本文提出了一种名为Bit-Flip Attack的攻击方法，通过翻转极小的二进制权重数字来破坏Deep Neural Network，同时使用Progressive Bit Search方法来定位最脆弱的二进制权重数字，在仅翻转13个二进制数字的情况下可让ResNet-18的准确率从69.8%恶化至0.1%。

Mar, 2019

本研究探讨了硬件攻击给神经网络的参数带来的影响及其耐受能力，发现大部分模型对单一位比特翻转都有10%以上的分类精度下降，结果揭示了神经网络鲁棒性的局限性并提出了未来的研究方向。

Jun, 2019

本研究提出了一种新的目标二进制特洛伊（TBT）方法，为实现模型的恶意攻击，通过比特翻转攻击将特定的神经特洛伊插入到深度神经网络中。研究表明，只需利用可用的比特翻转技术（即行锤），翻转几个易受攻击的比特就可以将功能完好的DNN模型转化为特洛伊感染的模型，并实现将测试图像的92％分类到目标类的目的。

Sep, 2019

本文利用第一款硬件攻击深度学习模型的工具DeepHammer，可以在运行时对确定性比特翻转进行深度学习模型注入，从而完全消耗目标DNN系统的智能。同时，我们还讨论了几种缓解技术，以保护DNN免受此类攻击。

Mar, 2020

本文研究了多住户云场可编程门阵列中DNN模型容易受到攻击的问题，并提出了一种名为Deep-Dup的新型对抗性攻击框架，借助恶意用户可以利用恶意电力抢夺电路对FPGA进行攻击，在数据传输过程中重复DNN权重包以劫持受害住户的DNN功能，并提出名为P-DES的通用易受攻击的DNN权重包搜索算法，该算法是自适应于白盒和黑盒攻击模型的。

Nov, 2020

本文提出了一种名为 EnforceSNN 的新型设计框架，通过降低 DRAM 供电电压，通过采用量化权重、高效的 DRAM 映射策略、分析神经网络容错性、开发高效的容错训练机制以及选择网络模型优化网络精度、内存和能量消耗等机制，实现在嵌入式系统中 SNN 推断的鲁棒能量效率，同时进行了实验验证。

Apr, 2023

通过深度神经网络(DNN)可执行文件启动比特翻转攻击(BFA)的系统研究揭示了存在的攻击表面，并呼吁在未来的DNN编译工具链中加入安全机制。

Sep, 2023

通过在设备上进行机器学习引入了新的安全挑战，研究人员提出了TEE-Shielded DNN划分的解决方案，通过将DNN模型划分为两部分并将隐私敏感的部分保护在TEE内，从而提供了与将整个DNN模型放入TEE中相同的安全保护，但开销减少了10倍，并且没有准确度损失。

Oct, 2023

TBNet是一种基于TEE的防御框架，从神经结构的角度保护DNN模型，利用非受信Rich Execution Environment (REE)中的计算资源减少延迟并利用物理隔离的TEE保护模型，在树莓派上的实验结果表明TBNet以较低的成本实现了高效的模型保护。

May, 2024

我们引入一种基于编码的保护方法——DeepNcode，用于防范神经网络的位翻转攻击，实验结果表明，在4位和8位量化网络中，保护幅度分别提高了7.6倍和12.4倍，内存开销从原始网络大小的50%开始，而时间开销可忽略不计。此外，DeepNcode不需要重新训练，也不改变模型的准确性。

May, 2024