随着数据的大量积累及计算机处理信息能力的进步,机器学习技术得到了快速蓬勃的发展。然而,由于机器学习模型高度依赖训练数据以及在不同数据上预测行为的差异性,攻击者可以在一定的条件下对模型发起各种攻击,这给机器学习模型带来了严重的隐私泄露风险。本文研究一种从模型训练集中推断用户信息的攻击方法--成员推断攻击。现有的成员推断攻击通常假设攻击者拥有强大的背景知识和可用资源,但是在实际的场景中,攻击者的背景知识以及可用资源有限,在一定程度上限制了成员推断攻击的应用范围。针对这一问题,本文所做的研究工作及贡献容如下:（1）针对攻击者进行成员推断攻击时,目标模型的查询次数受到限制所导致的影子模型训练数据不足问题,提出使用生成对抗网络对少量数据进行扩充从而增强影子模型训练数据集。目前比较流行的生成对抗网络结构是DCGAN模型,然而,在实际使用DCGAN的过程中,DCGAN无法指定生成数据的类别,这会造成大量计算开销的浪费。除此之外,少量数据训练的生成对抗网络存在着训练不稳定,合成数据缺乏多样性等问题。为解决这些问题,本文提出一种名为CDCGAN-DA的生成对抗网络算法,同时添加一些优化策略,使模型的训练过程更加稳定。实验表明,CDCGAN-DA算法能够在少量样本的情况下生成与原始数据分布相似的合成数据,有效的解决成员推断攻击中影子模型训练数据不足的问题。（2）针对黑盒情形下,攻击者很难得到一个与目标模型具有相似行为的机器学习模型的问题,提出利用神经网络的强大函数表达能力,设计一种模拟目标模型预测行为的影子模型。实验结果表明,该模型在不同结构的目标模型上均能取得较好的相似程度,具有较好的适应性。说明成员推断攻击可以在最严格的环境中,使用较小的代价达到好的攻击效果。总之,本文对成员推断攻击过程中的影子模型训练数据的生成和影子模型的训练两个阶段进行研究,并通过实验验证了方法的可行性,有效性,为后续开展有关成员推断攻击与防御的工作奠定基础。图31表4参57