；
[0100]
s3-2：随机初始化成员推理模型参数θm，进入迭代训练过程：
[0101]
s3-3：固定神经协同过滤推荐模型的算法参数p，q，θr，计算目标收益关于θm的梯
度，利用梯度上升算法更新参数矩阵θm；
[0102]
s3-4：固定成员推理模型的算法参数θm，计算目标损失分别关于p，q，θr的梯度，利用梯度下降算法分别更新参数矩阵p，q，θr；
[0103]
s3-5：重复步骤s3-3到s3-4，不断交替更新参数p，q，θr，θm，直到满足收敛条件，例如目标函数值小于某个预设定阈值或迭代轮数达到一定量级，最后输出参数模型。
[0104]
通过以上算法，我们最终可以找到该最小最大博弈问题的平衡点，最终获得一个成员隐私保护的个性化推荐系统，实现对于推荐系统泛化能力和成员隐私保护能力的双重提升。
[0105]
步骤s4：根据用户和物品的特征矩阵预测用户对未观测物品的评分值：对逐行降序排列，并将中评分数值较高(且未被评过分)的若干物品推荐给相应的用户。其中，表示用户特征矩阵，表示物品特征矩阵，表示预测出的用户-商品评分矩阵。
[0106]
综上所述，本发明通过对抗学习的方式设计统一的最小最大化目标函数来显式的赋予推荐算法防御成员推理攻击的能力；通过对个性化神经协同过滤推荐模型和成员推理模型进行博弈对抗训练，使得成员推理模型能够学习到神经协同过滤推荐模型中潜在的成员隐私风险，同时使得神经协同过滤推荐模型通过对训练好的成员攻击模型进行防御学习，达到能够防御成员推理攻击和缓解神经协同过滤推荐模型过拟合以此增强泛化能力和鲁棒性的目的，最终实现个性化神经协同过滤推荐模型算法性能和训练数据隐私保护程度的双向提升，从而可达到在保护成员隐私的前提下向用户精准推荐其所感兴趣物品的目标。
[0107]
本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
[0108]
通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0109]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0110]
以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，
都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。