本文提出了一种名为 Bit-Flip Attack 的攻击方法，通过翻转极小的二进制权重数字来破坏 Deep Neural Network，同时使用 Progressive Bit Search 方法来定位最脆弱的二进制权重数字，在仅翻转 13 个二进制数字的情况下可让 ResNet-18 的准确率从 69.8% 恶化至 0.1%。

Mar, 2019

深度神经网络的安全性受到了研究人员的广泛关注，本文提出了一种训练辅助位翻转攻击方法，通过与恶意模型相结合，仅通过改变一个关键位的翻转，在部署阶段将普通模型转化为恶意模型，对现有的防御手段仍构成重大威胁。

Aug, 2023

通过深度神经网络 (DNN) 可执行文件启动比特翻转攻击 (BFA) 的系统研究揭示了存在的攻击表面，并呼吁在未来的 DNN 编译工具链中加入安全机制。

Sep, 2023

本文研究了一种新的攻击模式：修改部署阶段的模型参数，提出了一种自定义有效性和隐蔽性的比特翻转权重攻击通用公式，并通过整数规划和交替方向乘子方法在优化中确定了翻转关键比特，成功表明了单一样本攻击和触发样本攻击策略在攻击深度神经网络方面的优越性。

Jul, 2022

本文研究了一种针对深度神经网络的新攻击范式，即在部署阶段修改模型参数以达到恶意目的，进而将该问题转换为二进制整数规划问题并使用交替方向乘子方法来求解，实验证明该方法优于其他攻击方法。

Feb, 2021

本研究提出了一种新的目标二进制特洛伊（TBT）方法，为实现模型的恶意攻击，通过比特翻转攻击将特定的神经特洛伊插入到深度神经网络中。研究表明，只需利用可用的比特翻转技术（即行锤），翻转几个易受攻击的比特就可以将功能完好的 DNN 模型转化为特洛伊感染的模型，并实现将测试图像的 92％分类到目标类的目的。

Sep, 2019

本文提出 RADAR 方法，通过将权重组织成组，采用校验和算法从各组中提取 2 位签名，在推理阶段计算和金标准签名进行比较，以检测和恢复神经网络权重的渐进位反转攻击并减弱其损失，其符合实时攻击检测并具有极低的时间和存储开销。

Jan, 2021

本文提出了自适应特征对齐的方法，通过预测双 BN 结构中的融合权重，不引入任何超参数，且在不牺牲模型标准精度的情况下，有效地提高了模型的鲁棒性，并且在 CIFAR-10、SVHN 和 tiny-ImageNet 数据集上全面超越了现有的技术。

May, 2021

我们引入一种基于编码的保护方法 ——DeepNcode，用于防范神经网络的位翻转攻击，实验结果表明，在 4 位和 8 位量化网络中，保护幅度分别提高了 7.6 倍和 12.4 倍，内存开销从原始网络大小的 50% 开始，而时间开销可忽略不计。此外，DeepNcode 不需要重新训练，也不改变模型的准确性。

May, 2024

我们提出了 Injectivity Bit Flip Attack, 对于 graph neural networks 进行了第一个专门设计的 bit flip attack，攻击目标是 quantized message passing neural networks 中的可学习的 neighborhood aggregation functions，降低它们区分图结构的能力，失去了 Weisfeiler-Lehman 测试的表达能力。我们的研究结果表明，利用特定的数学性质可以显著增加某些图神经网络架构对 bit flip 攻击的敏感性。Injectivity Bit Flip Attacks 可以通过翻转网络的一小部分比特，将训练在各种图属性预测数据集上的最大表达力的 Graph Isomorphism Networks 降级为随机输出，显示了与从卷积神经网络转移到的 bit flip 攻击相比更大的破坏力。我们的攻击是透明的，并受到广泛的实证结果的确认。

Nov, 2023