该研究提出了采用自适应误导的方法抵御深度神经网络模型盗窃攻击，并针对现有所有模型盗窃攻击均使用 Out-Of-Distribution 输入进行了阐述，提出选择性错误预测的方法以显著降低攻击者克隆模型的准确率，同时最小化对良性用户准确率的影响，这种防御具有更好的安全性和准确度平衡，并且计算开销最小。

Nov, 2019

通过引入一种启发式方法来扰动输出概率，我们提出了一种简单而有效的防御措施，可轻松集成到模型中，不需要额外的训练，并且对模型性能影响小，在防御三种最先进的盗窃攻击方面表现出色，对于针对边缘设备的量化卷积神经网络同样有效。

Sep, 2023

本论文提出了一种新颖的双层优化算法，该算法可以在自然图像环境下找到对抗扰动鲁棒的点，有效提高图像识别的鲁棒性。

Dec, 2021

研究神经网络的权重在何种情况下容易被攻击者盗取。使用 i.i.d. 噪声输入，通过窃取 MNIST 和 KMNIST 模型，测试准确率分别达到 96% 和 82%，这说明权重的可盗取性与数据集的复杂性密切相关。此研究不仅突出了已知架构对模型窃取的影响，也为 CNN 的权重可学性提供了新的度量方法。此外，尝试使用 Ising 概率分布替代 i.i.d. 伯努利分布。

Dec, 2019

论文提出了深度学习模型模糊化的方法，通过模拟卷积神经网络的特征提取器使攻击者无法盗用模型设计，并采用递归模拟方法和联合训练方法训练模拟网络。最终得到的模糊化模型不会损失精度，能有效地保护深度学习模型的关键结构免遭攻击。

Jun, 2018

本文提出了一种神经网络 “洗涤” 算法，可以即使在对水印结构没有先前知识的情况下，从神经网络中移除黑盒后门水印，有效消除了现有防御和版权保护机制使用的水印，并证明现有的后门水印不足以达到其声称的要求。

Apr, 2020

基于对对抗性图像分类模式的观察，我们提出一种用于盗取模型的方法，结合时间侧信道和对抗性图像分类，以指纹识别多个著名的卷积神经网络和 Vision Transformer 架构，该方法可在减少查询次数的同时保持高准确率。

Feb, 2024

通过稳健优化方法探究神经网络对抗攻击的鲁棒性，设计出对抗攻击和训练模型的可靠方法，提出对于一阶对手的安全保证，并得到针对广泛对抗攻击的高鲁棒性网络模型。

Jun, 2017

本文探讨了基于深度学习的技术在云端上进行外包培训时所带来的安全风险，提出了恶意训练网络的概念（即 BadNet），并阐述了在实际情景中 BadNet 的行为，讨论了神经网络中后门的研究难点和验证技术的发展。

Aug, 2017

本文提出了一种并发对抗训练和权重修剪的框架，可以在保持对抗鲁棒性的情况下实现模型压缩，同时解决对抗训练的困境，并进一步研究了关于传统设置下的权重修剪的两个假设。

Mar, 2019