深度学习模型隐私隐藏攻击技术,是从训练出的深度学习模型中抽取与训练数据相关信息的攻击技术。该技术包括主动的和被动的。被动攻击针对从正常训练模型中还原出训练集的信息。主动攻击要求攻击者可以控制模型工作流,在模型训练时通过编码的方式将数据隐私隐藏在模型之中,模型发布后通过解码的方式窃取隐藏在模型中的数据。与被动攻击相比,主动攻击可以抽取更加精确的训练集中的数据,因此对训练数据的隐私威胁更大,故本课题主要研究主动攻击。对文献进行总结,模型在数据准备、模型训练和模型发布环节,分别可以采用增加合成的恶意数据、修改模型训练损失函数和修改模型参数的方式实施攻击。攻击不会对模型在正常任务上的性能产生影响,从而使攻击具有隐蔽性。主动攻击的危害和隐蔽性使得该问题成为一个重要且具有挑战性的研究点。本文总结和系统分析了针对模型训练不同环节的隐私隐藏攻击。通过实验,本文验证了隐私隐藏攻击的可行性,并分析训练时的参数配置对攻击效果和模型在原始任务上的性能的影响。针对攻击的防御研究具有防御效果差且影响模型性能的缺点,本文针对存在的问题,提出了具有针对性的防御方法。从不对模型进行修改的角度,针对模型训练环节的攻击,本文提出了基于模型参数统计特征的反隐私隐藏技术。从正常模型和经过模型训练环节的攻击的模型中,本文抽取模型参数,提取统计特征,利用机器学习算法,构建分类器模型。实验表明,该方法能够以90%以上的准确率,判断出模型参数是否来自攻击生成的模型。针对数据准备环节的攻击,本文提出了针对合成的恶意数据鉴别的反隐私隐藏技术。本文从攻击生成的模型中提取了隐藏层的函数,输入训练数据和合成的恶意数据计算出激活值,使用降维算法将激活值降至二维,使用支持向量机构建分类器模型。实验证明,构建的分类器模型可以较高的准确率区分正常数据和合成的恶意数据。从对模型进行修改的角度,针对数据准备环节的攻击,本文提出了基于模型剪枝的反隐私隐藏技术。利用提取的隐藏层函数,本文使用训练数据计算激活值,并计算不同神经元的平均激活值,剪除平均激活值较小的神经元,从而生成剪枝后的攻击模型。实验表明,剪枝方法可以有效对抗合成的恶意数据带来的隐私问题,对正常数据预测能力的影响可以忽略不计。