本文研究了基于比特翻转的模型权重的攻击方法，并提出了一种针对指定输出类的攻击方式，成功地展示了攻击不同 DNN 结构的图像分类任务中的有效性。

Jul, 2020

本文提出了一种名为 Bit-Flip Attack 的攻击方法，通过翻转极小的二进制权重数字来破坏 Deep Neural Network，同时使用 Progressive Bit Search 方法来定位最脆弱的二进制权重数字，在仅翻转 13 个二进制数字的情况下可让 ResNet-18 的准确率从 69.8% 恶化至 0.1%。

Mar, 2019

深度神经网络的安全性受到了研究人员的广泛关注，本文提出了一种训练辅助位翻转攻击方法，通过与恶意模型相结合，仅通过改变一个关键位的翻转，在部署阶段将普通模型转化为恶意模型，对现有的防御手段仍构成重大威胁。

Aug, 2023

本文研究了一种新的攻击模式：修改部署阶段的模型参数，提出了一种自定义有效性和隐蔽性的比特翻转权重攻击通用公式，并通过整数规划和交替方向乘子方法在优化中确定了翻转关键比特，成功表明了单一样本攻击和触发样本攻击策略在攻击深度神经网络方面的优越性。

Jul, 2022

通过深度神经网络 (DNN) 可执行文件启动比特翻转攻击 (BFA) 的系统研究揭示了存在的攻击表面，并呼吁在未来的 DNN 编译工具链中加入安全机制。

Sep, 2023

本研究提出了一种基于 DRAM 的 DNN 防御机制 - DNN-Defender，通过利用 DRAM 中交换的潜力来抵御目标位翻转攻击，该防御机制在 CIFAR-10 和 ImageNet 数据集上没有准确性下降并且无需任何软件训练或额外的硬件开销。

May, 2023

本文研究了一种针对深度神经网络的新攻击范式，即在部署阶段修改模型参数以达到恶意目的，进而将该问题转换为二进制整数规划问题并使用交替方向乘子方法来求解，实验证明该方法优于其他攻击方法。

Feb, 2021

本研究提出了一种新的目标二进制特洛伊（TBT）方法，为实现模型的恶意攻击，通过比特翻转攻击将特定的神经特洛伊插入到深度神经网络中。研究表明，只需利用可用的比特翻转技术（即行锤），翻转几个易受攻击的比特就可以将功能完好的 DNN 模型转化为特洛伊感染的模型，并实现将测试图像的 92％分类到目标类的目的。

Sep, 2019

本文提出了 RADAP，它是一种针对封闭集和开放集人脸识别系统中各种对抗补丁的强大而适应性的防御机制。RADAP 采用创新技术，如 FCutout 和 F-patch，利用傅里叶空间采样掩蔽来提高人脸识别模型的遮挡鲁棒性和补丁分割器的性能。此外，我们引入了边缘感知的二进制交叉熵（EBCE）损失函数来提高补丁检测的准确性。同时，我们还提出了一种名为分割与填充（SAF）的策略，用于对抗补丁分割器受到的完全白盒自适应攻击的漏洞。我们进行了全面的实验证明了 RADAP 的有效性，它在防御各种对抗补丁的性能方面取得了显著的改进，同时保持了干净准确性高于未防御的 Vanilla 模型。

Nov, 2023

通过额外的卷积块以及白盒攻击策略，我们提出了一个鲁棒、准确且快速收敛的梯度反转攻击算法 RAF-GI，能够在损失很少时间的情况下以出色的质量重构基准数据。

Mar, 2024