KKaichi / nihira_memo

0 stars 0 forks source link

Fake Resume Attacks: Data Poisoning on Online Job Platforms #3

Open KKaichi opened 4 months ago

KKaichi commented 4 months ago

World Wide Web' 24 Michiharu Yamashita, Thanh Tran, Dongwon Lee

KKaichi commented 4 months ago

ABSTRACT

KKaichi commented 4 months ago

INTRODUCTION

KKaichi commented 4 months ago

RELATED WORK

KKaichi commented 4 months ago

PRELIMINARIES(事前の?予備の?)

仮定

具体的には以下。 (1)攻撃者にとっては、対象予測モデルの具体的なパラメータやアーキテクチャは不明とする(ブラックボックスアプローチ)。 (2)攻撃者は、プラットフォームのセキュリティメカニズム(例:フェイク履歴書のフィルタリング)に検出されるのを回避するため、限られた数のフェイク履歴書しか注入できないとする。 (3)求人プラットフォームにアカウントを作成することは比較的簡単で安価であるとする。 (4)信頼性を確保するために、攻撃者はフェイク履歴書を正当な企業と関連付ける必要がある。 (5)プラットフォーム上のすべてのユーザープロフィールは、現実世界の設定でのプロフェッショナルプロフィールの可視性を反映して、攻撃者にアクセス可能であるものとする。

攻撃シナリオ

ユーザー降格攻撃には本論文の主な議論では焦点を当てません。これは攻撃者に直接的な利益を提供しないため、実現確率がかなり低いためです。ただし、完全性のために、ユーザー降格のケースを付録Fで提示しています。

データセット

KKaichi commented 4 months ago

FAKE RESUME ATTACK FRAMEWORK

$D^*$: フェイク履歴書データセット、元のデータともにモデルのトレーニングに使用されることで、攻撃者は望ましい動作を達成するのに役立つ $D = {(x_i, yi)}^N{i=1}$: キャリア履歴データ$x_i$とそれに対応する次の企業$y_i$を含むデータセット。 $y_i$ は $M$ 個の可能な企業 $Y$ の集合に属する。キャリア予測モデル $f: x → Y$ は、パラメータ $\theta f$ によってパラメータ化される

3つのユニークなモジュールからなる

Probabilistic Job Trajectory Generator(確率的職業経歴生成器)

Reality Regulation(現実調整)

Attack Module

$$ L(f(x_i; \thetaf)) = - \sum{c=1}^{C} y_{ic} \log(f_c(x_i; \theta_f)) \quad $$

目的関数

攻撃シナリオに応じた目的関数を定義します。攻撃者の目標は、各シナリオに関連する目的関数を最適化することで、現実的な偽の履歴書を作成することです。

企業昇格攻撃: 目的は、できるだけ多くのユーザーに対してターゲット企業が予測される可能性を最大化することです。 企業降格攻撃: 目的は、サロゲートモデルの予測におけるターゲット企業の可能性を最小化することです。 ユーザー昇格攻撃: 目的は、特定のユーザー(または履歴書)がターゲット企業と関連付けられる可能性を最大化することです。

Surrogate Model

キャリア予測タスクには、最先端のモデルとともにRNNモデルを採用しています。LSTMアーキテクチャを用いて、ユーザーの将来のキャリアシフトを示す複雑なパターンを捉えます。

KKaichi commented 4 months ago

EVALUATION

5.1.1 攻撃パフォーマンス このセクションでは、実際のデータセットを使用してFRANCISおよびベースラインモデルの評価結果について議論します。評価は以下の研究質問(RQ)に対処することを目的としています:

RQ1: キャリア予測モデルをデータポイズニングすることは可能か? RQ2: FRANCISの偽履歴書攻撃はベースラインアプローチと比較してどのように機能するか? RQ3: 偽の履歴書を注入することがキャリア予測のパフォーマンスにどの程度影響を与えるか?

RQ1およびRQ2に対応するため、さまざまなターゲットモデルに対する攻撃の有効性を評価します。

攻撃成功度の測定: キャリア予測におけるデータポイズニング攻撃の文脈で、ターゲットの昇格または降格の成功率を測定するために、元のモデルの平均ターゲットヒット率(HR)の改善率(IR)を使用します。 ターゲット企業およびユーザーの選択: 企業昇格および降格攻撃では、「小規模」および「大規模」企業からランダムに100社をサンプルし、平均IR@10を測定します。ユーザー昇格攻撃では、「大規模」企業をターゲットに設定し、特定ユーザー(「大規模」企業を経験したことのないユーザー)およびランダムユーザー(全ユーザーの20%)のHR@10を測定します。

ターゲット被害モデル: キャリア予測モデルとして、最先端の3つのモデル(NEMO、AHEAD、NAOMI)をターゲットに設定します。

ベースライン攻撃モデル: FRANCISと既存の最も互換性のある方法を比較します。

ランダム攻撃: ランダムに生成された職歴を挿入。 人気攻撃: 頻繁に登場する企業の上位10%から職歴を生成。 GPT-4攻撃: GPT-4を使用して、現実的な職歴を生成。 DQN攻撃: 目標のジョブの重要性とランクに基づいてトレーニングされたDQNモデルを使用(昇格攻撃のみ)。 5.1.2 偽の履歴書注入が下流タスクのパフォーマンスに与える影響 偽の履歴書を注入する際の課題は、実際の履歴書と区別がつかないようにすることです。データポイズニング後のキャリア予測が大幅に変わると、システムに検出されやすくなります。RQ3に対応するため、データポイズニング前後のキャリア予測のパフォーマンス変化を比較し、ベースライン攻撃モデルと比較してどれだけ影響を与えるかを調査します。

KKaichi commented 4 months ago

RQ1

表3、表4、および表5は、企業昇格攻撃、企業降格攻撃、およびユーザー昇格攻撃の結果を示しています。これらの表では、ターゲット被害モデルとしてLinkedInのキャリア予測モデルであるNEMO [16] を使用し、現実規制モジュールに3つのステップを設定しました。

全体的な結果: 表3から表5の結果は、データセット(技術およびビジネス)、攻撃シナリオ、ターゲット企業、注入率、および攻撃方法に関係なく、キャリア予測におけるデータポイズニングによる脆弱性があることを明確に示しています。脆弱性はポイズニングの強度に比例して増大します。特に、0.1%や1%のような最小限の注入でも、モデルの期待される挙動に大きな影響を与える可能性があります。

図4は、FRANCISによる攻撃を受けた場合の各被害キャリア予測モデルの改善率の比較を示しています。ここでは、「小規模」企業をターゲットにした技術データセットを使用しました。各モデルが成功裏に攻撃され、注入率が増加するにつれて脆弱性が増大することが観察されます。次のセクションでは、NEMO [16] における各特定の攻撃設定についてさらに詳しく議論します。

KKaichi commented 4 months ago

RQ2

企業昇格攻撃:

小規模企業ターゲット: 10%の注入でFRANCISはTechデータセットで23.17、Businessデータセットで10.48の改善率を達成し、Tech領域では最高のベースラインの2.9倍、Business領域では2.1倍の改善を示しました。0.1%の注入でも、Tech領域でDQNを8.2%上回り、Business領域でGPT-4を13.9%上回りました。 大規模企業ターゲット: FRANCISはすべてのベースラインを上回りましたが、その影響は減少しました。0.1%の注入で、Tech領域でGPT-4を12.1%上回り、Business領域でGPT-4とDQNを3%上回りました。5%の注入率では、Tech領域でベースラインの2.8倍、Business領域で2倍のパフォーマンスを示しました。 ランダム企業ターゲット: 1%の注入で、Tech領域でGPT-4を9.7%、Business領域でDQNを41.9%上回りました。 GPT-4が生成した履歴書は、大規模企業やランダム企業に対しては効果的でしたが、小規模企業に対しては逆効果でした。これは、GPT-4が著名企業のデータに基づいてトレーニングされているため、小規模企業向けの内容を生成する能力が劣ることが考えられます。

企業降格攻撃:

小規模企業ターゲット: 攻撃が成功し、ヒット率が大幅に減少しました。 大規模企業ターゲット: 10%のデータポイズニングでも改善率は0.93から0.94程度と控えめでした。これはデータセット内の大規模企業の優位性に起因し、モデルが予測結果の低下に対して強靭であることを示しています。 ランダム企業ターゲット: 影響は中間程度でした。 ユーザー昇格攻撃:

ターゲット企業: 大規模企業 ターゲットユーザー: 特定ユーザーおよびランダムユーザー 小規模な注入率(0.1%)では、観察可能な変化は最小限でしたが、1%以上の注入でHR@10は1.5倍以上の改善を示しました。 特定ユーザーは、大規模企業の経験がないことが特徴です。ランダムユーザーに比べて改善率は低く、大規模企業の経験がないことに起因します。一方、Techデータにおけるランダムユーザーでは、データポイズニング後にヒット率が大幅に向上しました。これは、大規模企業との関連予測が他の大規模企業の経験によって大きく影響されることを示唆しています。

KKaichi commented 4 months ago

RQ3

偽の履歴書の注入がキャリア予測に与える影響を評価します。表6には、偽の履歴書攻撃前後のキャリア予測の全体的なパフォーマンス変化率が示されています。

実験手法:

事前に訓練されたキャリア予測モデル(サロゲートモデル)に対して、企業昇格攻撃のために生成された偽の履歴書を1%の注入率で注入し、追加で20エポックの訓練を行いました。 注入後のパフォーマンスの相対的な改善を測定することを主な目的としました。 比較ベースラインとして、追加のデータを導入せず、同じ追加訓練エポックを経たシナリオ(「None」)も実施しました。 結果:

ランダムおよびポピュラー攻撃は、企業昇格攻撃中にヒット率の改善を達成しましたが、キャリア予測モデルの精度に大きな変化をもたらし、標準的なパフォーマンスから大幅に逸脱しました。 GPT-4およびDQNによって引き起こされたパフォーマンスの変動は一貫性がなく、ターゲット企業に依存していました。 一方、FRANCISは元のデータセットに非常に近い挙動を示しました。特に、FRANCISの改善率は元の改善率(「None」)の標準偏差の範囲内に収まりました。このFRANCISの一貫性は、リアリティ規制モジュールの有効性を示しており、生成された履歴書が単なる合成データではなく、本物のキャリア経歴を高い精度で模倣していることを示唆しています。 これらの結果から、FRANCISが生成する偽の履歴書は非常に現実的であり、キャリア予測モデルの標準パフォーマンスに与える影響が少ないことが分かりました。