本文提出了Meta Neural Trojan Detection (MNTD) 管道来解决机器学习特洛伊木马攻击检测的挑战，通过训练一个能够预测目标模型是否被特洛伊木马攻击的元分类器来检测黑盒模型，同时引入jumbo learning以对特洛伊木马攻击进行分类和预测。在试验和对比中表明，MNTD 达到了97%的检测AUC分数，并优于现有的检测方法。

Oct, 2019

本文提出了一种新的训练免费的攻击方法，使用一个小的特洛伊模块（TrojanNet）将恶意特征插入目标模型，该模型通过特殊标记对输入进行标记，并将所有标签注入特洛伊，攻击成功率达到100％，且不会影响模型在原始任务上的准确性。

Jun, 2020

本文提出了一种检测预训练模型是否被恶意篡改的方法，该方法通过学习神经网络的参数来捕获其对抗扰动，以检测是否存在后门；同时，本文还提出了一种异常检测方法来确定被感染的网络的目标类别。实验结果表明该方法检测恶意后门的准确率高达92%以上。

Jul, 2020

本文探讨了当训练数据遭到恶意篡改时，如何在只能访问已训练深度神经网络的权重的情况下，检测到网络的特洛伊后门攻击（也称为毒化后门攻击），并提出了数据受限和数据无关的特洛伊检测器，该方法通过对定向攻击和预测规避攻击的连接来实现特洛伊检测。实验结果使用 CIFAR-10、GTSRB 和 ImageNet 数据集进行了验证。

Jul, 2020

该研究论文对深度学习中的特洛伊木马攻击及其防御进行综述，系统总结近期的方法，同时讨论其关键概念，为了让更广泛的社区了解神经特洛伊木马的最新发展。

Feb, 2022

本文提出了一种基于预测置信度边界的黑盒防御方法TrojDef，旨在识别和过滤特洛伊输入，并通过数学分析表明其在防御特洛伊攻击方面优于现有防御方法。

Sep, 2022

针对神经网络在fine-tuning时遇到的木马攻击问题，本文提出了在多层预训练模型上实现测试集样本水印攻击的方法，通过对样本之间和样本内部的多样性进行控制，最终得到在少量样本上可以成功攻击fine-tuning模型的工作。

Apr, 2023

该研究提出了MDTD，一种用于检测DNN中的多领域特洛伊木马触发器的模型。MDTD利用对抗学习方法估计距离决策边界的距离，以推断是否存在特洛伊木马触发器，对不同类型的触发器进行有效的识别。

Aug, 2023

我们提出并分析了一种自适应对手，可以重新训练带有特洛伊的深度神经网络(DNN)，并知道最先进的基于输出的特洛伊模型检测器。我们展示了这样一种对手可以保证(1)嵌入触发器和干净样本的高准确率以及(2)绕过检测。我们的方法基于这样一个观察，即DNN参数的高维度提供足够的自由度来同时实现这些目标。我们还通过允许重新训练来使最先进的检测器具有适应性，以重新校准它们的参数，从而对特洛伊模型和检测器的参数进行建模。然后，我们展示了这种协同进化可以建模为一个迭代博弈，并证明了该交互博弈的结果(最优解)可以使对手成功实现上述目标。此外，我们为对手提供了一种贪婪算法，以选择最少数量的输入样本来嵌入触发器。我们证明了对于DNN使用的交叉熵或对数似然损失函数，贪婪算法对所需的嵌入触发器输入样本的数量提供了可证明的保证。在MNIST、CIFAR-10、CIFAR-100和SpeechCommand这四个不同的数据集上进行的大量实验证明了对手有效地逃避了四种最先进的基于输出的特洛伊模型检测器: MNTD、NeuralCleanse、STRIP和TABOR。

Feb, 2024

本研究聚焦于深度神经网络（DNN）面临的特洛伊攻击及其防御机制，揭示了DNN的脆弱性及其在安全关键人工智能系统中的影响。通过对特洛伊攻击的演变以及各种攻击和防御策略的综合分析，提供了改进这些技术的有益见解，强调了在实际应用中应对此问题的紧迫性。

Aug, 2024