近年来,随着人工智能技术逐步渗透到国防、教育、金融等各种各样场景,人工智能技术在为人们提供便利的同时也暴露出大量的隐私安全问题。特别是针对深度学习的反转攻击变得越来越频繁。反转攻击是攻击者利用受害者模型能够“记住”训练数据特征的特性,通过使用非法手段,获取受害者模型训练数据信息的攻击手段。如基于自动编码器的反转攻击模型。在模型训练过程中,它假定攻击者能够访问数据本身,并利用均方误差方式窃取训练数据。但,能够接触到训练数据的场景及其有限,更多的情况是,只能访问一个黑盒神经网络模型,也就是只能对它进行输入,并得到输出。针对上述问题,提出了一种神经网络循环反转攻击方法,意在寻找深度学习模型的新威胁。主要工作如下:（1）.针对无法获取训练集输入的情况,首先把噪声输入到受害者模型中,再把受害者模型的输出,输入到生成网络,然后再把生成网络重建的图像,输入到受害者中,这就构成了循环反转攻击的基础模型。（2）.针对只能获取黑盒模型的情况,需要利用知识蒸馏,从黑盒模型中萃取出黑盒内部的信息,重建受害者模型,再用循环反转攻击模型进行反转攻击。实验评估过程中,循环反转攻击在反转图像过程中产生的损失值比反转攻击模型（Model Inversion Attacks,MIA）的损失值下降得更快,循环反转攻击生成的图像比MIA生成的图像,更容易被受害者模型判定为指定标签。针对上述深度学习攻击手段,还提出了一种防御模型反转攻击的隐私保护方法,主要工作如下:（1）.对于目前的差分隐私方式,造成模型可用性变差的情况,提出一种混合扰动的方式,把模型参数拆分为噪声权重和网络权重。这样的切分保证了模型可用性。（2）.上述保护方法,只需要使深度学习网络最后一层全连接层满足即可。网络最后一层满足差分隐私,能在数据集和真实标签间嵌入一个满足差分隐私过程的噪声,则可防御上述反转攻击。并用贝叶斯神经网络实现最后一层的全连接层。贝叶斯神经网络带有任意不确定性,能够有效对抗反转攻击。（3）.把贝叶斯神经网络全连接层分为噪声权重和网络权重后,可以依据雷尼差分隐私的推导过程,重新推导差分隐私全连接层的前向传播隐私开销。实验评估过程中,在相同的反向传播的隐私开销下,混合扰动的残差网络准确率比梯度扰动的残差网络准确率和目标扰动的残差网络准确率分别高出49%到89%和0%到49%。前向传播的隐私开销也随着噪声标准差的增加而降低。针对混合扰动差分隐私保护的受害者模型,反转攻击效果会随着噪声标准差的增加而变差。