近年来,随着机器学习技术的快速发展以及计算设备算力的爆发式增长,机器学习在多个领域得到了广泛的应用并取得了显著的成效,包括图像识别、自然语言处理、在线推荐等领域。越来越多的公司和组织将机器学习集成到其服务和产品中,以提高服务质量和效率。然而,大量研究工作和真实案例表明机器学习存在严重的用户信息泄漏风险,给用户个人隐私安全带来严重威胁。因此,针对机器学习中用户数据隐私的研究已成为一个热点课题,引起了学术界与工业界的广泛关注。机器学习中数据隐私安全面临多种威胁和挑战,本文重点关注针对训练数据的成员推断攻击:给定一个机器学习模型和一个样本,推断该样本是否被用于模型的训练。虽然相关研究人员已经提出多种攻击和保护的方案,但现有工作仍存在诸多不足:（1）现有成员推断攻击仅揭示了在预先获得机器学习模型及其训练数据相关信息的条件下,训练数据成员隐私泄露的风险,而实际场景下没有目标模型相关信息、甚至仅有黑盒机器学习模型预测接口时的成员隐私泄露风险尚不明确;（2）现有成员推断防御需对被保护模型的结构和训练流程进行修改,或向模型预测输出中增加噪声,影响机器学习模型的可用性;（3）现有工作无法对机器学习模型的训练数据所有权进行有效的认证和保护,导致训练数据所有权的安全面临威胁与挑战。针对上述问题,本文将分别从成员推断攻击、成员推断防御以及训练数据所有权认证三个角度对训练数据所面临的隐私风险展开研究。本文的主要工作和创新点可归纳为:1.针对现有成员推断攻击所依赖的先验信息过于严苛的问题,提出了一种无需目标模型相关信息的成员推断攻击,表明在目标模型信息缺失的情况下,机器学习模型面临数据隐私泄露的风险。现有成员推断攻击需要目标模型及其训练数据的先验信息,用以构建可模拟目标模型预测行为的影子模型;随后利用影子模型获得目标模型在训练数据和非训练数据上预测行为差异,以执行推断攻击。然而在实际场景中,目标模型相关信息通常难以获得的,现有攻击无法构建影子模型。为此,本文提出一种基于训练数据先验信息的成员推断攻击,该攻击利用训练数据信息及对抗学习技术构造与目标模型具有相似预测行为的模拟模型,随后利用机器学习模型的迁移性进行推断攻击,打破了目标模型算法、结构的约束,可实现针对多种类型机器学习模型的成员推断攻击。2.在前述工作基础上,进一步提出一种仅需黑盒目标模型预测接口的成员推断攻击,揭示了在实际场景中部署的黑盒机器学习模型仍然存在数据隐私泄露的风险。现有成员推断攻击一般利用目标模型的预测输出,然而在黑盒场景下,目标模型在不同数据上的预测差异难以被捕获。为此,本文对目标模型的梯度信息与数据的成员属性之间的关联性展开研究,随后利用数据样本相对于目标模型的梯度来进行推断攻击。该推断攻击首先在给定目标样本周围通过构造局部线性模型的方式,获得给定样本相对于黑盒目标模型的近似梯度。随后利用目标模型相对于训练数据与非训练数据的近似梯度差异,从而在无需目标模型及其数据集先验信息的情况下,实现针对黑盒模型的成员推断攻击。3.针对现有成员推断防御对机器学习模型可用性有较大影响的问题,提出一种基于训练数据特征筛选及混淆的成员推断攻击防御方法,以实现成员隐私保护强度与模型可用性之间的平衡。现有成员推断攻击一般利用机器学习模型在其训练数据和非训练数据上预测输出的差异,因此现有防御手段主要集中在对模型过拟合的控制以及预测输出的扰动,极大地影响了模型的可用性。为此,本文针对直接面向训练数据的成员推断防御进行研究,提出一种成员推断防御。该防御从降低机器学习模型在不同数据之间预测差异的角度出发,通过筛选对模型预测行为具有显著影响的特征,并对该特征的特征值进行聚类扰动,缓解敏感特征值不同所导致的模型预测结果差异,缩小机器学习模型在训练集和测试集上预测行为的差异,从而降低训练数据集中成员隐私泄露的风险。所提防御无需对现有机器学习模型训练流程进行修改,可直接部署至多种机器学习模型中;同时可在成员隐私保护强度与模型性能之间取得良好的平衡。4.针对黑盒机器学习模型中训练数据所有权的保护问题,提出了一种基于成员推断攻击的训练数据所有权认证方法,以实现对训练数据非法盗用的检测。现有机器学习中所有权保护的工作主要集中在模型的所有权以及模型创建者的身份验证上。与现有工作不同,本文对训练数据所有权的保护展开研究。所提认证方法利用训练数据中的部分数据对不同机器学习模型的预测行为有相似影响的观察,使用成员推断攻击提取这些数据作为被保护数据集的指纹。随后通过验证指纹数据相对于给定模型的成员属性,验证模型训练数据的所有权。该工作表明成员推断攻击可用于揭示训练数据所有权与给定机器学习模型之间的关系。该认证方法仅需给定机器学习模型的黑盒接口,且无需对被保护数据进行修改;同时还可从训练数据为切入点,实现模型所有权的验证。