恶意软件检测是网络安全的核心挑战之一。传统基于静态特征（如签名、熵）的方法容易受到加壳（packing）技术的干扰，而基于可视化的方法将二进制字节映射为灰度图像，利用视觉分类器进行检测，具有抗规避和无需反汇编的优势。然而，可执行文件加壳会生成高熵图像，破坏模型依赖的结构模式，且加壳在良性软件中也普遍存在（如压缩或版权保护），因此仅靠加壳状态无法可靠区分恶意性。现有方法未能在统一的监督框架下解决这一问题。为此，本文提出 ViPER（Vision-based Packing-Aware Encoder for Robust Malware Detection），一种基于视觉的、具有打包感知能力的鲁棒恶意软件检测模型。ViPER 采用 LoRA 微调的 ViT-B/14 骨干网络，并设计双头架构，同时学习恶意软件分类和打包检测任务。打包感知门控机制根据推断的打包状态调节恶意软件分类的决策边界，从而对加壳和未加壳样本采用不同的决策规则。针对训练中打包标签分布不均的问题，使用频率加权损失和联合类-打包层的分层采样。实验在 200,000 张 Windows PE 字节图图像上进行，ViPER 的平衡准确率达到 0.8521，ROC-AUC 为 0.9260，AUPR 为 0.9279，在所有主要指标上均优于现有基线，且打包检测 AUC 达到 0.9949。该研究表明，显式建模打包状态能够显著提升基于视觉的恶意软件检测的鲁棒性。

该研究聚焦于生物特征识别系统中的欺骗攻击检测问题。随着人脸识别等生物特征系统在安防领域的广泛应用，攻击者利用伪造的生物特征数据（如照片、视频、3D面具）进行欺骗攻击的风险日益突出。为评估现有深度学习模型在检测此类攻击上的有效性，论文选取了四种代表性模型：轻量级MobileNetV2、密集连接DenseNet-121、多尺度Inception-v3以及基于特征解耦的STD（Spoof Trace Disentanglement）模型。研究采用CelebA-Spoof数据集进行训练和评估，该数据集包含大量真实和欺骗人脸样本，并利用准确率、精确率、召回率和F1分数等指标衡量模型性能。为进一步验证泛化能力，还在MSU-MFSD数据集上进行了跨数据集验证。实验结果表明，MobileNetV2在计算效率和检测性能间取得最佳平衡，达到92%的准确率，适合实际部署；Inception-v3表现出中等鲁棒性；而DenseNet-121和STD在泛化至不同数据集时性能下降明显，暴露出过拟合或特征学习不充分的问题。研究最后指出，未来需在领域自适应和混合架构方面取得突破，以提升生物特征安全系统的整体防护能力。该论文对安全研究人员选择或设计欺骗检测模型具有参考价值。

该论文重新审视了基于概念模型（Concept-based Models, CMs）中信息泄漏的传统观点。CMs是一类深度神经网络，其预测基于与人类可理解概念（如“圆形”、“条纹”等）对齐的表示。过往研究通常认为，CMs会学习到泄漏概念无关信息的表示，这种泄漏被视为不可取的，应予以消除，因为它会导致模型不可解释。然而，本文作者指出，这一传统观点在两方面存在缺陷：首先，泄漏导致模型不可解释的证据往往不具决定性；其次，在现实世界中常见概念不完备（concept incompleteness）的约束下，完全消除泄漏会导致模型不实用。作者论证，在概念不完备成为常态的实际场景中，一定程度的泄漏对于构建准确且可干预（intervenable）的CMs是必要的。据此，他们提出了“良性泄漏”（benign leakage）的概念，并通过重新构建典型的CM训练目标，使得模型能够主动鼓励并利用这种良性泄漏，而不会牺牲预测准确性或干预能力。论文通过理论分析和实验验证，展示了所提方法在多个基准上的有效性。该研究为CMs的设计提供了新视角，有助于在保持可解释性的同时提升模型实用性。适合机器学习、可解释AI领域的研究者和从业者阅读。

随着物联网设备的快速普及，网络安全问题日益严峻，入侵检测系统成为保护网络环境的关键。本文提出了一种基于改进的CNN-LSTM（卷积神经网络-长短期记忆网络）的入侵检测模型，用于物联网网络中的攻击检测。该模型结合了多分类、数据集集成和时间特征学习，旨在提升检测性能。研究使用网络流量数据，在入侵检测任务上评估了该方法，实现了约97%的准确率。实验结果表明，该模型能有效检测多种攻击类别，同时保持稳定的训练和验证性能。通过集成卷积和循环神经网络组件，框架能够捕获网络流量的空间和时间特征，从而提升物联网环境下的整体入侵检测能力。本文的主要贡献在于提出了一个融合CNN和LSTM的改进架构，充分利用了两者的优势：CNN提取空间特征，LSTM学习时序依赖，最终实现了高效且稳定的检测。适合从事物联网安全、入侵检测系统设计与开发的研究人员和工程师阅读。

该论文针对美国关键数字基础设施（医疗、金融、交通、能源、政府系统等）面临的日益复杂的网络威胁，提出了一种基于混合CNN-LSTM框架的智能网络攻击检测与防御系统。研究背景指出，传统的基于签名的入侵检测系统无法有效检测未知和变化的攻击。为此，作者利用CSE-CIC-IDS2018数据集（包含DDoS、暴力破解、僵尸网络、渗透攻击和Web攻击等真实流量场景），评估了多种机器学习和深度学习模型，包括随机森林、XGBoost、卷积神经网络（CNN）和长短期记忆网络（LSTM）。实验结果表明，混合CNN-LSTM模型在准确率、召回率和F1分数上优于单一模型，能够有效区分正常流量与恶意流量。该框架整合了数据预处理、特征工程、实时流量监控、智能威胁分类和自动防御机制，旨在提升美国关键基础设施的网络安全韧性。研究的主要贡献在于：1）对比评估了多种模型在真实数据集上的性能；2）提出了一种结合CNN空间特征提取与LSTM时间序列分析的混合架构；3）设计了可自动响应的防御流程。该工作适合安全运维人员、工业控制系统安全研究人员以及关注AI驱动入侵检测的从业者阅读。

本文提出了一种名为ESCORT的深度学习框架，用于检测以太坊智能合约中的多种漏洞类型。传统检测方法通常只针对单一或少数漏洞类型，且扩展到新类型时需要大量重新设计。ESCORT采用通用特征提取器学习合约字节码的通用语义，并针对每种漏洞类型设置独立分支，实现多标签分类，可同时检测多个漏洞。更重要的是，ESCORT利用迁移学习，当出现新的漏洞类型时，只需在预训练的特征提取器上添加新分支，并用少量数据微调即可，避免了重新训练整个模型的开销。实验基于361万个真实智能合约数据集，初始阶段在六种漏洞类型（如重入、时间戳依赖等）上平均F1分数达98%；迁移学习阶段对另外五种新漏洞类型平均F1分数达96%。与现有非机器学习工具相比，ESCORT可处理任意复杂度的合约，实现100%合约覆盖，并支持多漏洞并发检测，显著缩短检测时间。该研究是首个将迁移学习应用于智能合约漏洞检测的深度学习框架，并将开源数据集和标注工具链以促进后续研究。

本文提出了一种名为BARBIE的鲁棒后门检测方法，旨在解决深度学习模型共享中的安全风险。后门攻击会使模型在正常样本上表现正常，但在含有特定触发器的样本上产生恶意行为。现有检测方法利用良性模型与后门模型在潜在表示上的可分离性（latent separability），通过聚类或距离度量来区分，但这些方法容易被自适应攻击（adaptive attacks）绕过。BARBIE提出了一种新的度量指标——相对竞争分数（Relative Competition Score, RCS），通过刻画潜在表示对模型输出的主导性来表征可分离性，该指标对各种后门攻击具有鲁棒性，且难以被攻击者操控。该方法无需访问任何良性或后门样本，仅通过反转每个标签的两组潜在表示（一组反映良性模型的正常表示，另一组放大后门模型的异常表示）来计算RCS。基于RCS，BARBIE构建了一系列指标来全面反映后门模型与良性模型的差异。实验在4个数据集上对超过10,000个模型进行了验证，覆盖14种后门攻击类型，包括针对潜在可分离性的自适应攻击。与7种基线方法相比，BARBIE在源不可知攻击（source-agnostic）上平均真阳性率提升17.05%，源特定攻击提升27.72%，样本特定攻击提升43.17%，干净标签攻击提升11.48%，同时保持更低的假阳性率。该研究为模型供应链安全提供了有效的防御工具。

本论文研究了感知哈希（Perceptual Hashing）算法的安全性，重点关注其在实际应用（如版权检测、内容审核）中的脆弱性。作者提出了一种针对感知哈希的对抗性攻击方法，能够操纵图像使得其感知哈希值在攻击者控制下发生变化，而视觉效果保持相似或不同。具体来说，攻击者可以生成两张视觉上相同但哈希值截然不同的图像，或者视觉上不同但哈希值相同的图像。这种攻击利用了感知哈希算法对图像微小扰动的敏感性，通过优化噪声添加来实现。实验在pHash、DCT-based哈希等常见感知哈希算法上进行，证明了攻击的有效性。结果表明，基于感知哈希的应用可能被欺骗，从而绕过版权检测、虚假删除合法内容或隐藏恶意内容。论文还讨论了潜在防御策略，如更鲁棒的哈希设计或结合图像质量指标。该工作揭示了感知哈希在安全关键场景中的不足，对内容平台和数字取证领域具有重要警示意义。

论文《DeepAID: Interpreting and Improving Deep Learning-based Anomaly Detection in Security Applications》聚焦于安全领域中基于深度学习的无监督异常检测模型的可解释性问题。尽管深度神经网络在检测未知威胁方面表现出色，但其缺乏可解释性严重阻碍了实际部署。现有解释方法主要针对监督学习模型和非安全领域设计，无法直接适用于无监督模型，也难以满足安全领域的特殊需求（如误报分析、攻击溯源等）。为此，作者提出DeepAID框架，旨在为无监督深度学习异常检测模型提供解释。该方法通过分析模型内部表示和决策边界，生成与异常检测任务语义一致的解释，并利用解释结果指导模型改进，提升检测性能。实验在多个安全数据集（如网络入侵检测、恶意软件检测）上验证了DeepAID的有效性：相比基线方法，DeepAID生成的解释更准确、更符合安全专家认知，且能有效帮助安全分析师理解异常原因、减少误报。此外，作者还展示了如何利用解释反馈优化模型，使检测精度进一步提升。该工作为深度学习模型在安全运维中的可信应用提供了重要支撑。

本文针对物联网（IoT）环境中的入侵检测系统（IDS）面临的自适应、资源高效需求，研究了AOC-IDS——一种在IEEE INFOCOM 2024上提出的先进自主在线IDS。作者首先在UNSW-NB15基准上成功复现了AOC-IDS，获得了89.39%的准确率（原文为89.19%），验证了其可复现性。随后，他们识别出AOC-IDS的四个关键局限性：类别不平衡、不可靠的伪标签生成、泛化能力有限以及计算开销不适合IoT部署。针对这些问题，作者提出了三项改进：XGBoost-BalSamp方法（利用集成学习与平衡采样）在UNSW-NB15上达到95.45%的准确率，比基线提升6.26%；深度学习方法包括PseudoFilter（过滤不可靠伪标签）、MixupAug（数据增强）和LiteAE（轻量自编码器）在最佳运行中达到90.88%准确率（F1分数91.45%），超越原始论文，同时将模型参数减少55%。实验表明，这些针对性的改进在保持准确率提升的同时，显著降低了模型复杂度，使其更适合IoT边缘设备部署。本文的核心贡献在于系统性地分析了现有方法的不足，并提供了在准确性和效率之间取得平衡的实用解决方案。

该论文提出了一种针对增材制造（3D打印）系统的光学侧信道攻击方法，旨在恢复受保护的打印路径知识产权。作者通过部署摄像头录制打印机工作视频，然后利用深度神经网络逐帧分析视频图像，估计打印头在每一时刻的坐标（即打印路径）。实验表明，该神经网络能够成功恢复任意打印过程的路径。此外，通过数据增强技术，模型能够容忍相机位置、角度以及光照条件的一定变化，并且可以智能地对训练数据中未出现的图像进行插值，从而准确恢复坐标。该方法展示了物理侧信道攻击在制造系统知识产权窃取中的新途径，对工业安全具有重要意义。

该研究针对基于GAN的图像篡改技术日益成熟带来的数字取证挑战，系统比较了四种预训练CNN架构（VGG16、ResNet50、EfficientNetB0和XceptionNet）在假图像检测任务中的性能。通过统一的预处理和训练流程，对真实与篡改图像数据集进行缩放、归一化和数据增强，以解决类别不平衡并提升泛化能力。模型评估指标包括准确率、精确率、召回率、F1分数和ROC-AUC。实验结果显示，VGG16以91%的准确率领先，XceptionNet、ResNet50和EfficientNetB0均达到90%。EfficientNetB0对假图像表现出较高敏感性，但对真实样本的可靠性降低，反映出不平衡驱动的偏差。研究指出了数据集不平衡、过拟合和可解释性有限等局限，这些因素影响了跨域鲁棒性。该工作提供了一个可复现的基线，并强调了需要平衡数据集、先进的数据增强和公平性感知训练，以构建可靠的假图像检测系统。

本文提出了一种名为 SMA-DP-SGD（Spectral Memory-Aware Differentially Private Stochastic Gradient Descent）的新方法，旨在改进差分隐私深度学习中的效用问题。标准的差分隐私随机梯度下降（DP-SGD）通过对每个样本梯度进行裁剪并添加高斯噪声来保证隐私，但其高方差的更新会导致在困难数据集上的模型效用下降。SMA-DP-SGD 引入了一个基于历史私有化噪声释放的分数记忆分支，利用受 WeightWatcher 启发的谱幂律指数来提供分组层面的可靠性信号，并逐层实例化以调整衰减率和有效记忆深度。该方法通过私有历史对齐、范数匹配和预热激活来稳定记忆贡献。隐私保证是透明的：在给定私有释放历史条件下，记忆分支是固定的，唯一依赖于新数据的项是当前裁剪后的梯度之和乘以固定系数 β。因此，SMA-DP-SGD 保持了清晰的条件敏感度结构，并在 β=1 时精确恢复分组 DP-SGD。实验在 CIFAR-100、CIFAR-10 和 MNIST 上进行，结果表明该方法在多个差分隐私优化基准上取得了具有竞争力或更优的准确率，尤其在 CIFAR-100 和 CIFAR-10 上提升最大。CIFAR-10 的消融实验显示 β 控制着隐私-效用的权衡轨迹，谱和记忆诊断证实了可控的短至中等有效记忆深度以及较小的记忆分支占比。运行时分析表明，该方法在 CIFAR-10 实现中比 DP-SGD 增加了约 2.94 倍的开销，揭示了自适应私有记忆与计算成本之间的实际权衡。

该论文深入研究了深度神经网络（DNN）中对抗样本的可迁移性问题。传统的对抗样本攻击中，攻击者使用白盒替代模型生成对抗样本，这些样本能够欺骗其他不同架构的黑盒模型。尽管已有大量实证研究提供了生成高可迁移性对抗样本的指导，但许多发现缺乏理论解释，甚至给出矛盾的建议。本文聚焦于替代模型的特性，从“微鲁棒性”（little robustness）现象出发——即用轻微扰动对抗样本进行对抗训练的模型反而能作为更好的替代模型来发起迁移攻击。作者将此归因于模型平滑度（model smoothness）和梯度相似性（gradient similarity）之间的权衡，并强调两者对可迁移性的联合效应，而非单独影响。通过理论分析和实证研究，他们假设对抗训练中由离流形（off-manifold）样本引起的数据分布偏移是损害梯度相似性的原因。基于此，进一步探讨了常见数据增强和梯度正则化对可迁移性的影响，分析了不同训练方法中权衡的表现，构建了可迁移性调节机制的综合蓝图。最后，提出一种通用路线来构建优质替代模型以提升可迁移性，即同时优化模型平滑度和梯度相似性，例如结合输入梯度正则化和锐度感知最小化（SAM），并通过大量实验验证。总结来说，论文呼吁关注这两个因素对发起有效迁移攻击的联合影响，而非单独优化其中一个，并强调操纵替代模型的关键作用。适合从事对抗机器学习、模型鲁棒性研究的学者和工程师阅读。

该论文提出一个端到端统一框架，弥合了威胁检测与可操作响应之间的鸿沟。系统由两个紧密耦合的阶段组成：首先，一个由三个独立训练的二元深度神经网络（DNN）组成的集成模型对网络流量进行分类，区分良性、拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击，在CICIDS2018数据集上达到99.84%的准确率，在UNSW-NB15数据集上达到95.30%的准确率。其次，一个检索增强生成（RAG）管道从排名前五的异常特征构建解释感知的提示，从权威来源的知识库中检索语义和词汇最相关的指导，并引导本地部署的语言模型合成结构化、引用依据的缓解报告。实验表明，RAG增强的缓解报告在所有自动评估指标上均优于普通的大语言模型输出。该框架旨在直接回答安全分析师最关心的问题：下一步该怎么做？

该论文提出了一种名为 LACMUS（Latent Concept Masking for Robustness）的通用鲁棒性增强方法，旨在提升深度神经网络（DNN）对对抗攻击和分布偏移的鲁棒性。作者认为，DNN 对对抗扰动和分布漂移的敏感性源于模型过度拟合数据集中的非共同概念（non-common concepts），导致依赖特定学习实例而增加脆弱性。LACMUS 通过将高维数据映射到潜在概念空间，识别并导航“非共同概念”的模式，然后应用概念掩蔽策略选择性遮蔽数据特征，迫使模型基于更广泛的信息进行决策，从而增强决策鲁棒性。该方法是一种攻击无关（attack-agnostic）的框架，采用概念级增强（concept-wise augmentation）来提升模型对多种对抗、语义和分布挑战的鲁棒性。论文贡献包括：开发了鲁棒性增强工具、提供了将数据映射到潜在概念空间的机制、识别概念级误分类模式的策略、以及利用潜在概念的新颖数据增强模块。实验在 MNIST、CIFAR-10、ImageNet 和 CelebA 数据集上进行，验证了 LACMUS 在增强模型弹性和泛化能力方面的有效性，即使训练数据稀缺时也有效。此外，论文向研究社区提供了增强后的数据集，以支持模型鲁棒性训练。

该论文提出了一种名为QuRA的新型后门攻击方法，利用深度学习模型量化过程中的舍入操作来注入恶意行为。与传统的依赖训练数据投毒或模型训练操纵的后门攻击不同，QuRA仅通过量化操作即可实现攻击。具体地，QuRA首先采用一种新颖的权重选择策略，识别对后门目标至关重要的权重（同时保持模型整体性能）。然后，通过优化这些权重的舍入方向，跨模型层放大后门效果，而不会显著降低模型精度。大量实验表明，QuRA在大多数情况下实现了近乎100%的攻击成功率，且性能下降可忽略不计。此外，QuRA能够绕过现有的后门防御措施，突显其威胁潜力。该研究揭示了广泛使用的模型量化过程中的关键漏洞，强调了需要更强大的安全措施。代码已开源。适合深度学习安全研究人员、模型部署工程师阅读。

传统基于主机的恶意软件检测方法存在资源消耗大等问题，云反病毒解决方案虽能缓解部分限制，但仍难以应对复杂的多态恶意软件和具有特权的恶意软件，尤其是在防御破坏性勒索软件攻击方面效果不佳。本文提出一种增强型云反病毒方案，通过神经网络分析虚拟化环境中的块级快照来检测勒索软件攻击。该方法无需额外硬件支持，利用深度学习模型从存储快照中提取特征，识别异常行为模式，从而发现具有逃避性和高权限的勒索软件。初步实验结果表明该方法是可行的，能够有效检测以前难以发现的勒索软件变种。该研究的核心贡献在于将基于深度学习的块快照分析引入云反病毒领域，为虚拟化环境提供了一种无需硬件依赖、可扩展的勒索软件检测新途径，补充了现有主机防护和网络检测的不足。适用于从事云安全、反病毒、深度学习在安全中应用的研究人员和工程师阅读。

本文系统性地研究了现代神经网络中后门攻击的密码学不可检测性问题。传统后门攻击往往依赖特定的触发器模式，且容易被防御机制检测。受近期密码学进展启发，作者提出了一种基于潜在空间方向的攻击框架，将后门通道建模为网络在训练过程中学习的潜在方向。核心创新在于：将不可检测性问题转化为一个假设检验问题——攻击者无需引入外部结构，而是利用网络自身几何中已存在的方向作为后门载体。通过在标准图像分类数据集上对ResNet和Vision Transformer架构进行实验，该方法在保持干净样本精度几乎不下降的同时实现了持续的高攻击成功率，并能抵抗多种主流的后训练防御（如剪枝、微调、神经元清洗等），除非将模型完全破坏。作者进一步从理论上论证，由于模型参数的分布复杂，区分后门模型与干净模型的假设检验在实践中是难解的，从而建立了后门的密码级不可检测性。该工作表明，密码学意义上的后门并非只能用于理论架构，而是现代深度学习模型潜在空间固有几何属性的直接体现，对AI安全领域具有重要的理论推进价值。

本文提出了一种新颖的对抗训练方法，称为“分裂差异”（Splitting the Difference）。标准的对抗训练通常在提升模型鲁棒性的同时牺牲自然准确率，且试图为每个类别学习一个统一的决策边界来同时覆盖干净样本和对抗样本。作者反其道而行之，将每个原始类别拆分为两个独立的子类：“干净”（clean）和“对抗”（adversarial），从而将分类任务从K类扩展为2K类。虽然类别数量翻倍，但每个子类的决策边界变得简单得多，有利于模型学习。论文从理论上给出了该方法有效的条件论证，并通过实验在CIFAR-10数据集上取得了95.01%的近最优自然准确率，同时保持了显著的鲁棒性（针对多种攻击）。该方法在自然准确率要求极高的实际应用中具有优势，是对抗训练领域的一个重要创新。本文适合对深度学习鲁棒性、对抗样本防御感兴趣的研究者和工程师阅读。

该论文提出一种名为 Holmes 的新型早期阶段网站指纹攻击方法，旨在解决现有基于深度学习的 WF 攻击在实际动态网络环境和各种防御机制下性能显著下降的问题。传统 WF 攻击依赖收集完整且纯净的页面加载流量，但实际中往往只能获取早期小部分流量，导致攻击效果不佳。Holmes 通过分析网站流量的时间分布和空间分布来实现早期阶段的稳健识别。具体地，它基于网站流量的时间分布设计自适应数据增强方法，并采用监督对比学习提取早期流量与预收集完整流量之间的相关性；然后通过计算流量与空间分布信息的相似度，准确识别早期阶段流量。作者在六个数据集上进行了广泛评估，与九种现有深度学习 WF 攻击相比，Holmes 对早期流量的 F1 分数平均提升 169.18%。此外，在真实暗网网站访问流量重放实验中，当平均页面加载比例仅为 21.71% 时，Holmes 仍能成功识别暗网站点，平均精确率提升 169.36%。该研究揭示了现有 WF 防御在早期流量分析下的脆弱性，对流量分析隐私保护领域具有重要参考价值。

网站指纹识别（Website Fingerprinting, WF）是一种通过分析加密流量模式来推断用户访问了哪些网站的技术。近年来，基于深度学习的方法在封闭世界数据集上表现出色，但在真实网络环境中，由于地理分布和时间推移等因素，泛化能力严重不足。论文指出，其根本原因在于两个挑战的耦合：应用层资源组合的变异性（如网页包含不同对象）和跨层封装导致的观测特征不稳定性（如TCP分段、MTU影响）。这些因素共同导致底层应用语义与可观测流量特征之间的系统性偏移。为解决该问题，作者提出了 SATA（Semantics-Aware Traffic Augmentation）语义感知流量增强框架。SATA 首先基于协议规则进行应用层语义增强，扩展每个流中的资源组合模式以及协议约束下的帧序列模式；然后通过知识蒸馏引入跨层特征对齐机制，将增强后的帧序列特征与包长度序列特征对齐，实现增强语义与观测序列的跨层特征对齐。大量实验表明，SATA 能够成功生成训练集中不存在但测试集中真实存在的流量模式，显著提升主流模型在多样复杂场景下的性能。在开放世界设定下，准确率提升 90.81%，AUROC 提升 48.37%。原型系统代码已开源。

软件漏洞检测对于确保软件安全性和可靠性至关重要。尽管深度学习取得了进展，但真实世界的漏洞数据集面临两个严重挑战：频率不平衡（少数类漏洞样本稀少）和难度不平衡（易检测与难检测样本的区分度不足）。本文从嵌入几何的角度重新审视这些问题，观察到这种不平衡会在超球面表示空间中引起几何失真，导致决策边界不稳定。为解决这一问题，作者提出了MARGIN（Margin-Aware Regularized Geometry for Imbalanced Vulnerability Detection），一个基于度量的框架，通过自适应边界度量学习和超球面原型建模来学习具有判别性的漏洞表示。MARGIN根据von Mises-Fisher浓度估计的分布结构动态调整几何正则化，使嵌入分布的概率质量与其对应的Voronoi单元对齐，从而减少几何失真，产生更稳定的决策边界。在多个公开漏洞数据集上的实验表明，MARGIN一致优于强基线，尤其在具有挑战性的不平衡数据集上，分类和检测性能显著提升。进一步分析显示，MARGIN产生的嵌入几何结构更有序，提高了鲁棒性、可解释性和泛化能力。

本文提出了一种新的差分隐私随机梯度下降（DP-SGD）变体，称为分数阶差分隐私随机梯度下降（FO-DP-SGD）。传统的DP-SGD通过逐样本裁剪、子采样、高斯扰动和隐私会计来保护隐私，每步只释放当前裁剪并加噪的梯度求和。FO-DP-SGD在加噪之前将当前裁剪的梯度求和与过去若干步已释放的私有求和输出进行加权聚合，其中权重遵循幂律分布（分数阶记忆），从而在释放机制中引入分数阶记忆。该方法保持了标准的“求和-加噪-除以批量大小”结构。在Poisson子采样下的增/删邻接关系中，敏感性分析表明只有当前步的裁剪求和是新的数据依赖项，因此有效ℓ2敏感性至多为βC（C为裁剪阈值，β∈(0,1]控制当前步贡献）。因此，FO-DP-SGD可借助Poisson子采样高斯机制的标准每步Rényi差分隐私会计来获得全局(ε,δ)-差分隐私保证。FO-DP-SGD提供了一个研究私有优化中长期记忆效应的框架，分数阶、记忆窗口和混合系数共同调节当前步敏感性、信号保留和私有历史影响之间的权衡。在SVHN、CIFAR-10和CIFAR-100数据集上的实验表明，与DP-SGD、DP-Adam、DP-IS、SA-DP-SGD、ADP-AdamW、DP-SAT和DP-Adam-AC等基线相比，FO-DP-SGD在测试准确率和隐私-效用权衡方面均有提升。

该论文针对基于深度学习的Web攻击检测模型缺乏可解释性的问题，提出了一种通过恶意载荷定位实现可解释检测的方法。作者认为，传统深度学习模型在检测Web攻击时虽然准确率高，但无法明确指出攻击的具体位置，导致安全分析师难以理解和验证检测结果。为此，论文设计了一个包含注意力机制的神经网络架构，该架构在检测恶意请求的同时，能够输出输入文本中每个token对最终判断的贡献权重，从而定位出关键的恶意载荷片段。实验基于公开的Web攻击数据集（如HTTP CSIC 2010和CICIDS2017）进行，结果表明所提方法在保持高检测精度（F1-score > 0.98）的前提下，能够有效定位出SQL注入、XSS等攻击的Payload部分，并且定位结果与人工标注的ground truth高度一致。此外，论文还通过可视化案例展示了模型的可解释性输出，验证了其在实际安全分析中的辅助价值。该研究为深度学习在安全领域的落地提供了新的思路，使得模型不仅是一个黑盒检测器，还能给出可被人类理解的证据。

本文提出了一种名为 TIPSO-GAN 的新型优化生成对抗网络，用于解决恶意网络流量检测中的关键挑战，如数据不平衡、高维特征及标记样本稀缺。作者首先分析了传统机器学习方法在恶意流量检测中的局限性，指出它们依赖手工特征且对未知攻击泛化能力弱。TIPSO-GAN 的核心思想是利用生成对抗网络（GAN）的对抗训练过程，并结合一种新颖的优化策略（可能基于粒子群优化或进化算法，从名称推断），以生成高保真的合成恶意流量样本，从而扩充训练数据集并提升分类器的鲁棒性。具体地，生成器负责学习真实恶意流量的分布，判别器则区分真实与合成流量；优化模块通过搜索超参数或架构配置进一步提升生成样本的质量和多样性。实验部分在多个公开数据集（如 CIC-IDS2017、UNSW-NB15）上进行了评估，结果表明 TIPSO-GAN 在检测率、假阳性率以及对抗样本鲁棒性等指标上优于经典 GAN 变体（如 WGAN、CGAN）和传统机器学习模型（随机森林、支持向量机）。消融实验证实了优化策略的有效性。该工作不仅提供了一种实用的数据增强工具，也为对抗学习在网络安全领域的应用提供了新思路。

该论文研究了在 Intel SGX（Software Guard Extensions）安全飞地中部署深度神经网络（DNN）模型时，攻击者如何通过侧信道攻击泄露模型架构的隐私问题。Intel SGX 旨在保护飞地内代码和数据的机密性，但先前的研究表明，攻击者可通过观察内存访问模式或执行时间等侧信道信息来推断模型结构。本文提出了一种名为“DNN Latency Sequencing”的新型攻击方法，利用单步执行（single-stepping）技术来精确测量每条指令的执行延迟，从而推断出 DNN 的层类型、层顺序、卷积核大小、通道数等架构参数。攻击者通过在操作系统级别控制时间片或利用调试机制实现单步执行，并记录每个操作的时间戳。由于不同层（如卷积层、池化层、全连接层）的计算模式导致指令序列的延迟特征不同，攻击者可以使用机器学习分类器对延迟序列进行匹配，从而重建出完整的神经网络架构。实验在多个主流 DNN 模型（如 VGG、ResNet 等）上进行，结果表明该方法能够以高准确率（平均超过90%）提取模型架构，即使飞地内采取了简单的防护措施。论文还讨论了针对该攻击的潜在防御方案，如引入随机延迟或使用恒定时间实现，但指出这些方案可能带来显著的性能开销。该研究强调了在可信执行环境中保护 DNN 模型架构面临的挑战，为安全社区提供了新的攻击视角和防御思路。适合关注深度学习安全、侧信道攻击及可信执行环境的从业人员阅读。

本文针对商用深度学习服务中的对抗样本检测问题，提出了一种名为“建设性噪声”的新型防御方法。该方法通过向输入数据添加精心设计的噪声，使得正常样本和对抗样本在模型内部表示上产生可区分的差异，从而有效检测出对抗扰动。核心思路是利用噪声的构造性来对抗攻击者的破坏性噪声，通过设计一个噪声生成网络，使其输出与模型决策边界对齐，增强正常样本的鲁棒性同时放大对抗样本的异常特征。实验在多个商用DNN服务（如云端分类API）和标准数据集上进行，结果表明该方法能在保持较低误报率的前提下，显著提升对抗样本的检测率，且对多种攻击算法（如FGSM、PGD、C&W）具有泛化能力。主要贡献包括：1) 提出一种无需修改原始模型的新型检测框架；2) 设计了噪声构造与融合机制；3) 在真实商用场景中验证了有效性。适合从事AI安全、对抗机器学习防御的工程师与研究人员阅读。

本文研究了深度神经网络中对抗性噪声在不同层间的非均匀传播现象，并首次从理论上给出了形式化的对抗噪声放大定理。作者推导出一组充分条件，保证对抗噪声在特定层或特征空间中以可预测的方式放大，从而为对抗样本检测提供了坚实的数学基础。基于理论分析，他们提出了一种新的训练方法：通过设计定制的谱损失函数和特定的网络架构，强制模型在正常输入与对抗输入之间产生显著不同的噪声放大模式。该方法在训练阶段引入额外的正则化项，使模型对对抗扰动更敏感，同时保持对干净样本的识别能力。在推理阶段，他们开发了一种轻量级的检测机制，仅需一次前向传播即可利用放大的噪声信号判断输入是否对抗，无需额外计算或外部知识。通过在多个基准数据集和多种先进攻击（包括自适应攻击）上的实验，验证了检测器具有高检测率和低误报率，证明了增强的噪声放大可以作为一种鲁棒且可靠的防御信号。本文的主要贡献在于：1）从理论上证明了对抗噪声放大的存在条件；2）提出具体可行的训练与架构设计方法来增强该信号；3）实现了一种高效且仅在推理时运行的检测方法。适合从事深度学习安全、对抗防御研究的人员阅读。

该论文研究了机器遗忘（Machine Unlearning）领域中的类别级遗忘问题，提出了一种基于 SISA（Sharded, Isolated, Sliced, and Aggregated）框架的改进方案，用于卷积神经网络（CNN）架构。随着图像生成模型等AI系统的普及，数据隐私和用户同意问题日益突出，当用户要求删除其数据时，模型需要能够移除特定数据的影响而无需完全重新训练。论文提出的方法在标准SISA基础上引入了强化重放机制（reinforced replay mechanism）和门控网络（gating network），以增强选择性遗忘的效率。实验在多个图像数据集和不同CNN配置上进行，结果表明该方法能够有效实现类别级遗忘，在保持模型性能的同时显著降低重新训练的开销。论文还指出了SISA类遗忘方法在隐私敏感型AI应用中的部署潜力，并公开了实现代码。适合对机器学习隐私、数据删除合规性以及模型维护效率感兴趣的研究人员和工程师阅读。

eDySec 是一个基于深度学习的动态行为分析框架，旨在检测 PyPI 生态系统中的恶意包。随着下一代软件供应链攻击（如多阶段恶意软件执行、远程访问激活和动态载荷生成）的兴起，传统机器学习检测器因动态行为数据的高维稀疏性（包括系统调用、网络流量、目录访问模式和依赖日志）而性能下降、稳定性差且缺乏可解释性。本文利用 QUT-DV25 数据集（捕获包安装时和安装后行为）评估多种深度学习模型，并研究特征集以识别最具判别力的属性。框架整合了模型稳定性分析和可解释 AI 技术，提供稳定的透明决策。实验结果表明，eDySec 显著优于现有方法：将特征维度减半，误报率降低 82%，漏报率降低 79%，准确率提升 3%，并达到近乎完美的稳定性，每个包推理延迟仅 170 毫秒。研究还发现特征与模型选择至关重要，某些组合会降低性能。该工作深化了对动态分析应对下一代攻击的优势与局限的理解。

本文聚焦于侧信道分析（SCA）中的电磁（EM）探针位置鲁棒性问题。传统的SCA通过采集加密操作中的物理泄漏（如电磁辐射）来破解加密算法。在评估芯片的电磁泄漏时，通常需要将探针放置在芯片上方的有利位置，但现有的研究大多集中在热点发现和重定位上。本文提出了一种新方法：使用来自多个EM探针位置的迹线训练单个神经网络，从而在更大的区域内检测泄漏。作者进行了双实验室评估：一个实验室的数据用于训练，另一个实验室的迹线用于攻击，验证了方法的跨设备泛化能力。实验表明，该方法能够有效应对探针位置变化带来的挑战，提高了侧信道分析的实用性和鲁棒性。这项研究对于硬件安全评估和抗侧信道防护设计具有参考价值。

本文针对快速对抗训练（FAT）中存在的两个核心问题展开研究：（1）灾难性过拟合（CO），即模型过度拟合训练时使用的对抗样本，导致对未见攻击泛化能力差；（2）鲁棒性与准确率之间的权衡，即在提高鲁棒性的同时往往导致干净样本上的性能显著下降，且随着扰动预算增加而加剧。作者首先通过将样本按置信度分组，系统分析了引导强度（扰动和监管水平）如何影响模型性能，发现低置信度样本是引发CO和鲁棒-准确率权衡的主要因素。基于此洞察，提出了一种分布感知动态指导（DDG）策略，该策略根据样本在真实类别上的置信度动态调整扰动幅度和监督信号：一方面，根据置信度缩放扰动大小，引导样本朝向一致的决策边界，同时减少对虚假相关性的学习；另一方面，基于每个样本的预测状态动态调整监督信号强度，避免过度强调错误信号。此外，为缓解动态指导可能带来的梯度不稳定，设计了加权正则化约束。在标准基准测试（如CIFAR-10、CIFAR-100等）上的广泛实验表明，DDG能有效缓解CO和鲁棒-准确率权衡，在保持较高干净准确率的同时显著提升鲁棒性。本文适用于对对抗训练、模型鲁棒性及深度学习安全感兴趣的研究人员。