信息时代数据逐渐成为重要的资本,为了有效的从数据中提取知识,研究者提出各种机器学习算法。随着机器学习算法的大量应用,其脆弱性也充分暴露出来,引起越来越多的研究者关注机器学习系统涉及到的安全问题。例如,针对成员推断攻击学者提出了很多防御方法,但是仍有一些问题尚待解决。首先研究者通常会假设攻击者拥有强大的背景知识和可用样本,这使得在研究攻击的应用时,一定程度上缩小了其可能存在的场景。其次,现存成员推断攻击防御机制主要属于启发式,部分防御训练过程较为复杂、大都需要对背景知识进行假设;而差分隐私机制由于拥有严格的数学证明等优点,已有研究者探讨如何应用于成员推断攻击的防御,但其更多建立在理论层面上。本文针对以上问题,结合最新的研究成果,对其相关技术进行深入地分析。主要内容如下:（1）针对攻击者在进行成员推断攻击时获取样本存在限制,提出使用辅助分类器生成对抗网络对样本进行扩充,再在生成的数据集上进行成员推断攻击,以减小攻击者的攻击代价以及放宽攻击的应用场景。实验结果表明,该方法在真实环境,即攻击者很难获得大量背景知识的情况下具有可行性,说明成员推断攻击可以用更小的攻击代价、在更严格的环境中,完成好的攻击效果。（2）针对现存成员推断攻击的差分隐私防御机制更多是建立在理论层面上,且计算过程复杂、对信息损失的分析不够严谨等缺点,将差分隐私随机梯度下降（DPSGD）算法用于成员推断攻击防御中;针对其隐私度量机制计算过程较为复杂、分析方法不够简洁等问题,对DPSGD算法中的隐私预算度量机制进行了修改,使用理论分析更加清晰、严密的基于集中差分隐私的隐私损失度量机制。实验结果表明,该方法可以有效的抵御成员推断攻击,能够在不需要额外的计算开销和限制使用场景、攻击者的先验知识的情形下达到很好的防御效果。总之,本文从攻击和防御两个角度对成员推断攻击进行研究,并通过实验验证所提出方法的有效性,为后续工作奠定基础。图20表4参66