攻击标签系统

核心提示：WebKDD的一篇论文《探索profile注入攻击在社会标签系统中的影响》（作者Maryam Ramezani, JJ Sandvig, Runa Bhaumik, 与Bamshad Mobasher）声称像del.icio.us那样的社会标签系统是很容易被攻击及控制的，该论文探讨了社会标签系统中两种类型的攻击，攻击标

WebKDD的一篇论文《探索profile注入攻击在社会标签系统中的影响》（作者Maryam Ramezani, JJ Sandvig, Runa Bhaumik, 与Bamshad Mobasher）声称像del.icio.us那样的社会标签系统是很容易被攻击及控制的。

该论文探讨了社会标签系统中两种类型的攻击，一种攻击会试图让一篇文档出现在某些标签搜索里，但其实它是不应该出现的；另一种攻击试图通过建立一篇文档与其它文档的关系而达到推销该文档的目的。

一些摘录：

我们研究的目的是为了回答类似如下的问题……The goal of our research is to answer questions such as ... 在服务质量明显变坏之前，一个标签系统能忍受多少的恶意用户？攻击者需要多少的努力与知识？

我们详细地描述了两种类型的攻击，并研究它们对系统的影响……重载攻击的目的，顾名思义，就是重载某个标签与文档的关系，使得系统认为标签与某个文档具有极大的相关性……访问目标文档的流量也因此而得到提高。驼载攻击的目的，是为了使得目标文档得以依赖其它文档的成功而突出自己……这样他们就显得相似了。

我们的结果表明标签系统面对攻击是非常脆弱的……一个针对某个特定用户群体的目标导向攻击可以很容易地被注入到系统中……低频率的url面对驼载攻击及流行、聚焦的重载攻击时不堪一击。高频率的url面对重载攻击也显得很脆弱。

该论文继续描述了一些攻击社会标签系统的方法，它们只需要通过建立极少的一些伪造用户来实现，伪造量只需要为系统所有用户数的0.03%。

坦率地说，我很奇怪为什么没看到对于标签系统过多的攻击。很可能是因为大多数这类网站都缺少大量的、主流的用户，所以牟利动机还不足以高到对它们发起持续的攻击。

可以看看我更早的一篇博文：《攻击推荐系统》，讨论了来自同几个作者的一篇文章。