min-max game [48]

最大化攻击成功率的基础上，最小化模型的预测损失

隐私性和可用性好

数据先验知识要求，强大的计算开销

mem-guard [49]

预测置信度向量上添加噪声得到对抗样本

隐私性和效率较高

使用环境有限

知识蒸馏 [50]

利用迁移知识使得成员和非成员的损失相近

隐私性高

可用性不高

差分隐私 [51]

噪声扰动目标函数

隐私性和效率较高

影响分类器的性能，可用性不高