本文首次深入探讨利用缓存侧信道攻击的 DNN 指纹攻击的安全性分析，介绍了攻击工具 DeepRecon 以及元模型的构建，同时提出框架级别的防御技术来混淆攻击者的观察。

Oct, 2018

本文提出了一种名为 Cache Telepathy 的具有快速、准确性的机制，通过 cache 侧信道窃取深度神经网络（DNN）的架构，使用 Prime+Probe 和 Flush+Reload 攻击 VGG 和 ResNet DNNs 运行 OpenBLAS 和 Intel MKL 库的结果表明，我们的攻击能够有效地帮助获得目标 DNN 架构。

Aug, 2018

通过进行侧信道分析，探索了神经网络在资源受限环境中的容易被逆向工程攻击的脆弱性，并发现神经网络架构可以通过深度学习的侧信道分析轻易被区分。

Jan, 2024

本文提出利用时间侧信道攻击来推断神经网络模型深度的黑盒神经网络提取攻击，使用知识蒸馏和强化学习，有效减少了搜索空间，可以构造出与目标模型测试精度接近的替代模型，且该方法可扩展，并与神经网络结构类型无关。

Dec, 2018

通过综合考虑模型重塑和输入扰动，本研究首次探讨了实际模型优化的深度学习系统中的多因素对抗攻击问题，并开发了一种名为 “梯度抑制” 的防御技术，能够有效减轻对软硬件导向深度学习的对抗攻击。

Feb, 2018

本文描述了一种新型机器学习模型抽取攻击的方法，并提出了一种名为 PRADA 的检测模型抽取攻击的方法，该方法可以准确检测到之前的模型抽取攻击，且无误报。

May, 2018

本文提出了一种名为 Hermes Attack 的新型模型提取攻击，该攻击利用未加密的 PCIe 数据流泄漏全部目标 Deep Neural Networks 模型。通过巨大的逆向工程、可靠的语义重构以及熟练的数据包选择和顺序修正，我们的方案能够高效地和完全地重构所有 Deep Neural Networks 模型，并且具有完全相同的推理准确性。

Jun, 2020

本文提出了零阶优化的黑盒攻击方法，该方法不需要训练替代模型而直接估计目标 DNN 的梯度来生成对抗性例子，实验结果表明该攻击方法在 MNIST、CIFAR10 和 ImageNet 的数据集上与白盒攻击方法效果相当且明显优于现有的替代模型的黑盒攻击方法。

Aug, 2017

通过简单的模式识别分析，我们提出了一种针对传统 MLP 和 CNN 模型的提取方法，该方法可以运行在高端 32 位微控制器（Cortex-M7）上，并且相对于参数提取而言，攻击的复杂性相对较低，强调了对适应这种平台的强大内存和延迟要求的可行性保护的迫切需求。

Nov, 2023

论文提出了深度学习模型模糊化的方法，通过模拟卷积神经网络的特征提取器使攻击者无法盗用模型设计，并采用递归模拟方法和联合训练方法训练模拟网络。最终得到的模糊化模型不会损失精度，能有效地保护深度学习模型的关键结构免遭攻击。

Jun, 2018