差分隐私防护技术的介绍与实践（下）

一、序 言前面在《差分隐私介绍与实践》的上篇中系统的介绍了差分隐私。那么在本篇章将主要讲讲差分隐私在深度学习方面的实践。二、差分隐私保护实践2.1   模型反转攻击2015年，Matt Fredrikson 等学者提出了模型反转攻击[1]。该攻击方法主要利用机器学习模型的置信度来反推训练数据。作者通过实验证明，该攻击方法能够仅仅使用一个姓名就能够通过人脸预测模型还原训练时所使用的人脸图像。如图2-1所示，其中左边的图为模型反转攻击通过姓名还原的图，而右边则是模型训练时使用的图。通过对比不难发现，还原出来的图和训练时的用图具有很大的相似性。图2-1 利用模型反转攻击还原图与训练时图的对比 上述攻击案例中。模型反转攻击利用的学习模型的置信度还原训练数据，在一定程度上就是利用了统计数据库再识别技术。换 ………………………………