本文提出了 Meta Neural Trojan Detection (MNTD) 管道来解决机器学习特洛伊木马攻击检测的挑战，通过训练一个能够预测目标模型是否被特洛伊木马攻击的元分类器来检测黑盒模型，同时引入 jumbo learning 以对特洛伊木马攻击进行分类和预测。在试验和对比中表明，MNTD 达到了 97% 的检测 AUC 分数，并优于现有的检测方法。

Oct, 2019

本文提出了一种利用 Moving Target Defense（MTD）的元防御策略来提高深度神经网络（DNNs）在视觉分类任务中的鲁棒性，其中通过将策略交互组成 Bayesian Stackelberg Game（BSG）来确定选取哪个训练好的神经网络，实验证明 MTDeep 可以有效降低 MNIST、FashionMNIST 和 ImageNet 等数据集中被扰动图像的错误分类率，同时保持对于合法测试图像的高分类准确率，并且 MTDeep 能够与任何现有的防御机制一起使用。

May, 2017

该论文提出了一种基于模型输出偏差分析的模型级神经木马检测框架来检测 NLP 领域的神经木马，并提出了一种轻量级变体以提高检测速度。

Aug, 2022

本文探讨了当训练数据遭到恶意篡改时，如何在只能访问已训练深度神经网络的权重的情况下，检测到网络的特洛伊后门攻击（也称为毒化后门攻击），并提出了数据受限和数据无关的特洛伊检测器，该方法通过对定向攻击和预测规避攻击的连接来实现特洛伊检测。实验结果使用 CIFAR-10、GTSRB 和 ImageNet 数据集进行了验证。

Jul, 2020

这篇论文提出了一种名为 MSDT 的新型文本后门防御方法，该方法在特定数据集上的性能优于现有的防御算法，实验证明在文本域中有效地防御后门攻击。

Nov, 2022

提出一种多变量时间序列早期检测方法，将其应用于网络入侵检测系统（NIDS），通过引入新颖的特征提取器和基于深度学习的检测模型，能够提高传统 NIDS 的检测速度和准确性。

Sep, 2023

本文提出了一种新的训练免费的攻击方法，使用一个小的特洛伊模块（TrojanNet）将恶意特征插入目标模型，该模型通过特殊标记对输入进行标记，并将所有标签注入特洛伊，攻击成功率达到 100％，且不会影响模型在原始任务上的准确性。

Jun, 2020

通过对已有威胁模型的不足进行理论和实证研究，我们提出了 MintA，一个针对基于 GNN 的恶意域名检测的推理时多实例对抗攻击，通过优化扰动改进节点和邻域的隐蔽性，在仅拥有黑盒访问目标模型的情况下操作成功，无需了解模型的具体细节或非对抗节点，实证结果表明其攻击成功率超过 80％，这为安全专家提出了一个警示，突显了 GNN-based MDD 的易受实际攻击的脆弱性和失效性。

Aug, 2023

我们提出并分析了一种自适应对手，可以重新训练带有特洛伊的深度神经网络 (DNN)，并知道最先进的基于输出的特洛伊模型检测器。我们展示了这样一种对手可以保证 (1) 嵌入触发器和干净样本的高准确率以及 (2) 绕过检测。我们的方法基于这样一个观察，即 DNN 参数的高维度提供足够的自由度来同时实现这些目标。我们还通过允许重新训练来使最先进的检测器具有适应性，以重新校准它们的参数，从而对特洛伊模型和检测器的参数进行建模。然后，我们展示了这种协同进化可以建模为一个迭代博弈，并证明了该交互博弈的结果 (最优解) 可以使对手成功实现上述目标。此外，我们为对手提供了一种贪婪算法，以选择最少数量的输入样本来嵌入触发器。我们证明了对于 DNN 使用的交叉熵或对数似然损失函数，贪婪算法对所需的嵌入触发器输入样本的数量提供了可证明的保证。在 MNIST、CIFAR-10、CIFAR-100 和 SpeechCommand 这四个不同的数据集上进行的大量实验证明了对手有效地逃避了四种最先进的基于输出的特洛伊模型检测器: MNTD、NeuralCleanse、STRIP 和 TABOR。

Feb, 2024

本文研究了深度神经网络中的后门污染问题，提出了一种基于 EM 算法的攻击检测技术，可有效识别出攻击样本，包括新的污染数据攻击，并且对于攻击方的规避尝试也具有较强的鲁棒性。

Aug, 2019