随着网络技术的不断发展,积累了丰富的数据资源。由于这些数据资源中包含有大量敏感隐私信息,诸如就医记录、个人位置信息、生物特征信息等,因此,基于以这些数据构建的机器学习应用容易遭受隐私威胁。相关研究也已表明,机器学习在数据收集、训练过程和预测全过程中都存在隐私泄露风险。这些风险不但破坏了机器学习训练数据的机密性,还一定程度上阻碍了机器学习的大规模应用与快速发展。因此,机器学习隐私保护引起了学术界和工业界的广泛关注。近年来,机器学习隐私保护的研究取得了显著的进展,但存在一些问题与不足:（1）隐私威胁研究方面,一方面,针对机器学习隐私威胁的综合研究不足,无法为隐私威胁综合防护技术研究提供支撑;另一方面,当前研究对攻击者所需假设条件多少存在较大差别,缺少对最少假设边际条件探索;（2）隐私保护方面,存在防护范围难以覆盖机器学习全生命周期、提供的防护隐私威胁种类单一、引入隐私保护手段后防护水平和模型应用性能之间难以平衡等问题;（3）隐私风险评估方面,缺少面向数据特征的隐私风险分析与评估方法,导致隐私风险评估机制不全面,无法为数据拥有者提供用户级隐私风险控制支撑。这些问题制约了机器学习隐私保护领域的研究发展,致使当前隐私防护水平无法满足机器学习的大规模应用与快速发展的需求。为解决这些问题,本文开展了机器学习过程中隐私泄露风险、隐私保护方法、隐私风险评估等方面相关的研究。具体工作内容如下:1.面向现实场景的机器学习隐私威胁研究针对当前研究认为攻击者可获得大量信息,仍然缺少构建隐私威胁的最少假设边际探索这一问题,提出了一种基于生成对抗网络的机器学习隐私威胁方法GANMIA。随后,基于CIFAR10数据集,在攻击已知目标模型训练数据信息不超过2%情况下进行攻击实验。实验结果表明,GANMIA的攻击准确率能达到82.1%,与仅有原始数据情况下黑盒攻击相比准确率提升了23%。2.机器学习隐私保护研究（1）针对机器学习隐私威胁研究中防护范围无法涵盖机器学习全生命周期和防护隐私威胁种类单一的问题,提出了一种覆盖机器学习全生命周期的多隐私威胁防护机制。该研究采用多种对抗扰动算法和反馈机制,以达到覆盖全生命周期和支持多种隐私威胁防护的目的,随后在基于Adv GAN、FGSM等不同算法的对抗扰动生成器下开展了对神经网络（Neural Network,NN）模型的隐私威胁防护。实验结果表明,该机制能够有效防御数据上传阶段的直接隐私威胁,以及训练和使用阶段的成员推断攻击。（2）针对引入对隐私保护手段后隐私防护水平和模型应用性能之间难以平衡这一问题,提出了一种基于同态加密理论技术与聚合参数选择机制的联邦学习隐私保护方案。首先,基于同态加密语义安全和准确性开展理论分析,证明了该方案能够有效抵御隐私泄露攻击。随后,基于Paillier和CKKS同态加密算法,面向NN结构的目标模型,在MNIST数据集下的实验表明,添加该防护方案前后目标模型准确率准能达到96%以上。3.面向数据提供者的隐私风险评估机制研究针对当前研究主要聚焦在对模型的隐私风险量化,缺少面向数据特征的隐私风险分析与评估方法,导致隐私风险评估机制不全面,无法为数据拥有者提供用户级隐私风险控制支撑这一问题,提出了一种基于数据聚类距离的用户级隐私风险评估机制和用户级数据隐私风险控制策略。该研究面向Res Net和NN结构的目标模型,以成员推断攻击和模型反演攻击为目标隐私风险,基于MNIST、CIFAR10、CIFAR100数据集来开展实验验证,实验结果表明,该方法能够准确反映数据隐私风险程度,并能对数据隐私风险控制提供正向支撑。