我们提出了一种基于指纹的深度神经网络分类器方法，用于检测机器学习服务中的模型盗窃攻击，该方法提取一组从源模型中提供的输入，只有代理模型能够在这些输入上与源模型一致地进行分类。

Dec, 2019

本文提出了一种新颖且实用的机制，通过模型提取攻击来验证是否从受害者模型中盗取了嫌疑模型，并针对深度神经网络模型提出了 UAP 指纹识别方法，训练了一个通过对比学习的编码器，可以在仅检测 20 个指纹的情况下以置信度 > 99.99 检测出模型 IP 侵犯，并且在不同的模型架构下具有良好的普适性，在盗版模型上具有较强的鲁棒性。

Feb, 2022

本文提出了一种通过设计对抗方法搜索解剖指纹（如医疗设备或皮肤艺术）来估计重现可识别训练图像的概率上限的方法，利用学习到的基于分数的模型估计可能用于一对一复制训练样本的分数函数子空间的概率，结果表明，如果模型没有小心训练，则在采样时会复制侵犯隐私的图像。

Jun, 2023

本研究评估了活动学习模型窃取攻击，提出了一种新的神经网络结构用于代理模型，成功地生成了可逃避目标但不如目标本身成功的对抗性样本，这在反病毒软件攻击中是必须的。

Apr, 2022

该论文提出了一种名为神经指纹的简单而有效的方法，通过验证模型行为是否与一组秘密指纹一致的方法检测对抗性例子，具有检测速度快、攻击者极难逆向工程以及不需要假定对手知识等优势。该方法在各种威胁模型下均表现优异，成功检测出了具有最强攻击性的对抗样本，同时还能很好地适应各种超参数和指纹选择。

Mar, 2018

本文旨在通过考虑在测试期间输入特征的分布发生偏移并表现出低相关性来评估现有的鲁棒特征学习方法和正则化方法的效果，比较它们与设计用于捕捉训练集中高相关特征的基线方法的差异，并在设计的 C-MNIST 数据集上进行了验证。

Oct, 2019

基于对对抗性图像分类模式的观察，我们提出一种用于盗取模型的方法，结合时间侧信道和对抗性图像分类，以指纹识别多个著名的卷积神经网络和 Vision Transformer 架构，该方法可在减少查询次数的同时保持高准确率。

Feb, 2024

提出一个使用鲁棒协方差估计来放大数据污染的光谱特征的新型防御算法，从而完全消除后门，即使在先前的方法无法检测到污染样例的情况下，也能提供一个净模型。

Apr, 2021

模型服务系统中的安全性研究：提出 query-efficient 的指纹算法攻击模型提取，准确率和保真度仅有 1% 的差距，提出加入噪音的防御策略可减少 9.8% 的攻击准确率和 4.8% 的保真度。

Jul, 2023

研究神经网络的权重在何种情况下容易被攻击者盗取。使用 i.i.d. 噪声输入，通过窃取 MNIST 和 KMNIST 模型，测试准确率分别达到 96% 和 82%，这说明权重的可盗取性与数据集的复杂性密切相关。此研究不仅突出了已知架构对模型窃取的影响，也为 CNN 的权重可学性提供了新的度量方法。此外，尝试使用 Ising 概率分布替代 i.i.d. 伯努利分布。

Dec, 2019