该论文针对基于机器学习的分类器在对抗性逃避攻击下鲁棒性不足的问题，提出了一种名为 RESSAP（Robust Ensemble of Selectively Strengthened and Augmented Predictors）的新型防御框架。现有防御机制往往泛化能力有限，且难以在多种攻击场景下系统地提升模型鲁棒性。RESSAP 通过将单个分类器转换为多个鲁棒分类器的集成来应对这一挑战。首先，利用一个综合考虑特征重要性和鲁棒性的弹性度量，为每个集成分类器精心选择特征子集；然后，在训练过程中引入基于噪声的数据增强，以强化决策边界并提升泛化能力；在推理阶段，随机选取部分分类器进行预测，增加不可预测性，从而增强抗对抗操纵能力。实验结果表明，RESSAP 在保持干净数据高准确率的同时，显著提升了对抗逃避攻击的鲁棒性。该框架与模型无关，无需对现有架构进行重大修改，为机器学习系统提供了一种可扩展且灵活的防御策略。

本文针对机器学习模型中的成员推断攻击（Membership Inference Attacks）提出一种名为SELENA的隐私保护训练框架。成员推断攻击旨在通过模型对成员与非成员输入的差异行为推断某样本是否属于训练集，是衡量模型隐私泄露的关键指标。现有防御方法如差分隐私虽能提供可证隐私保障，但会显著降低模型效用。本文的目标是在保持模型效用（utility）的同时提高成员隐私，即实现经验性隐私保障。SELENA框架包含两大核心组件：第一，Split-AI集成架构，它将训练数据随机划分为多个子集，并在每个子集上独立训练模型；在推理阶段，对于每个输入样本，仅聚合那些训练数据中不含该样本的模型输出，从而阻断攻击者利用模型行为差异。作者证明Split-AI能防御一大类成员推断攻击，但仍可能受到自适应攻击。因此，第二组件采用自蒸馏（Self-Distillation）方法，通过Split-AI集成对训练数据集进行自蒸馏，无需外部公共数据集，进一步增强对更强攻击的鲁棒性。在多个基准数据集上的实验表明，SELENA在成员隐私与效用之间实现了优于现有技术的权衡。本文适合机器学习安全研究人员、隐私保护从业者以及关注模型隐私泄露的工程师阅读。