该研究提出了一种有效的且不会引入安全风险的模型所有权验证（MOVE）方法，使用元分类器来确定一种模型是否被盗，并使用渐变样式转移来嵌入外部特征，以便在白盒和黑盒设置下提供综合的模型保护。

Aug, 2022

本研究关注深度神经网络的水印方案的稳健性和可靠性，发现恶意对手即使在水印难以删除的情况下，仍然可以逃避合法所有者的验证，从而避免了模型被盗的可能性。

Sep, 2018

该研究提出了采用自适应误导的方法抵御深度神经网络模型盗窃攻击，并针对现有所有模型盗窃攻击均使用 Out-Of-Distribution 输入进行了阐述，提出选择性错误预测的方法以显著降低攻击者克隆模型的准确率，同时最小化对良性用户准确率的影响，这种防御具有更好的安全性和准确度平衡，并且计算开销最小。

Nov, 2019

本文提出了一种名为 $dataset$ $inference$ 的防御机制，旨在解决目前存在的模型盗窃问题，该机制结合了统计测试和多个数据点到决策边界的距离估计来实现对原始模型数据集保护，实验证明该机制可以成功地对抗目前最先进的攻击方式，并且无需对被保护的模型进行重新训练或过度拟合。

Apr, 2021

本研究评估了活动学习模型窃取攻击，提出了一种新的神经网络结构用于代理模型，成功地生成了可逃避目标但不如目标本身成功的对抗性样本，这在反病毒软件攻击中是必须的。

Apr, 2022

本研究提出了一种基于盲水印的知识产权保护（IPP）框架，通过将特定标签赋予普通样本并将其与独占标志组合生成水印来保护深度神经网络模型的知识产权，并成功验证了其安全性、可行性和鲁棒性，与创建者身份建立了明确的联系，有效应对了逃避攻击和恶意主张的问题。

Mar, 2019

本文提出了两个能够有效提高现有所有最优模型对抗攻击性能的解决方案：对现有最优模型对抗攻击算法的优化目标进行分析并提出了改进的优化目标，以及分析了 “过度拟合” 并提出了一种新的 “模型增强” 思想来克服这个问题。实验证明，这些提出的解决方案能使现有的最优模型对抗攻击算法准确率提高 11.8％。

Apr, 2023

我们提出了一种新的基于模型反演的移除攻击（Mira），该攻击不针对特定的水印，并且对大多数主流的黑盒深度神经网络水印方案都有效。我们的攻击方法利用受保护模型的内部信息来恢复并取消学习水印信息，并且还设计了目标类别检测和恢复样本分割算法来减小 Mira 攻击带来的效用损失，实现对一半水印方案的无数据水印去除。我们在三个基准数据集和深度神经网络架构上对 Mira 进行了全面评估，与六种基线攻击相比，Mira 对覆盖的水印具有强大的去除效果，在更宽松甚至无对数据集可用性的假设下，保留了至少 90% 的被窃模型效用。

Sep, 2023

本研究介绍了一种旨在提高深度神经网络（DNN）中数字水印鲸吞强度的方法，该方法称为空嵌入（null embedding），通过对模型进行初始训练，我们建立了模型分类精确度与水印之间的强关系，使攻击者无法通过调整或增量训练来移除嵌入式数字水印，并且可以避免第三方嵌入 “盗版数字水印” 以索取模型所有权的情况。

Oct, 2019

本文提出了一种新的基于护照的深度神经网络所有权验证方案，利用护照设计和训练深度神经网络模型，以使正版护照被伪造后会对其推理性能产生严重恶化，该方案既能抵御网络修改又能避免歧义攻击。

Sep, 2019