该论文提出了一种基于触发器反向工程的方法来检测深度学习模型的后门攻击，该方法在实验中表现卓越，能完美地区分被套件攻击的模型和纯模型。

Jun, 2020

本文提出了一种基于预测置信度边界的黑盒防御方法 TrojDef，旨在识别和过滤特洛伊输入，并通过数学分析表明其在防御特洛伊攻击方面优于现有防御方法。

Sep, 2022

这篇论文揭示和分析了后门攻击的一个重要特性：成功攻击会导致后门触发实例的内部层激活分布发生改变，与干净实例的分布不同。基于这一观察，作者提出了一种高效和有效的方法，通过使用逆向工程的触发器来纠正分布变化，从而实现后期训练的后门缓解。该方法不会改变 DNN 的任何可训练参数，但与需要大量 DNN 参数调整的现有方法相比，其缓解性能普遍更好。它还能有效检测带有触发器的测试实例，可以帮助及时发现恶意攻击者对后门进行利用。

Aug, 2023

本研究提出一种新颖的深度学习后门攻击方式，攻击者能够在训练过程中提供正常标注的毒瘤数据，并在毒瘤数据中隐藏触发器，待测试时再激活攻击，从而欺骗模型，而该攻击方式无法轻易通过最先进的后门攻击的防御算法进行防御。

Sep, 2019

本文提出了一种新的训练免费的攻击方法，使用一个小的特洛伊模块（TrojanNet）将恶意特征插入目标模型，该模型通过特殊标记对输入进行标记，并将所有标签注入特洛伊，攻击成功率达到 100％，且不会影响模型在原始任务上的准确性。

Jun, 2020

本文提出一种全新的硬件加速器中的后门攻击方式，并设计了一个可配置的硬件木马，其中搭载了一个最小化的后门，使得攻击者只需要对少量参数进行更改就可以对深度学习模型做出改变，从而在保证运行效率的同时完全避开了目前防御机制。通过将木马植入 Vitis AI DPU 进行实验，作者成功 ic 证明了这种攻击的可行性与危险性，同时指出了目前硬件加速器中的深度学习模型存在的漏洞和安全问题，为以后的研究和应用提供了重要参考。

Apr, 2023

本文中提出了基于随机失活技术的无需触发器的深度神经网络后门攻击方法，该方法在保持攻击成功率的前提下，对模型的实用性损失十分微小。

Oct, 2020

本文提出了一种新的神经网络后门检测和修复方法，经过广泛的实验结果证明了其对文本和图像分类的有效性。该方法是针对机器学习训练数据可能不可信，恶意攻击者可能通过植入精心制作的样本来攻击系统的现实情况，是首个不需要可验证和可信数据集即可检测和修复植入后门的数据的方法。

Nov, 2018

研究了深度神经网络中的后门攻击，发现了后门相关神经元和正常神经元之间的本质差异，并设计了一种新的训练方法，可以有效地防御注入后门，实验证明其效果显著。

Feb, 2022

该论文研究了针对深度神经网络的后门攻击，并提出了通过改变触发器来防御后门攻击的方法。

Apr, 2020