面向群組推薦的個性化隱私保護方法

王海艷，陸金祥

（1.南京郵電大學計算機學院，江蘇 南京 210023；2.南京郵電大學江蘇省大數據安全與智能處理重點實驗室，江蘇 南京 210023)

1 引言

近年來，隨著信息化、智能化的深度融合，用戶在利用信息技術獲得更多便利的同時，個人隱私面臨著嚴重的威脅。2018 年，國內外發生的幾起嚴重泄露用戶隱私的事件表明，信息社會中用戶的隱私保護迫在眉睫。作為個性化推薦系統的擴展，群組推薦日益受到關注。群組推薦系統是指群組中有多個用戶，不同用戶有各自的偏好需求，根據群組中每個用戶的偏好進行推薦的系統。群組推薦主要任務是緩解群組成員之間的偏好沖突，使推薦結果盡可能滿足所有群組成員的需求。群組推薦系統需要收集大量的用戶歷史數據來實現對群組的推薦，這些數據中可能包含一些用戶的敏感信息。多數情況下推薦系統是非可信的，存在泄露用戶隱私的風險，而用戶為了獲得個性化的推薦，只能選擇信任推薦系統。因此，對群組內用戶實現隱私保護，已成為群組推薦的一個研究熱點。

與傳統的個性化推薦系統不同，群組推薦系統首先需要考慮群組內所有用戶的偏好，并通過群組內用戶間的偏好共享和交互機制縮小群組內用戶之間的偏好差異。在此基礎上，群組推薦系統將每個群組內用戶的偏好融合得到群組偏好，并根據群組偏好完成群組推薦。現階段，面向群組推薦的用戶隱私保護主要通過群組內用戶偏好協同擾動的方法實現。已有的面向群組推薦的用戶隱私保護方法，大都假設群組內所有用戶具有相同的隱私保護需求，對群組內所有用戶進行相同的隱私保護處理，而不能針對群組內用戶個性化的隱私保護需求分別進行處理，具有很大的局限性。

針對以上問題，本文提出了面向群組推薦的個性化隱私保護方法，主要工作及創新點如下：1)提出了面向群組推薦的基于可信客戶端的個性化隱私保護框架（UPPPF-TC-GR,user personalized privacy protection framework based on trusted client for group recommendation），在可信客戶端對群組內用戶的歷史偏好進行收集和分析，利用敏感主題相似度分析方法發現群組用戶數據中存在的敏感數據，對群組用戶的敏感偏好進行隱私保護處理；2)基于此框架，提出了群組敏感偏好保護方法（GSPPM,group sensitive preference protection method），在可信客戶端利用隨機的擾動技術對群組用戶偏好進行隱私保護處理，實現對群組用戶敏感偏好的保護。本文提出的個性化隱私保護方法利用群組內相似用戶的評分進行隨機的協同擾動，實現對用戶個性化隱私的保護，相對于直接添加擾動噪聲的隨機化擾動方法有了很大的改進與創新。

2 相關工作

2.1 個性化推薦中的隱私保護方法

現有的個性化推薦中的隱私保護方法主要使用k-匿名、隨機化擾動、加密等隱私保護技術，實現對用戶推薦的同時有效保護用戶的隱私。文獻[1]在數據發布領域，提出利用k-匿名方法實現對用戶敏感信息的保護。文獻[2]提出關系保持變換的方法來防御關于廣義形式的距離保持變換的攻擊。文獻[3]主要針對目前比較流行的背景知識攻擊和審查攻擊提出了一種保護用戶隱私的方法，核心思想是利用k-匿名的隱私保護方法實現對背景知識攻擊的攔截。文獻[4]針對k近鄰（kNN，k-nearest neighbor）攻擊，提出分區概率鄰域選擇方法，以確保所選區域的安全性，同時實現針對kNN 攻擊的最佳預測精度。文獻[5]分析了在線社交網絡存在的一些隱私保護相關的問題，提出通過k-匿名化實現在匿名社交網絡中用戶間相互通信而不會暴露其身份的隱私保護方法。文獻[6]提出在網絡跟蹤數據中源IP 和目的IP 地址之間的固有圖形結構，并使用k-匿名防止目標主機被跟蹤。文獻[7]提出通過擺脫半誠實的服務提供商來設計分散的單一協議，該協議使用非常小的數據集子集，其準確性仍然等于或優于某些基線算法。文獻[8]提出使用匿名身份驗證來保護使用盲簽名的位置隱私。文獻[9]提出了一種基于信任的隱私保護朋友推薦方案。文獻[10]提出一個函數發生器實體，通過該實體周期性地分布空間變換參數實現對用戶位置的隱私保護。文獻[11]提出了一種應用數據混淆技術的隱私保護框架，并在此框架下進一步開發了2 種代表性的隱私保護服務質量（QoS，quality of service）預測方法。文獻[12]提出了一種新型數據加密方法，該方法在時間約束下使用隱私分類方法選擇性地加密數據，并使用選擇性加密策略最大化隱私保護范圍。文獻[13]提出利用差分隱私方法作為隱私保護框架，利用目標擾動方法對矩陣中添加滿足差分隱私約束的噪聲得到噪聲矩陣分解模型，實現對隱私數據的保護。文獻[14]對差分隱私保護領域已有的研究成果進行了總結，對該技術的基本原理和特征進行了闡述，重點介紹了差分隱私的研究熱點。文獻[15]分析了差分隱私保護模型相對于傳統安全模型的優勢，對差分隱私基礎理論及其在數據發布與數據挖掘中的應用研究進行綜述。文獻[16]提出了一種輕量級的位置感知推薦系統隱私保護框架，利用該框架服務提供者將隨機處理后的歷史評價信息外包給云平臺，并通過安全協議在云平臺的輔助下進行相似度信息的安全計算。文獻[17]提出一種貪心聚類匿名方法，通過分類概化準標識屬性，分別度量其信息損失，從而減小并合理評價信息損失。文獻[18]提出了一種具有隱私保護的協同過濾方法，該方法主要思想是通過使用傳輸矩陣直接干擾原始數據集來保證用戶隱私。文獻[19]將k-匿名隱私保護技術和區塊鏈技術的分布式特性結合起來，提出了一種基于區塊鏈的分布式k-匿名位置隱私保護方案。文獻[20]提出一種具備保護用戶隱私功能的推薦系統，利用用戶的歷史評價和項目屬性信息，結合不采集用戶個人信息的協同過濾推薦算法，在實現對用戶推薦的同時，保護用戶隱私。文獻[21]提出將位置輪廓相似度和位置點相似度度量的過濾算法應用到協同過濾算法中，實現對用戶位置隱私的保護。

以上研究發現，現有的主流隱私保護方法或者采用了k-匿名的思想對用戶的敏感屬性進行泛化處理來保護用戶的隱私，或者使用隨機化的擾動方法來實現對敏感數據的保護，或者采用加密技術來實現對用戶的隱私保護。但k-匿名算法本身存在一系列的問題，其中比較主要的問題有同質攻擊和背景知識攻擊。而隨機化擾動方法會帶來一定程度的數據失真。因此，單純使用k-匿名的隱私保護算法或者隨機化擾動方法來保護用戶隱私存在一定的局限性，不能夠在隱私保護和推薦準確性之間達到很好的平衡，加密技術也不適用于群組推薦這樣計算量較大的應用場景。

2.2 群組推薦中的隱私保護方法

現階段的研究成果主要是通過向原始群組偏好中添加擾動的方式實現的。文獻[22]提出在群組內部對群組內用戶的偏好配置文件進行擾動，將擾動后的數據進行序列化的處理后再進行傳輸，最后推薦服務器根據相關的數據迭代算法，從擾動后的數據中得到可用的群組偏好數據實現對群組的推薦。文獻[23]提出了基于群組的隱私保護方法，將群組作為一個中間件對群組用戶進行隱私保護，群組用戶將個人偏好數據通過聚合策略進行聚合后，以群組的方式來進行推薦，有效地保護了群組用戶的隱私數據。文獻[24]提出基于可信客戶端生成一組虛擬的偏好配置文件傳輸給推薦服務器進行推薦，以掩蓋用戶敏感主題，實現對用戶個人隱私的保護。文獻[25]從群組推薦系統的形式化定義和研究框架入手，對群組推薦系統的用戶偏好獲取、群組發現、偏好融合算法以及效用評價等關鍵技術進行前沿概述，并對群組推薦系統中的用戶隱私保護問題進行了展望。文獻[26]針對移動社交網絡的應用場景，提出一種基于影響因子的群組推薦隱私保護方法，該方法使用模糊矩陣算法來實現對用戶隱私的保護。文獻[27]提出一種基于差分隱私保護算法和時間因子相結合的高效隱私保護協同過濾算法，該算法能夠很好地保護用戶隱私。文獻[28]提出了一種新的綜合考慮代理和用戶屬性及其偏好的私有數據信息匹配算法，該算法支持具有偏好信息的多元屬性數據匹配，能夠有效保障用戶和子代理的安全性。文獻[29]提出了一種基于位置混淆的軌跡隱私保護方法，該方法混淆用戶的真實查詢位置，使攻擊者不能推斷出用戶的真實軌跡，實現對用戶的隱私保護。文獻[30]提出了一種基于k-匿名的位置及數據隱私保護方法，并采用基于多方安全合作的方法來構造一個包含n個互相沒有任何鏈接的用戶的等價類，以保證參與用戶的位置隱私。

以上研究發現，現有的群組推薦系統中的隱私保護方法大都是在客戶端對群組內所有用戶進行協同擾動實現隱私保護，這樣的隱私保護方法實現的前提是假設群組內所有用戶都具有相同的隱私保護需求。但事實上，群組內不同用戶的隱私保護需求往往具有個性化差異。

本文在文獻[24]模型及框架基礎上，提出了面向群組推薦的組內用戶個性化的隱私保護框架和方法。

3 群組敏感偏好隱私保護方法

介紹本文提出的隱私保護方法之前，首先分析群組推薦中可能存在的攻擊和隨機化擾動隱私保護方法。

3.1 攻擊分析

群組推薦系統面臨的不同于個性化推薦系統的攻擊主要有審查攻擊和評級攻擊[21]。1)審查攻擊是指攻擊者在了解到某個項目已被某個用戶查看過的背景知識的前提下，可以從匿名數據集中重新識別該用戶。例如，根據一些公共的數據源，如果攻擊者知道用戶查看了其他用戶沒有查看過的一些項目，則該用戶的身份可以很容易地被找出。2)評級攻擊是指攻擊者通過比較單個用戶評分與組中其他用戶的評分來識別評分異常的用戶。例如，攻擊者可以基于某個用戶對特定項目給予高評分，而該組中的其他用戶給這個項目低評分，從而識別出該用戶。本文假設攻擊者是具備一定背景知識的主動攻擊者，攻擊者會結合自身已有的背景知識和群組內用戶的評分信息來識別群組內具體的用戶，從而挖掘出該用戶的敏感信息。

3.2 隨機化擾動技術

隨機化擾動技術本質上是一種數據偽裝技術，其主要作用是緩解用戶偏好中敏感信息泄露的風險。隨機擾動技術主要是在用戶原始數據上隨機選取添加一個服從均勻分布或者高斯分布的擾動噪聲，從而保護用戶的原始數據不被竊取。例如，為了隱藏數據a，就在a上添加一個隨機數r，則外界獲得的是數據a+r。在本文提出的隱私保護方法中，為實現簡單，給用戶的真實數據加上一個隨機噪聲后才發給服務器，從而保護用戶隱私數據。

3.3 k-匿名技術

匿名技術目標是防止惡意攻擊者通過用戶發布的信息來定位用戶，對用戶發布的信息進行匿名處理消除身份信息識別符，形成對用戶的隱藏。常見的方法是k-匿名和添加虛擬用戶。設RT(A1,A2,…,An)是數據表，RT 的相關關聯標示符記為QI 。如果每一個在 RT[QIRT]中的序列值在RT[QIRT]中最少出現過k次，則稱其滿足k-匿名。添加虛擬用戶主要是用一些合理的虛擬用戶來代替部分真實用戶，從而實現隱私保護。本文采用了k-匿名的隱私保護思想對群組用戶敏感信息進行保護，主要實現策略是通過本文提出的群組敏感偏好保護方法在群組內發現與目標用戶相似的用戶，在此基礎上，利用相似用戶的偏好對目標用戶進行協同擾動，實現對目標用戶敏感信息的保護。

3.4 實現隱私保護的群組推薦框架

本文提出的基于可信客戶端的面向群組推薦的個性化隱私保護框架（UPPPF-TC-GR）結構如圖1所示。其中，可信客戶端是指能夠實現安全目標的客戶端，用戶在客戶端的所有操作都具有原子性、非否認性、可追究性、公平性以及隱私性等特點。非可信是指推薦服務器在進行用戶數據的存儲和數據建模等操作方面存在隱私泄露的可能。推薦服務器是面向所有用戶或組織的，其中不法組織或攻擊者可能會挖掘出用戶的敏感信息，對用戶的隱私產生威脅?？尚趴蛻舳擞? 個模塊組成，分別是行為記錄模塊、偏好分析模塊、主題槽散列模塊、敏感偏好保護模塊和推薦結果選擇模塊，各模塊的功能將在3.5 節介紹。非可信推薦服務端由推薦算法和數據庫兩部分組成。

本文的隱私保護目標是在可信客戶端實現對用戶隱私的保護。其中，數據庫存儲用戶歷史數據和項目-主題分類文檔信息，項目-主題分類文檔是通過項目-主題分類樹來構建的，項目-主題分類樹是系統內存中存在的一個層次化的平衡多路查找樹，主要用于管理推薦系統中所涉及的項目，便于將項目進一步分類。項目-主題樹的實現原理類似于機器學習中的決策樹模型。首先，對項目進行主題劃分，其中，主題可以根據外部項目-主題分類知識庫如維基百科等進行獲取，或者根據實際數據集中所對應的主題集進行遍歷得到；其次，考慮到一個項目具有多個屬性，本文根據項目屬性將項目歸屬到具體的主題分支下；最后，對項目-主題分類樹進行剪枝操作，得到最終的項目-主題分類樹。

圖1 UPPPF-TC-GR 結構

下面簡要分析可信客戶端中各個模塊的作用。行為記錄模塊主要負責收集群組內用戶的歷史記錄，本文將用戶行為記錄的收集放在可信客戶端來實現，主要是為了增強用戶對于數據的可控性。偏好分析模塊主要負責將收集到的群組內用戶歷史記錄進行偏好建模，為每個用戶構建屬于自己的偏好配置文件。主題槽散列模塊主要負責將用戶偏好中的項目信息分類到相應的主題槽中。敏感偏好保護模塊主要負責對主題槽中的敏感主題進行保護，實現對群組用戶隱私的保護。推薦結果選擇模塊主要負責從推薦系統中選擇出推薦結果并將其反饋給群組完成整個推薦流程。

3.5 主要模塊介紹

本文提出的UPPPF-TC-GR 將用戶行為記錄模塊和偏好分析模塊從推薦系統中分離出來，由可信客戶端實現。這樣做的好處是保證系統對于群組用戶數據的可控性和隱私保護模塊產生數據的可靠性。這2 個模塊主要是對用戶歷史數據挖掘、建模和分析。推薦結果選擇模塊主要是將推薦結果返回給群組，完成整個推薦流程。下面介紹本文提出的主題槽散列模塊、敏感偏好保護模塊的設計和實現以及非可信推薦服務端的群組推薦算法。

3.5.1 主題槽散列模塊

主題槽散列模塊主要基于項目-主題分類樹和本文提出的散列槽（hashslot）來實現。主題槽散列模塊的主要功能如下。首先，根據項目-主題分類樹將群組用戶偏好項目分類到相對應的用戶hashslot 中。其次，根據分類存儲后的群組用戶主題偏好進行主題重要性計算。最后，根據計算結果發現群組用戶存在的敏感主題。其中，項目-主題分類樹如圖2 所示。主題樹具有以下特征：1)每個葉子節點表示一個項目；2)每個非葉子節點代表一個主題；3)每個項目都包含在一個主題中；4)每個主題（根節點除外）都包含在另一個主題中。得到群組用戶的偏好項目相對應的偏好主題后，將其存儲到hashslot 中完成主題槽散列。其中，本文的hashslot 結構如圖3 所示，hashslot 結構具有以下特征：1)hashslot 由多個slot 槽組成；2)hashslot 槽的個數根據系統內存中項目所對應的主題個數來確定；3)每個slot 對應一個主題，存儲到同一個slot中的數據都對應著相同的主題；4)每個slot 中的數據都包含著項目和評分信息。本文系統中為每個群組用戶都配置了一個hashslot 槽。經過主題槽散列模塊的處理后，將群組用戶的偏好配置信息都存儲到相應的用戶主題槽中。至此，完成了將群組內用戶偏好配置信息散列到相應的用戶主題槽的操作。

圖2 項目-主題分類樹

圖3 用戶偏好主題槽hashslot

3.5.2 敏感偏好保護模塊

1)相關符號描述

敏感偏好保護模塊基于主題槽散模塊，主要功能如下：首先，將群組用戶偏好數據都散列到相對應的主題槽中；其次，根據群組用戶主題槽進行主題重要性計算來發現群組用戶的敏感主題；最后，根據群組用戶存在的敏感主題進行隱私保護處理。為了表述方便，表1 給出了本文用到的主要符號和定義。

表1 相關符號說明

2)相關定義描述

為了在可信客戶端實現對群組內用戶敏感偏好的保護，下面對本文采用的隱私保護方法中的計算式做如下定義。

定義1群組內用戶偏好項目集。群組內用戶偏好項目集是群組內用戶感興趣的所有項目的集合，可以表示為

其中，I表示所有項目的集合，score(i)表示用戶u對項目i的評分?？梢钥闯?，群組內用戶偏好項目集是由用戶評分不為零的項目組成的。

定義2群組內用戶偏好主題評分。群組內用戶偏好主題評分代表用戶對某個主題的喜好程度，是根據群組內用戶偏好項目集評分得到的。本文只考慮群組偏好項目的直接主題，而不考慮項目的其他層次的主題，主題的層次越高，其屬性就越抽象；主題的層次越低，屬性就越具體。本文的保護目標是實現對具體主題的保護，因此本文可以形式化定義群組內用戶偏好主題評分為

其中，w(g)表示所有直接屬于主題g的項目。

定義3群組內用戶偏好主題集。是一組由用戶感興趣的所有主題所組成的集合，其可以形式化地定義為

其中，S代表所有主題集合，score(g)表示用戶u對主題g的評分?？梢钥闯觯航M內用戶偏好主題集是由用戶評分不為零的主題組成的。

定義4群組內用戶主題槽hashslotu。代表用戶u的偏好主題槽，用于存儲用戶u相對應主題下的項目，每個用戶都由可信客戶端分配相應的主題槽，單個用戶的偏好主題槽的數目是由系統中項目所具備的主題類型數目來確定的，它由多個slot組成。

定義5群組內用戶偏好項目集特征分布。給定一個偏好項目集SU*，其特征分布可以用下面的向量來描述。

定義6群組內用戶偏好主題集特征分布。給定偏好主題集合SS*，其特征分布可以使用以下向量來描述。

定義7用戶主題重要性。描述一個敏感主題在群組內用戶偏好配置文件中的重要程度，其可以形式化地定義為

其中，s*代表一個敏感主題，score(hashslotu)代表單個用戶的所有主題評分。本文根據敏感主題重要性，對用戶偏好配置文件中的敏感屬性進行保護。

定義8項目特征相似性。表示隱私保護處理后的群組偏好配置文件和真實的群組偏好配置文件的相似度。2 個項目集合之間的特征相似性可以通過2 個項目集合的項目特征向量的相似度和主題特征向量的相似度來進行度量。P1* 和P2* 之間的特征相似性度量為

其中，a0和ak為平衡參數，sim(G1*,G2*)和sim(SK1*,SK2*)利用歐幾里得距離公式進行計算。

定義9相似用戶。根據定義7 算出群組內所有用戶的主題重要性以及目標用戶需要保護的敏感屬性所在的主題，將該主題重要性與組內其他用戶相應主題下的主題重要性進行比較，從群組內發現k個相似的用戶對目標用戶進行敏感屬性的擾動。本文定義參數q對用戶間主題相似度進行度量，q值越小，則2 個用戶之間的相似性越高。本文形式化將其定義為

其中，ui指代其他用戶，i=1,2,3,…,n，0＜q＜1。

3)隱私保護方法的設計

為了保護群組內用戶的隱私，根據群組用戶是否有隱私保護的需求，在可信客戶端對群組用戶的敏感屬性進行隱私保護處理。首先，用戶的隱私保護需求通過顯式偏好獲取的方式來收集；其次，群組用戶隱私保護需求在可信客戶端使用隱私保護參數Ω進行定量分析，Ω的取值范圍為{-1,1}，當Ω=1 時表示用戶需要進行隱私保護處理，當Ω=-1 時表示用戶不進行隱私保護處理。因此，對于有隱私保護需求的用戶，考慮到其需求可能存在差異，本文采用群組敏感偏好保護方法，通過調整k個相似用戶的大小來實現不同的隱私保護需求。

本文的隱私保護方法應盡可能地使單個用戶的評分在群組內不敏感，這樣在惡意攻擊者具備一定的背景知識的情況下，相應的審查攻擊和評級攻擊就不會起作用，本文的隱私保護方法思想如圖4 所示，該思想主要利用群組用戶中與目標用戶相似的k個用戶的評分信息，對目標用戶的敏感屬性進行協同擾動（k是一個需要調整的參數，相似用戶根據定義9 計算），實現對用戶隱私的保護。

本文提出的隱私保護算法首先根據Ω隱私保護參數的值進行群組內用戶的分類，對需要進行隱私保護的用戶分別實現隱私保護處理，為了提高整個算法效率，假設在隱私保護模塊中的算法實現中預先存在項目-主題分類樹。然而，項目-主題分類樹的葉節點深度可能彼此不同。因此，為了便于算法的實現，可以采用以下2 種方式對主題樹進行預處理。1)分割一些較小深度的葉節點，并構造它們的父節點。2)合并一些葉子更深的節點，并刪除其父節點。通過這樣的操作后，可以使主題樹具有相同的深度。另外，本文將項目-主題分類樹預先加載到內存中，以提高算法的運行效率。由于相似用戶對于目標用戶的敏感項目的評分不確定，因此本文的算法分為2 種情況。1)當找到的相似用戶對敏感項目存在評分時，利用相似用戶和目標用戶的評分進行協同擾動，將擾動之后的評分作為這k+1 個用戶對于敏感項目的評分。2)當相似用戶對敏感項目沒有評分時，利用目標用戶對該敏感項目的評分平均化操作后，再加上服從標準高斯分布的w噪聲值作為這k+1 個用戶對于敏感項目的評分，其中，

圖4 群組敏感偏好保護方法

下面介紹本文提出的群組內用戶隱私保護算法，算法1 詳細介紹了群組敏感偏好保護方法的實現。在GSPPM 中發現群組中具有隱私保護需求的用戶的敏感偏好，對用戶的敏感偏好進行隱私保護處理，將隱私保護處理后的群組內用戶偏好傳遞給推薦系統進行推薦。具體方法如下：首先，對項目-評分信息進行預處理操作，主要的預處理操作方法是根據項目-主題分類樹對用戶項目進行主題分類；然后，根據主題重要性計算方法發現用戶的敏感偏好主題，在發現敏感主題的基礎上，根據主題相似性尋找與目標用戶相似的前k個相似用戶；最后，根據相似用戶和目標用戶對敏感項目的評分信息進行協同擾動，將擾動后的評分信息作為群組內用戶的最終評分信息，從而實現對用戶敏感信息的保護。

算法1GSPPM

輸入群組內用戶的偏好項目集合r1,r2,...,rn，相似用戶的數目k

輸出隱私保護處理后的群組內用戶偏好項目r1*,r2*,…,rn*

beginP[]GSPPM (Ggroup)

foruinG

step1P[]products=u.getProducts()；//得到單個用戶的偏好項目

step2putProduct2hashslot(u,products,hashslot)；//將單個用戶的偏好映射到相應的slot 槽中

step3SentiveSubject sp=findSensitiveSubject(u,hashslot)；//尋找敏感主題

step4findSimilaryUsers(sp,hashslot,u,k)；//根據目標用戶的敏感主題尋找群組內相似用戶

step5changeScore(sp,u,SimilaryUsers[]sus)；//根據相似用戶的評分擾動目標用戶的評分

return products

end for

從算法1 中可以發現，本文采用的隱私保護方法是使用群組內相似用戶的評分對目標用戶評分進行協同擾動的方式來保護用戶隱私的。當系統為用戶評分加入過高的噪聲數據時，將導致數據的大幅度失真，直接引起推薦質量的下降，推薦質量的下降又將導致用戶減少對推薦系統的使用，這樣的惡性循環不利于推薦系統的良性發展。當系統為用戶評分加入少量的噪聲數據時，數據失真不明顯，不能很好地保護用戶的敏感數據，攻擊者可能根據背景知識推斷出實際的用戶信息。因此，本文在群組用戶的評分信息中加入適量的噪聲并結合k-匿名的思想來保護群組用戶的隱私。對比實驗2 顯示了加入適量的噪聲的隱私保護方法確實會損失部分推薦精度，但為了在推薦精度和隱私保護之間進行平衡，本文認為犧牲一定的推薦精度來實現用戶隱私保護的行為是值得的。

3.5.3 群組推薦算法

在面向群組推薦系統中，本文需要考慮群組內所有用戶的偏好。目前，主流的面向群組推薦的方法分為推薦融合方法和模型融合方法。模型融合方法是先根據群組內用戶的用戶偏好模型融合生成群組偏好模型，然后基于群組偏好模型生成群組推薦。推薦融合方法是先利用傳統推薦算法對每個群組用戶生成推薦，然后將所有群組用戶的推薦結果融合得到群組推薦結果。本文采用模型融合的方法對群組進行推薦。對群組內需要進行隱私保護的用戶，通過群組敏感偏好保護方法實現對群組用戶敏感偏好的保護后，再將擾動后的群組偏好傳輸給推薦服務器進行推薦，對沒有隱私保護需求的用戶，則按照傳統的協同過濾算法進行推薦。

3.6 有效性分析和效率分析

算法有效性分析。算法的主要性能消耗在計算群組內用戶的主題重要性和尋找群組內與目標用戶相似的用戶上，但是這部分消耗也是極少的，因為實驗的群組用戶數量不大，系統中存在的主題數目和群組內用戶的偏好主題數目都是極小的，從項目-主題樹中搜索用戶偏好的效率也是極高的，因為本文對系統的項目-主題分類樹進行了一系列的簡化，使項目-主題分類樹的深度只有三層，這樣可以極高地提高算法的運行效率。

隱私保護性能分析。首先，隱私保護算法處理后的群組用戶偏好項目已經不是原始的群組用戶偏好項目，該群組用戶偏好項目過濾了原始群組用戶偏好項目中的敏感偏好，推薦系統獲取到的就不是原始的群組偏好，有效地解決了3.1 節給出的審查攻擊和評級攻擊。其次，根據定義8 的項目特征相似性計算發現，擾動后的項目特征和原始的項目特征之間具有很高的相似性，說明擾動后的數據能夠在保證良好的數據可用性的同時，實現對群組用戶的隱私保護。最后，本文利用群組內相似用戶的項目偏好進行協同擾動，實現單個用戶的評分在群組中不敏感。實驗結果表明，本文的隱私保護方法可以在有效地保護群組用戶隱私的同時，保證推薦的質量。

4 仿真實驗與效用評估

4.1 實驗數據集和數據集預處理

本文實驗環境是基于Windows8 平臺64 位系統，其處理器是雙核2.5 GHz。本文算法采用Java語言編程實現。本文所使用的數據為學術界研究廣泛使用的極具代表性的 MovieLens 數據集，其中包含943 個用戶對于1 682 個電影的10 萬條評分，且每個用戶參與評價的數目不少于20 條。數據集都是由1～5 的整數值組成，數值越大表示用戶越喜愛相關的項目。

為了在面向群組推薦的過程中驗證本文提出方法的有效性，根據用戶的基本信息對數據集中的用戶進行群組劃分，主要包含如下3 種劃分方式，即性別劃分、按年齡劃分、按職業劃分。具體的劃分方法如下。1)性別：男、女。2)年齡：小于20歲、21 歲～30 歲、31 歲～40 歲。3)職業：教師、銷售、程序員等。為了方便本文所提隱私方法的實現，對數據集進行了預處理。將選取數據集中的電影的標題（title）和電影的類別（genre）這2 個屬性進行項目-主題分類樹的構建。具體構建操作是根據title 和genre 之間的對應關系，將相對應的項目葉子節點插入主題根節點下，從而實現多層次的項目-主題分類樹的構建。

4.2 實驗方法

本文將數據集按照4:1 的方式劃分為訓練數據集和測試數據集兩部分，采用了RMSE（均方根誤差）對群組推薦結果的準確性進行分析。RMSE 在群組推薦場景下的表達形式為

其中，ip表示測試數據集中用戶對項目i的實際評分，ir表示推薦系統對測試數據集中項目i的預測評分。由定義可知，RMSE 的值越小，則所預測的推薦結果越準確。

4.3 實驗結果與分析

4.3.1 對比實驗1

對比實驗 1 將群組敏感偏好保護方法（GSPPM）和隨機擾動方法進行對比。表2 給出了在不同群組大?。ㄓ脩魯担┖腿航M分類方法下2 種擾動方法RMSE 值的對比。

根據圖5 的實驗結果發現，本文提出的群組敏感偏好保護方法的RMSE 值更小，說明本文方法的推薦準確性更高，并且當使用較細粒度的按職業進行群組劃分的方法時，推薦準確性明顯高于按性別進行群組劃分的方法。

4.3.2 對比實驗2

對比實驗2 是用RMSE 參數來進行度量，將加入了隱私保護方法后的群組推薦方法和文獻[22]中提出的CF-based 的群組推薦方法進行對比。其中，CF-based 的群組推薦方法采用模型融合的方式進行推薦，先對群組內用戶的偏好進行偏好融合后形成群組偏好，然后再利用傳統的基于項目的協同過濾推薦算法對群組進行推薦。

圖6 的實驗結果表明加入隱私保護方法后，推薦系統的推薦準確性并沒有出現較大幅度的失真，說明本文的方法能夠在保護群組內用戶隱私的同時，實現對群組用戶的準確推薦。

表2 不同群組大小和群組分類方法下的RMSE 值

圖5 隨機擾動方法和GSPPM 的對比

圖6 融合GSPPM 隱私保護方法的群組推薦和CF-based 群組推薦的對比

4.3.3 對比實驗3

對比實驗3 驗證參數k對推薦結果的影響。對比實驗1 的結果表明，當選用職業作為劃分群組的標準時，群組推薦結果的準確性明顯高于以年齡和性別作為劃分群組標準時的準確性，因此本文的實驗是以職業進行群組劃分，群組的用戶數目選擇為20，在此基礎上通過調整參數k的大小來觀察其對推薦準確性的影響。

圖7 的實驗結果說明在使用職業作為群組劃分的前提下，當相似用戶的數量達到群組數量的時，推薦準確性相對較高的，當使用的相似用戶數量逐漸增大時，對推薦的準確性會有一定的影響，因此本文將相似用戶的數量設置為當前群組大小的。

圖7 不同k下的RMSE

根據以上實驗表明，本文在引入隱私保護方法之后，推薦準確性沒有出現較大的損失，保證推薦系統能夠在一定的精度損失范圍內，實現有效的推薦和保護群組內用戶的敏感信息。在實驗性能方面，主要在可信客戶端存在一定的時間消耗，但是這樣的時間消耗可以保證用戶的隱私，本文認為這樣的時間消耗是值得的。

5 結束語

為了解決群組推薦中的個性化隱私保護問題，本文提出了基于可信客戶端的面向群組推薦的隱私保護框架，在實現面向群組準確推薦的同時，保證群組內用戶個性化的隱私保護需求。然而，數據在傳輸過程可能存在隱私泄露的風險，后續的工作將圍繞如何提升數據傳輸的可靠性與安全性展開研究。