本文针对 DP-SGD，即差分隐私下的随机梯度下降算法，采用对手模型来探究不同的对手能力对于隐私分析的影响，并计算了隐私保护的下限。实验结果表明，现实情况下的对手能力限制显著影响了隐私的泄露程度，这说明已有理论上的隐私上限过于保守。

Jan, 2021

通过研究选择性分类器在差分隐私约束下的效果，探讨深度学习模型的可靠性及隐私泄漏问题，发现最近的一种基于现成的深度学习模型生成检查点的方法在差分隐私下更为合适，使用差分隐私不仅会降低模型的效能，而且在隐私预算降低时需要付出相当大的覆盖成本。

May, 2023

本文研究机器学习中的安全和隐私领域，重点探究性会员推断攻击是否会受到对抗性的防御方法的影响，并通过实验验证证明对抗性的防御方法可以增加目标模型的风险。

May, 2019

本文提出了一种名为 “判别性对抗隐私”（DAP）的新型学习技术，该技术通过达到模型性能、速度和隐私之间的平衡来解决 DP 的局限性。DAP 依靠对抗训练，基于一种新的损失函数，该函数能够最小化预测误差并最大化 MIA 的误差。此外，我们引入了一种名为 “准确性隐私权”（AOP）的新指标来捕捉性能 - 隐私权衡。最后，为了验证我们的观点，我们将 DAP 与不同的 DP 情景进行比较，并从性能、时间和隐私保护角度分析结果。

Jun, 2023

现有经验性隐私评估存在严重陷阱，忽略了差分隐私的可证明保证，无法准确评估最易受攻击样本的隐私泄露，使用弱攻击方法且避免与实际差分隐私基准进行比较。在五个实证隐私防御案例中，我们发现先前的评估低估了隐私泄露量一个数量级。在我们更强的评估方法下，我们研究的任何经验性防御方法都无法与合理调优、高效的 DP-SGD 基线竞争（具备虚无可证明保证）。

Apr, 2024

本文提出了一种采用差分隐私机制的数据推断攻击防御方法，通过调节一个参数，即隐私预算，处理成员推断和模型反演两种类型的攻击。该方法能够保持分类精度，并通过修改和标准化置信度得分矢量来保护成员隐私信息。实验结果表明，该方法对于成员推断和模型反演两种攻击是一种有效且及时的防御方法，不影响模型分类准确度。

Mar, 2022

本文研究了对抗训练的对抗攻击容忍性与隐私攻击容忍性之间的关系，通过对 CIFAR-10 数据集进行三种不同类型的模型反演攻击，揭示了对抗训练模型输入空间存在的问题。

Jun, 2019

介绍了一种隐私机制，用于训练机器学习模型以保证隐私，并使用敌对训练算法最小化模型的分类损失和最大的成员推断攻击，从而提高模型的鲁棒性和泛化性能，该机制在深度神经网络上的测试结果表明，可以在可接受的分类误差下显著降低成员推断攻击的风险。

Jul, 2018

本文介绍一种名为 PixelDP 的新型防御技术，它是基于差分隐私的一种新型密码学概念，可以为大型数据集和任意模型类型提供强大的保护机制，具有防范对抗性例子的鲁棒性保证。

Feb, 2018

本文旨在研究数据污染攻击及其对机器学习的影响，提出差分隐私保护措施以防范攻击， 并设计了攻击算法，试图从目标和输出的角度影响学习器，实验结果表明，攻击者在污染足够多的训练数据时，攻击方法的有效性较高。

Mar, 2019