本文系统性评估了机器学习驱动的网络入侵检测系统（NIDS）在面对对抗性攻击时的鲁棒性。尽管已有研究揭示了ML模型在特定场景下的脆弱性，但缺乏跨架构、跨攻击类别和攻击类型的系统比较，导致安全从业人员在选择模型时缺乏明确指导。作者选取了三种主流分类器架构——1D卷积神经网络（CNN）、长短期记忆网络（LSTM）和随机森林（RF）集成，并在ACI-IoT-2023数据集（包含超过120万样本，涵盖12种攻击类型）上进行实验。对抗攻击采用FGSM和PGD方法，在归一化特征空间施加梯度扰动，扰动预算从ε=0.01到ε=0.1。结果显示：随机森立基线准确率高达99.98%，但受到攻击时性能急剧下降，即使在最小扰动ε=0.01下也下降了73个百分点；CNN则展现出优雅退化特性，在ε=0.01时仍保持95.5%的准确率；LSTM性能介于两者之间。这一发现颠覆了“高基线准确率意味着高鲁棒性”的传统认知。作者建议在对抗性环境中部署基于CNN的NIDS，并针对不同场景给出了具体部署建议。

本文研究了概念漂移（Concept Drift）对基于机器学习的钓鱼检测系统性能的影响，并提出了缓解策略。随着数字通信的快速发展，电子邮件成为主要渠道之一，但也带来了垃圾邮件和钓鱼攻击的持续威胁。传统的机器学习检测模型在静态数据集上表现良好，然而钓鱼攻击技术不断演化，导致数据分布随时间发生变化，即概念漂移，从而造成模型性能显著下降。作者评估了多种机器学习模型（如逻辑回归、随机森林、支持向量机等）在真实邮件数据集上随时间推移的准确率、召回率等指标的变化，发现多数模型在6-12个月后准确率下降超过10%。为此，本文提出了一种自适应重训练框架，结合周期性增量更新和基于漂移检测的触发式重训练策略。实验表明，该框架能够将检测性能下降幅度控制在3%以内，同时降低了频繁重训练的计算开销。研究还分析了不同特征（如邮件头、内容、元数据）对漂移的敏感性，指出基于内容的特征更容易受漂移影响。该工作为安全运维团队提供了实用的模型维护指南。

本文对数据伪造攻击（Data Forging Attacks）在实践中的可行性进行了重新评估。数据伪造攻击是指模型拥有者通过伪造训练数据小批量（mini-batches）来提供虚假的证据，声称模型是在某个数据集上训练的，而实际上是在另一个数据集上训练的。这种攻击破坏了数据治理和审计的可能性，因为恶意的模型拥有者可以声称其模型是从合规数据集训练的，而实际上使用了不合规的数据。然而，本文从实践和理论两个角度深入分析了当前攻击方法的局限性。实践上，现有攻击方法无法生成足够相似的梯度，从而容易被验证者检测。理论上，尽管存在无限多个不同的实数域小批量可以产生相同梯度，但要找到符合实际域（如图像像素值在0-255区间，且标签为one-hot编码）的小批量却非常困难。因此，本文呼吁重新评估已有攻击的实际威胁，并鼓励进一步研究成功的数据伪造攻击的条件。该研究对机器学习模型审计、数据合规和隐私保护有重要意义。适合机器学习安全研究者、数据治理专家和隐私合规从业者阅读。

Android恶意软件分析面临鲁棒分类和检测隐匿攻击的挑战。现代威胁采用代码混淆、动态加载、加壳甚至隐写技术来规避传统静态和动态特征检测，降低了基于签名的系统有效性，并削弱了依赖显式语义指标（如权限、API调用、控制流结构）的机器学习模型的可靠性。本文提出了一种名为\approachname的内存取证恶意软件检测框架，将分析视角从语义程序建模转向基于信号的结构表示。该方法将静态字节码和早期执行内存快照通过直接二进制到波形映射转换为音频波形，无需反汇编或特征工程，保留了低层结构模式。生成的信号使用手工设计的频谱描述符、卷积神经网络和基于transformer的嵌入进行处理。在CICMalDroid2020数据集和VirusTotal恶意软件上的实验表明，\approachname达到了98.0%的准确率，优于静态声纳化方法和当前最先进的技术。本研究为恶意软件分析提供了一种新颖的信号处理视角，展示了音频特征在识别恶意行为方面的潜力。

本文提出一个名为FDM（决策框架）的框架，用于构建基于机器学习的恶意软件检测系统。选择机器学习配置是一个多准则优化问题，需要考虑模型选择、特征工程、更新机制等多种因素，且不同部署场景的约束各异。FDM通过加权配置兼容性得分（WCCS）将五个操作参数（平台约束、资源预算、响应延迟、更新频率、检测灵敏度）映射到九个配置维度的排序推荐，从而形式化选择过程。为了验证框架，作者在三个数据集上进行了四个实验：私有Windows API数据集、公开Malimg图像基准和Android静态API数据集。关键结果包括：(i) 在二分类中，XGBoost实现了最佳准确率与资源比（测试准确率97.46%，内存<70MB），优于LSTM/BiLSTM（消耗高达2.8GB）；(ii) 多分类中，经典模型（XGBoost 79.03%）优于循环深度模型（BiLSTM 72.27%），与二分类结果相反；(iii) 使用EfficientNetB0的类增量学习在11个增量步骤中保持了99.13%的准确率，仅下降0.65个百分点；(iv) 迁移学习使图像型恶意软件数据训练时间平均减少2.14倍，且准确率无显著损失；(v) 自编码器预处理实现了14倍的训练加速，仅损失0.86个百分点的准确率。这些发现证实最佳ML配置依赖于上下文，验证了FDM的核心前提，并展示了其对安全从业者的实用价值。

该论文聚焦于欺诈性电子商务网站（FCWs）的检测问题，这类网站包括虚假购物网站、虚假慈善机构和加密货币诈骗网站等，但现有安全生态系统（如反钓鱼系统）对FCWs关注不足，且缺乏大规模缓解系统和公开数据集。作者首先提出了一种通过众包自动收集FCWs的高效方法，识别出八种非钓鱼FCWs类型并提取关键特征。实验发现，Google Safe Browsing等反钓鱼系统对FCWs的检测率仅为0.46%。基于分析，作者构建了分类器BEYOND PHISH，利用手工定义的特征进行检测。通过用户研究对未见数据进行验证，系统检测率达到98.34%，误报率仅为1.34%。进一步与Palo Alto Networks及一家大型金融服务提供商合作，在人工标记的真实数据上评估，模型实现了2.46%的误报率和94.88%的检测率，展示了实际防御潜力。论文的主要贡献包括：首次系统性地定义和检测非钓鱼FCWs，提出自动收集方法，开发高效分类器，并通过业界合作验证其实际有效性。

该论文针对美国关键基础设施领域日益增长的网络安全威胁，提出了一种基于可解释人工智能（XAI）的网络风险分析与模型可靠性评估框架。研究背景指出，随着能源、医疗、交通、金融和通信等关键基础设施广泛采用智能数字技术，其暴露于高级网络攻击（如DDoS、僵尸网络、勒索软件和APT）的风险显著增加，传统安全机制难以应对动态演变的攻击环境。为此，研究者利用公开的CICIDS2017数据集，构建了基于机器学习的入侵检测和风险预测模型。比较了XGBoost、随机森林（Random Forest）和决策树（Decision Tree）等分类器在恶意流量检测上的性能，并重点集成SHAP等XAI技术，以增强模型决策过程的透明度和可解释性。评估指标包括准确率、精确率、召回率、F1分数、ROC-AUC和误报率，旨在验证模型的可靠性和鲁棒性。该框架最终目标是为美国关键基础设施的智能治理提供决策支持，提升网络安全风险管理的可信度与自动化水平。

本文研究了网络攻击分类中特征降维技术的有效性，重点比较了主成分分析（PCA）和线性预测编码（LPC）两种方法。高维特征表示在基于机器学习的网络攻击检测系统中被广泛使用，但计算复杂度的增加限制了其在资源受限环境（如边缘设备、物联网节点）中的部署。为了在保持分类性能的同时降低特征维度，作者对KDD Cup 1999数据集（一个经典的网络入侵检测基准）中的特征进行了压缩实验。他们生成了从原始高维特征到不同低维表示的多种压缩版本，并评估了多种分类模型（包括决策树、支持向量机、K近邻等）在压缩特征上的性能。实验结果表明，PCA即使在极端压缩情况下（例如从原始维度降至仅几个主成分）也能保持分类准确率，几乎不出现性能下降；而LPC虽然也能提供有竞争力的预测表示，但在相同压缩率下性能退化略大。总体而言，两种方法均能在几乎不损失分类准确性的前提下将特征维度降低一个数量级。该研究证明了轻量级特征压缩技术在高效率网络安全分析中的潜力，为开发适用于实时、低功耗环境的入侵检测系统提供了理论依据和实证支持。

本文提出一种名为 A-Live 的被动式活体检测框架。研究背景：传统的活体检测主要用于防止生物特征认证中的展示和重放攻击，但随着生成式AI和自主AI代理的兴起，数字系统需要区分人类用户与非人类实体，活体检测成为基础安全原语。现有方法依赖显式用户交互、专用硬件、容易被逼真欺骗攻击且难以规模化部署。核心方法：A-Live 仅利用商用设备中普遍存在的惯性测量单元（IMU）信号，其关键洞察在于人类运动控制中固有的神经肌肉微运动会在IMU数据中产生微妙但可测量的特征，而以往研究通常视其为噪声。作者设计了轻量级特征提取流水线和紧凑型分类器，可在设备上实时运行，并引入可控的物理微运动平台用于评估对工程化非人类运动的鲁棒性。主要贡献：在包括 Android 和 iOS 设备、自动化及真实用户设置的广泛评估中，A-Live 实现了超过 99.5% 的准确率，误接受率和误拒绝率极低。结果表明，神经肌肉微运动特征可在新兴AI驱动威胁模型下提供可扩展、被动的活体检测基础。适合安全研究人员、生物识别系统设计者及关注 AI 安全的人员阅读。

该论文提出了一种名为 MimeLens 的新型内容类型检测方法，旨在解决现有方法（如 Google 的 Magika）在输入不完整、位置未知的二进制片段（例如单个网络包载荷、无文件头的文件碎片、随机磁盘块等）时失效的问题。MimeLens 基于小型 BERT 风格的编码器，通过在文件内随机偏移位置采样窗口进行预训练，从而不依赖文件头位置。它支持标准上下文和短上下文两种变体，输入为任意长度的字节块，输出 libmagic 定义的 125 种 MIME 标签之一。实验表明，在完整文件的头部数据上，MimeLens 的 top-1 准确率比 Magika v1.1 高出 10.7 个百分点；在无法使用 Magika 的场景（如单个 UDP 包中间数据、随机磁盘块）中，MimeLens 仍能分类，且准确率是 libmagic 和 Magika 的两倍以上。代价是延迟：CPU 上比 Magika 慢一到两个数量级，但在消费级 GPU 或批量处理时相当。所有训练好的 checkpoint 已在 Hugging Face 开源。

随着恶意软件（包括变种和新型）数量快速增长，恶意软件的检测与缓解成为一个复杂问题。传统的恶意软件检测方法虽然能识别恶意软件，但无法将其归类到具体的家族，这阻碍了后续的针对性和有效响应。针对这一挑战，本文提出了一种混合方法，用于自动化恶意软件检测与家族分类。该方法首先提取多种相关特征，包括API调用序列以及固定长度和可变长度的n-gram，并结合一种自定义的特征选择方法进行特征融合。在预测模型部分，提出了一种基于投票的算法融合策略，将多个分类器的输出进行集成。实验评估使用微软提供的恶意软件数据集，分别进行了二分类（恶意/良性）和多分类（具体家族）任务。结果表明，该方法在AUC达到0.989，准确率达到99.72%，对数损失仅为0.01，显著优于现有技术水平。该工作为安全运营中自动、准确地进行恶意软件家族分类提供了一种有效途径，有助于提升针对不同类型恶意软件的差异化防御能力。

尽管 macOS 在个人用户和企业系统中的普及度日益增长，但恶意软件研究长期聚焦于 Windows 和 Android，针对 macOS 的检测工作相对不足。操作系统自身的特异性以及 Mach-O 文件格式的独特结构，在未知样本分类中可发挥关键作用。本文首次在文献中提出利用 macOS 二进制文件的领域特定静态特征——包括嵌入式证书、权限（entitlements）、持久化技术及关键系统 API——来训练机器学习恶意软件检测器。研究者构建了一个包含 41,129 个样本（11,413 良性、29,716 恶意）的新数据集，并通过综合实验证明，所提方案达到了 98.50% 的检测率，平均比现有最优方法提升 16%，且经过特征重要性分析确认领域特定特征贡献显著。为进一步评估检测器的时间泛化能力，研究者使用 9,000 个全新 macOS 可执行文件进行真实环境测试，结果显示检测率高达 99.50%，相比当前最优方法提升 50%；当移除领域特定特征时，检测性能下降 15.92%，证实了这些特征对泛化到新型恶意样本至关重要。最后，作者将数据集公开给研究社区。该工作为 macOS 恶意软件检测提供了全新的特征视角，对安全社区具有重要参考价值。

该论文针对机器学习中的数据最小化（Data Minimization, DM）原则进行了系统研究。组织在训练和部署预测模型时，往往收集大量详细的客户数据，一旦发生数据泄露，将导致隐私暴露风险。政策制定者日益要求遵守数据最小化原则，即仅收集任务相关且必要的数据。然而，目前关于如何部署遵守DM的机器学习模型的研究甚少。本文提出了一种基于数据泛化的垂直数据最小化（Vertical DM, vDM）工作流，通过设计确保在模型训练和部署过程中不收集全分辨率客户数据，从而在发生泄露时减少攻击面，保护客户隐私。作者形式化并研究了在泛化过程中同时最大化数据效用和最小化经验隐私风险的问题，通过引入一组多样化的、与政策一致的对抗场景来量化隐私风险。最后，提出了多种基线vDM算法，以及一种特别有效的算法——隐私感知树（Privacy-aware Tree, PAT），该算法在多个设置下优于所有基线。作者计划将代码作为公开库发布，以推动机器学习中DM标准的建立。该工作为实际应用中DM原则的进一步探索和采用奠定了基础。

该论文系统性地总结了机器学习在计算机安全领域应用中的常见陷阱和最佳实践。作者回顾了大量已有研究，识别出在数据收集、特征工程、模型评估、部署维护等环节中反复出现的问题，例如不恰当的数据划分导致信息泄露、忽视概念漂移、使用不合理的评估指标等。论文还提供了具体的对策建议，包括稳健的交叉验证方法、时间感知的评估设计、以及对模型可解释性和对抗鲁棒性的考量。通过多个安全应用案例（如恶意软件检测、入侵检测、钓鱼网站识别），作者展示了错误做法如何导致虚高的性能估计和实际部署失败。最后，论文呼吁社区建立更严格的实验标准和可重复性规范，以提高机器学习安全研究的可信度。

该论文针对网络安全中加密数据片段识别的关键问题展开研究，特别是在勒索软件检测、数字取证和大规模数据分析等场景下，准确区分加密与压缩数据片段至关重要。然而，短片段缺乏结构信息且统计冗余度低，传统基于字节级分布的统计方法效果有限。近期机器学习方法通过从原始字节中学习微妙模式提升了性能，但大多依赖单模态表示，假设单一视角足以完成分类。论文指出，在仅获得512-2048字节小片段的低信息场景下，该假设成为根本性局限。为此，作者提出Triumvir，一种多模态、不确定性感知的集成架构，融合了原始字节片段的统计、序列和空间三种表示。通过广泛的实验分析，Triumvir在二分类任务中持续超越最先进方法，增益高达+4.5个百分点；在多分类任务中增益达+6.4个百分点。消融研究证实，结合多种模态至关重要，相比部分配置可获得最高+5个百分点的提升。该工作为低信息环境下加密流量分类提供了新思路，适合网络安全研究人员和从业者阅读。

该论文聚焦于物联网(IoT)网络入侵检测中的类别不平衡问题。侧信道功率数据集中正常样本与攻击样本的比例可达75,964比1，严重影响了机器学习模型的检测性能。此前Dominguez等人提出了基于功率的入侵检测概念验证，但未处理类别不平衡，也未在平衡训练集上评估分类器性能。本研究针对这些问题进行了改进：首先，对从原始数据集提取的九个可能数据集应用合成少数类过采样技术(SMOTE)，使得每个数据集的精确不平衡比达到1.1；然后，在SMOTE平衡后的6小时数据集上，在相同条件下训练了八种算法：随机森林(RF)、直方图梯度提升(HistGradientBoosting)、LightGBM、极限随机树(Extra Trees)、XGBoost、K近邻(KNN)、多层感知器(MLP)和决策树(DT)。实验结果表明，随机森林的微平均F1分数达到0.9989，宏平均F1为0.9794，超越了此前基准论文中时间序列森林算法的最佳微F1结果(0.9983)。极限随机树在保持相同性能的同时，训练速度快了10倍。通过明确引入宏平均F1指标（区别于基准论文的评估），揭示了聚合性能指标遗漏的重要类别级信息。基于混淆矩阵计算的每类召回率、F1热图和ROC曲线显示，仅当使用SMOTE平衡时，少数攻击类别（尤其是混合M+L感染）才能被可靠检测。特征重要性分析表明，功率窗口中的最后时间步（共60步）是最重要的预测信号。本文的研究为基于侧信道的IoT入侵检测提供了更全面的评估框架，强调了数据平衡和细粒度性能指标的重要性。

本文首次对全同态加密（FHE）下的机器学习训练进行了理论收敛性分析，并提出了一种结合差分隐私（DP）的训练算法，专为加密计算设计。该方法通过使用激活函数和损失函数的多项式近似（FHE兼容所必需）来证明近似梯度下降的收敛性，从而改进了标准差分隐私梯度下降（DP-GD）的计算效率，同时实现可比的效用。为了在下游任务中保护隐私，该算法在不依赖昂贵的每个样本梯度裁剪的情况下集成了差分隐私，实现了可扩展的加密学习。此外，本文还提供了数据无关的超参数选择和多项式近似的理论指导策略，这些成果可独立应用。总体而言，这些贡献推进了在敏感数据上实现高效、私有且安全的机器学习的可行性。

该论文提出了一个对抗性恶意软件数据集，基于公开的RawMal-TF真实恶意软件二进制文件集合。作者使用一套对抗性恶意软件生成器，构建了两个对抗性PE文件数据集：一个包含44,347个按家族标记的样本，另一个包含33,596个按类型标记的样本。这两个数据集针对EMBER分类器分别实现了98.35%和92.20%的逃逸率。每个对抗二进制文件都附有详细元数据，包括EMBER评分和VirusTotal分类结果。此外，论文通过一系列训练实验展示了恶意软件分类管道对数据投毒攻击的脆弱性：在家族标记数据集中仅注入0.5%的完全错误标记的对抗样本，就使得针对重新训练分类器的逃逸率从26.1%增加到92.8%。该数据集已公开发布，旨在促进对抗性恶意软件、投毒攻击以及基于机器学习的恶意软件检测系统鲁棒性的未来研究。

本文针对基于机器学习的网络入侵检测系统（ML-NIDS）的对抗鲁棒性研究提出关键反思。现有大量工作通过向预收集的数据点（如路由器捕获的数据包或ML-NIDS分析的网络流）施加微小扰动来评估ML-NIDS的安全性，但作者指出，真实攻击者只能控制网络中少数无特权的主机，其扰动施加范围受限于主机层面（即“host-space”）。通过系统文献综述（n=316），作者发现先前研究大多忽略了这一约束，其扰动操作可能超出攻击者实际能力。为填补这一空白，本文正式定义了“主机空间对抗扰动”，即攻击者仅通过修改自身可控主机上的行为（如改变SSH暴力破解命令字符串中的一个字符）来产生对抗样本。实验基于公开基准和真实网络，结果表明：能够检测特定命令字符串SSH暴力尝试的ML-NIDS，当攻击者将该字符串仅修改一个字符后，完全无法检测任何后续尝试。作者进一步分析了这种问题空间（主机）微小变化如何导致特征空间的灾难性影响，并总结了评估主机空间扰动的实践教训。本文呼吁重新评估ML-NIDS的安全性，强调应从攻击者可操作的真实主机视角进行鲁棒性测试。

该论文针对无线加密流量中移动应用指纹识别（AF）攻击面临的四大挑战：隐藏目的地、不可见边界、应用多路复用和开放世界识别，提出了一种新型攻击方法PACKETPRINT。现有AF攻击无法同时解决这些问题，而PACKETPRINT通过结合序列化XGBoost模型和层次化词袋模型，从加密无线流量中准确识别与目标应用相关的用户活动。序列化XGBoost用于捕获流量包的时间序列特征，层次化词袋模型则处理应用内多路复用和开放世界分类。论文在多个挑战性场景下进行了评估，包括开放世界设置、丢包和网络拥塞、不同应用同时使用以及跨数据集识别。实验结果表明：开放世界应用识别的平均F1分数达到0.884，应用内用户动作识别的平均F1分数为0.959。研究揭示了无线流量中应用指纹识别的严重隐私威胁，为防御方理解此类攻击提供了技术细节。

该论文针对流式网络入侵检测系统在实际部署中面临的阈值选择难题，提出了一套名为 CALIBURN 的流式告警管道。传统方法通常将告警阈值作为事后调优参数，无法在部署前根据运营需求（如误报成本、漏报成本和告警预算）明确指定。CALIBURN 由五个组件组成：截断贝叶斯在线变化点检测器、等渗校准层（将变化点后验映射为经验条件攻击概率）、基于混淆成本的决策阈值、保形风险控制（CRC）包装器（将告警预算转换为有效阈值）以及多窗口燃烧率告警层（借鉴站点可靠性工程实践）。论文并非宣称全面优势，而是进行‘体制灵敏度研究’，在三种攻击流行率数据集上评估：LITNET-2020（5.2%）、CICIDS2017（22.06%）和 UNSW-NB15（64%）。在稀缺攻击体制下，CALIBURN 在 LITNET-2020 上达到 AUC-PR 0.943，比最佳流式基线高 2.21 倍，比最佳批量参考高 4.12 倍；等渗校准使 Brier 分数降低 30%。在中等流行率体制下，CALIBURN 仍是 CICIDS2017 上最强的流式方法，但被批量密度方法超越。在高流行率体制下，所有流式方法均趋近于流行率下限。论文还识别了两种不同的 CRC 崩溃机制（在小 alpha 时导致告警规则退化），并提供了操作指南。

该论文首次系统研究了随机梯度下降（SGD）训练过程中的不可伪造性问题。SGD 是机器学习中的核心训练算法，许多安全应用依赖于判断某个步骤的模型参数是否可以通过多个不同的数据集得到（即可伪造性）。作者提出了一组高效可检查的条件，在训练过程中的具体检查点上验证这些条件是否满足，从而证明该检查点的参数在当前步骤是"不可伪造"的，即唯一对应于某组特定数据样本。实验表明，这些条件相当宽松，在作者采样的所有检查点上均自然满足。值得注意的是，该结果与先前工作的结论形成鲜明对比：先前研究曾认为某些检查点是可伪造的，但作者采用相同方法和实验设置重新验证后发现，由于定义中的细微未明确差异，这些检查点实际上被证明是不可伪造的。作者进一步通过实验证实，微小的定义偏差会在训练过程中放大，导致最终训练出的模型存在显著可观测的差异。该工作强调了在可伪造性定义及相关安全论证中代数精确性的关键作用，为机器学习模型训练过程的完整性验证提供了理论基础。

本文提出了一种面向无卡人工智能银行系统的综合安全框架，旨在解决传统银行业务在数字化转型中面临的网络安全与欺诈风险挑战。该框架的核心创新点包括：1）利用AI驱动的数据加密技术生成自动虚拟卡，确保交易过程中敏感信息的最小化暴露；2）部署基于AI的授权机制，对每一笔交易进行实时身份验证，并通过特征提取与异常行为检测主动识别潜在欺诈；3）集成机器学习算法（如分类模型）构建多层防护体系，提升对未知欺诈模式的检测能力。作者通过理论分析论证了框架在保障通信安全（银行、持卡人、第三方之间的加密信道）、降低信息泄露风险以及减少误报率方面的有效性。实验部分（abstract未详细说明）预期验证该框架在模拟数据集上的欺诈检测准确率和系统吞吐量。本文适合金融安全研究员、银行系统架构师以及AI安全从业者阅读，为构建下一代无卡银行安全体系提供了系统性参考。

安全运营中心（SOC）面临持续的警报疲劳问题：在低患病率的事件流中，即使很低的误报率也会产生大量的调查负担，而聚合的F1分数往往掩盖了分析人员的实际工作负荷。本文提出PACT（Pareto-aware Controller for Triggered Active Learning），一种用于触发式主动学习的帕累托感知控制器。PACT包裹一个已经部署的冻结XGBoost-Focal筛查器，增加了一个自适应窗口分数偏移触发机制和一个混合采集规则，结合了阈值相对不确定性和高分数采样。在两个公开的低患病率基准数据集AIT-ADS和BOTSv1上，PACT在自适应方法中实现了最低的良性归一化误报负担。与冻结基线相比，PACT分别降低了43%和21%的负担，同时相比周期性均匀随机更新，减少了3.8倍和5.2倍的分析师查询次数。配对触发消融实验控制了触发时机，表明采集机制带来的收益超过了单纯的时机控制，但在自由运行触发下以约10个百分点的正窗口召回率为代价。仅使用冻结阈值的基线虽然进一步降低了误报，但导致BOTSv1的召回率下降了55个百分点。在所评估的工作负载假设下，纯粹的误报最小化以不可接受的召回率换取了较低的负担。

本文提出了一种利用代码自身检测功能相似但不一致代码的新方法。研究背景是软件开发中常出现功能相似但实现不一致的代码片段，可能导致难以发现的bug。核心问题是如何自动识别这类语义等价但语法有差异的代码对。方法上，作者设计了一个基于程序分析和机器学习的框架，通过提取代码的语义特征并比较其行为一致性，来发现潜在缺陷。实验在多个开源项目上进行，证明了该方法能有效检测出传统工具遗漏的bug。主要贡献包括提出新思路、构建原型系统以及公开评估数据集。适合代码审计工具开发者、软件质量工程师和编译器研究者阅读。

本文针对I2P匿名网络可能被恶意攻击者用于数据外泄的问题，提出了一种两阶段机器学习检测方法。I2P通过大蒜路由和分布式网络架构提供强匿名性，但这也使得企业网络中的恶意数据传输难以被传统安全措施发现。现有研究主要关注协议级流量识别，缺乏行为威胁评估。作者利用SafeSurf Darknet 2025数据集（包含184,548条网络流），首先在第一阶段使用随机森林分类器区分I2P流量与正常网络流量，达到了99.96%的准确率，在32,318条正常流中仅产生2个误报。第二阶段，对识别为I2P的流量进行行为分析，使用XGBoost分类器区分数据外泄与合法活动，准确率为91.11%。实验表明，基于树的集成方法显著优于深度神经网络和支持向量机。特征重要性分析显示，最具区分能力的特征包括数据包时序和流持续时间。该研究证明，在实际网络环境中可以实现准确的I2P流量检测和威胁优先级排序，从而使安全团队能够将资源集中于高风险事件，而非监控所有加密流量。

本文针对预训练机器学习模型在微调过程中可能记忆敏感数据的问题，提出了一种基于指数机制的随机算法，以实现差分隐私保护。核心思路是构造一个简单的效用函数，该函数结合了预训练模型的局部二次近似与新数据集的信息，使得指数机制能够从多元正态分布中闭式精确采样。作者建立了理论上的隐私保证、灵敏度界和准确性估计，并通过引入随机投影策略使方法可扩展至高维模型。在MNIST基准和MIMIC临床数据集上的数值实验表明，该方法与现有差分隐私微调技术相比具有竞争性能。该研究主要贡献在于提出了一个兼具理论严谨性和实用性的隐私保护微调框架，适合关注机器学习隐私保护的研究者和工程师阅读。

本文对移动应用中的机器学习模型保护现状进行了首次大规模实证研究。随着端侧机器学习（on-device ML）在移动应用中的普及，模型作为核心知识产权被部署在数十亿不受信任的设备上，面临被窃取的风险。研究旨在回答三个关键问题：模型保护在应用中的使用程度如何？现有保护技术的鲁棒性如何？模型泄露可能造成什么影响？研究者构建了一个简单的应用分析流水线，从美国和中国应用市场收集了46,753个热门应用，识别出1,468个包含机器学习模型的应用，覆盖所有热门应用类别。令人震惊的是，41%的机器学习应用完全没有保护其模型，可直接从应用包中提取。即使那些使用了保护或加密的应用，也有66%可以通过简单的动态分析技术提取出模型。提取的模型大多是商业产品，用于人脸识别、活体检测、身份证/银行卡识别以及恶意软件检测。研究者量化估计了模型泄露的潜在财务和安全影响，对不同利益相关者可能造成数百万美元的损失。研究表明，端侧模型目前面临极高的泄露风险，攻击者具有强烈的窃取动机。基于大规模研究，作者报告了对此新兴安全问题的见解，并讨论了技术挑战，希望启发未来对移动设备上健壮且实用的模型保护的研究。

该论文针对钓鱼攻击检测问题，系统评估了多种机器学习算法在不同来源的异构数据集上的表现。研究使用了公开的UCI数据集、通过EvilGinx和Zphisher等工具生成的模拟数据集以及AI生成的数据集。实验中比较了经典模型（Logistic Regression）、集成模型（CatBoost）、神经网络（CNN）和基于Transformer的模型（DistilBERT），其中DistilBERT达到了最高准确率99.78%。为增强模型可解释性，论文引入了信息增益、SHAP和LIME等可解释AI（XAI）技术，分析影响分类结果的关键特征。此外，论文设计并实现了一个基于MCP（Master Control Program？根据上下文推测为某种部署框架）的钓鱼URL检测系统，支持实时URL分析、特征提取、基于置信度的分类以及AI辅助的安全解释。实验结果表明，集成模型和Transformer模型在钓鱼检测任务上表现优异，同时XAI技术有助于理解模型决策，提升信任度。该研究为构建可解释且高效的钓鱼检测系统提供了实证基础。

这篇论文重新审视了差分隐私随机梯度下降（DP-SGD）的安全分析。DP-SGD广泛应用于机器学习中保护训练数据，其隐私保证通常通过一个安全游戏来分析，攻击者试图从机制输出中推断目标记录是否在训练集中，隐私泄露由隐私曲线（假阳性率作为假阴性率的函数）表征。论文发现现有形式化分析与常见DP-SGD实现之间存在不匹配：现有分析通常将DP-SGD及其变体建模为子采样高斯机制（SGM），即对泊松采样的批次计算裁剪梯度和并添加高斯噪声。然而，许多实际实现中额外进行了归一化步骤：将含噪梯度之和除以预期批次大小或实际采样批次大小。这些机制应分别形式化为期望平均SGM（EASGM）和批次平均SGM（ASGM）。论文重新分析了EASGM和ASGM下的隐私保证，理论结果表明这些保证可能弱于标准SGM保证，意味着在某些情况下真实隐私泄露可能超过报告的保证。此外，论文审计了四个最先进的DP-SGD实现，包括Meta的Opacus库，并观察到超出SGM保证的经验泄露。最后，对Opacus v0.9.0至v1.5.4版本进行审计，并为最新实现推导了修正后的隐私保证。

该论文提出了一种基于对抗性排序的密码猜测框架 RankGuess，将密码猜测问题建模为马尔可夫决策过程（MDP）。作者将密码创建过程视为序列决策轨迹，假设攻击者训练一个智能体，其当前状态为已生成的密码序列，动作为生成下一个字符，由排序器给出的评估分数作为奖励信号。通过对抗性排序技术，RankGuess 能够适用于多种猜测场景：拖网式猜测、基于个人可识别信息（PII）的目标猜测以及条件密码猜测。实验使用了12个大型密码数据集和6个PII数据集，结果表明：RankGuess在所有场景下均超越当前最先进的模型，在基于GAN的方法上平均提升34.80%；在已知受害者PII的目标猜测中，RankGuess-PII在10^12次猜测内可猜中58.21%~91.95%的常见用户，比最先进方法提升6.32%~17.09%；在部分密码已知（如 d****1*02*）的条件猜测中，RankGuess-Mask在10^7次猜测内将破解成功率提升7.70%~14.85%。该工作为密码猜测领域提供了新的技术路径。

该论文提出 MetaMoE，一个隐私保护的混合专家（MoE）模型统一框架。在现实场景中，训练数据通常分布在多个客户端且无法共享，导致无法直接训练统一的 MoE 模型。MetaMoE 利用公开的代理数据作为私有数据的替代，通过多样性感知的代理选择方法，从公开数据中挑选与各客户端领域相关且多样化的样本，以有效逼近私有数据分布并监督路由器的学习。这些代理还用于对齐专家训练，改善统一时的专家协调，同时上下文感知的路由器增强了跨异构输入的专家选择。在计算机视觉和自然语言处理基准上的实验表明，MetaMoE 持续优于现有的隐私保护 MoE 统一方法。该工作为隐私约束下的 MoE 模型训练提供了新思路，适用于联邦学习、分布式专家系统等场景。

本文研究了差分隐私中个性化隐私预算的局限性。在差分隐私中，隐私预算ε的选择至关重要，它需要在满足隐私要求的同时最大化数据效用。一种常见的思路是为不同用户（或数据点）分配不同的隐私预算，即个性化隐私预算。然而，本文通过理论分析证明，个性化隐私预算的收益在均值估计任务中是有限的。具体而言，影响效用的主导因素并非完全个性化，而是选择合适的有效隐私预算。作者提出了一种简单的阈值化操作：将所有隐私预算低于某个阈值的用户视为非隐私数据，或统一分配一个公共预算。与这种阈值化基线相比，完全个性化机制带来的改进最多只能达到常数因子级别。论文精确量化了在混合公共和私有数据集、以及具有两层隐私要求的私有数据集场景中，个性化机制相对于阈值化基线的常数因子改进。此外，对于任意的隐私要求分布，作者建立了个性化机制可能达到的最大收益的上界，并识别了收益最大的参数区间。该研究否定了“个性化预算能大幅提升效用”的普遍直觉，为差分隐私系统的设计者提供了重要的理论指导，即通过简单的阈值化即可接近最优效用，无需复杂的个性化机制。

本文针对物联网（IoT）设备，特别是微控制器，由于其处理能力、内存容量和能源限制，面临安全挑战。研究提出一种轻量级的机器学习入侵检测模型，部署在资源受限的设备上进行实时检测。实验评估了两种方法：决策树（Decision Tree）达到99%的检测准确率，但计算资源需求较高；神经网络（Neural Network）准确率为96%，但内存效率更优。模型能够有效识别拒绝服务（DoS）和中间人（MitM）攻击，这些是IoT设备面临的主要威胁。研究重点在于平衡检测性能与资源消耗，使得模型适合部署在微控制器上，实现实时监控与防御，保护数据传输安全。作者通过实际测试验证了模型在受限环境下的可行性和有效性。

该论文提出了一种基于机器学习的方法，用于自动将新发现的漏洞映射到 MITRE ATT&CK 框架中的对抗战术。背景在于，网络防御者需要识别并修复漏洞，但漏洞数量激增且修复资源有限，因此有必要根据漏洞可能被利用的战术来优先处理。作者将漏洞映射问题建模为多标签分类任务，每个漏洞可关联多个战术类别。他们评估了八种机器学习算法，包括 BinaryRelevance、LabelPowerset、ClassifierChains、MLKNN、BRKNN、RAkELd、NLSP 和神经网络，并在实验中使用特征工程从漏洞描述中提取特征。实验结果表明，基于随机森林的 ClassifierChains 方法表现最佳。该方法可帮助自动化地将漏洞与攻击战术关联，从而支持安全团队优先修复高风险漏洞，并更有效地响应攻击企图。论文的主要贡献在于提出并验证了一种自动化的漏洞-战术映射方法，有助于提升安全运营效率。

该论文提出了一种从网络攻击内存镜像中预测恶意软件能力的新方法。研究背景在于，传统恶意软件分析通常需要动态执行或静态反编译，而内存镜像中包含了恶意软件执行时的完整状态，但直接从中提取高级语义能力（如持久化、逃避检测、横向移动等）较为困难。作者设计了一个基于机器学习的框架，首先从内存镜像中提取底层特征（如API调用序列、内存操作模式、注册表修改等），然后通过特征工程和分类模型将这些特征映射到恶意软件的高阶能力标签（如C2通信、数据窃取、权限提升等）。实验使用了大量真实恶意软件样本和模拟攻击生成的内存镜像数据集，验证了模型能够以较高的准确率（>85%）预测恶意软件的能力类别。该方法有助于安全分析师在无需运行样本的情况下快速评估恶意软件的威胁等级，提升应急响应效率。主要贡献包括：1）定义了从内存镜像到恶意软件能力的映射框架；2）公开了标注数据集；3）实验证明了预测的有效性。

DNS作为互联网最基础的组件之一，由于流量模式多样且通常不被网络管理员封锁，常被攻击者用于建立隐蔽通信通道（即DNS隧道），以实施命令与控制（C2）或企业未授权的VPN服务。现有检测方法大多依赖DNS查询序列的统计特征，本质上无法保证零数据泄露，且可通过将窃取数据分散到多个根域名来绕过。为此，本文提出TunTight，首个能够实现路径内单查询（in-path per-query）DNS隧道防御的系统。核心洞察是DNS隧道域在其权威名称服务器、域名使用模式和域名结构上具有独特特征。基于这些特征，作者定义并提取了一组特征，输入机器学习模型进行实时检测。为验证有效性，该系统被集成到一家大型安全厂商的企业防火墙产品的云后端中，在实际部署两个月期间，TunTight在首次查询时就成功检测到349个已确认隧道，误报和漏报极低。此外，作者还进行了首次大规模DNS隧道活动野外研究，发现企业网络中的大多数DNS隧道流量来自公共隧道工具和企业未授权VPN服务。本文的技术贡献在于：1）提出了一种全新的单查询级别防御思路，克服了统计方法依赖多查询序列的局限；2）通过实际产品部署证明了方法在真实环境中的高效性和低误报率；3）揭示了企业DNS隧道的真实生态。适合安全防御工程师、DNS安全研究人员及 SOC 分析师阅读。

本文提出一种基于机器学习的攻击方法 SalsaPicante，针对带有稀疏二进制秘密的学习与错误（LWE）问题。LWE 是后量子密码（PQC）系统的基础难题，NIST 标准化的密钥交换机制（KEM）基于模 LWE，而现有同态加密（HE）库多基于环 LWE。出于效率考虑，PQC HE 方案常采用稀疏二进制秘密（即秘密向量中非零元素很少），但这可能削弱安全性。先前的工作 SALSA 展示了在低维度（n ≤ 128）和低汉明重量（h ≤ 4）下对稀疏二进制 LWE 的机器学习攻击，但它需要窃听数百万个 LWE 样本，并且在更高的汉明重量或维度下失败。SalsaPicante 通过改进攻击策略，能够在更实际的参数下（如更高维度和更高汉明重量）成功恢复秘密，同时减少所需样本数量。实验证明该方法对中等规模参数有效，揭示了稀疏二进制秘密在 PQC 实现中的潜在风险。本文适合密码学研究人员、后量子安全实现者及同态加密系统开发者阅读。

本文提出了一种名为Hopper的横向移动检测系统。在企业网络攻击中，攻击者常在初始入侵后通过横向移动访问更多内部机器。Hopper利用企业常见的登录日志，构建内部机器之间的登录活动图，然后识别异常的登录序列。为了理解每个登录的上下文，Hopper使用推理算法识别每个登录所属的移动路径以及执行路径登录的因果用户。结合推理算法、检测规则和新的异常评分算法，Hopper能够高亮最可能反映横向移动的登录路径。在包含超过7.8亿次内部登录的15个月企业数据集上，Hopper在300多个真实攻击场景（包括一次红队攻击）中达到了94.5%的检测率，平均每天产生少于9个警报。相比之下，为了检测相同数量的攻击，先前最先进的系统需要产生近8倍的误报。

本文是一篇系统化知识（SoK）论文，聚焦于机器学习系统中数据集版权的审计问题。随着ML模型规模增大，训练数据需求激增，但未经授权的数据使用（如在线艺术作品或人脸图像）引发了严重的侵权与滥用问题。为应对此挑战，研究者提出了多种审计方法，但现有方案在审计假设和能力上差异显著，且鲁棒性评估往往仅覆盖ML流水线的部分环节，难以反映真实世界应用中的表现。本文从实际部署视角出发，系统梳理了数据集版权审计研究，将其分为两大类：侵入式方法（需修改原始数据集）和非侵入式方法（无需修改数据集）。侵入式方法细分为多种水印注入选项，非侵入式方法则利用不同的指纹技术。论文提供了详细的参考表格，总结了关键点，并指出了当前文献中未解决的问题。最后，结合ML系统流水线并分析先前研究，强调了使审计工具更适用于真实版权保护需求的未来方向。本文有助于安全从业者理解现有审计方法的优劣与适用场景。

本文针对机器学习领域的安全计算技术选型问题，对两种主流密码学方法——安全多方计算（SMPC）和全同态加密（FHE）进行了理论和实践的对比分析。首先，文章从理论上总结了SMPC和FHE两种安全计算范式的原理、优缺点及相关的开源软件实现。其次，作者对识别出的主要机器学习操作和模型对应的软件框架进行了广泛的基准测试。实验结果表明，在当前技术状态下，FHE在回归任务上性能优于SMPC；在基于GPU或混合模型的简单密集神经网络中，FHE也可能更快。相反，SMPC在复杂模型（如CNN）上表现出更优的性能。文章为机器学习安全计算技术的技术无关基准测试铺平了道路，为计划采用这些技术的实践者提供了指导。

该论文研究了攻击性AI在音乐流媒体平台上的应用，特别是通过用户公开的播放列表推断敏感个人身份信息（PII）。作者首先指出，随着AI的普及，攻击性AI（Offensive AI）已成为一种新兴威胁，能够在网络杀伤链的各个阶段被恶意利用。其中，用户属性推断攻击是一种关键表现：AI从看似无害的公开数据中推断出敏感的PII。音乐流媒体生态系统中的用户经常发布公开播放列表，这为攻击者提供了可乘之机。为了量化这一威胁，作者开发了musicPIIrate工具。该工具利用深度学习架构，不仅处理独立的数据表示，还利用用户播放列表集合中嵌入的结构信息。设计上，作者探索了基于集合的方法（如Deep Sets）和建模播放列表间关系的方法（如图神经网络），并将两者结合以利用不同视角。该方法解决了无序、变长集合数据的特征提取问题，从而实现了准确的PII预测。实验评估表明，musicPIIrate在推断准确性上达到了最先进水平，成功推断出多种属性，包括人口统计信息（年龄、国家、性别）、生活习惯（饮酒、吸烟、运动）以及人格特质（OCEAN评分）。在15个属性推断任务中，musicPIIrate在9个任务上超越了现有基线方法。针对这一漏洞，作者提出了JamShield防御框架，通过向账户中注入虚假播放列表来稀释携带PII的信号。分析表明，JamShield是一种有前景的防御手段，平均能将推断F1分数降低10%。该工作为基于播放列表的PII推断建立了攻击性AI基准，并引入了初步的防御方案。该论文适合隐私研究人员、安全分析师以及音乐流媒体平台的安全团队阅读。

本文研究如何在不泄露底层训练数据和最终模型的情况下，让模型拥有者证明其模型是按照正确的规格（如特定数据集、训练算法等）进行训练的。作者正式定义了零知识训练证明（zkPoT）的概念，并建立了安全模型。尽管通用零知识证明系统理论上可实现任何模型的zkPoT，但实际证明生成时间过长，无法实用。为设计高效方案，本文创新性地融合了MPC-in-the-head（MPC中公开验证的安全多方计算范式）与zkSNARKs（简洁的非交互零知识证明）两类技术，以在证明大小和计算时间之间取得平衡。作者基于该思路，为逻辑回归模型设计并实现了一个具体高效的zkPoT协议，通过实验验证了其可行性，相比通用方法显著降低了证明生成开销。该研究为模型训练的可验证性提供了隐私保护的实用路径，对AI合规、模型审计等场景具有基础性意义。

本文提出了一种新型的成员推理攻击方法——级联代理成员推理攻击（Cascading and Proxy Membership Inference Attacks）。成员推理攻击旨在判断特定数据点是否被用于训练目标机器学习模型，对模型训练的隐私构成严重威胁。现有的攻击方法通常需要访问目标模型的输出或梯度，或者依赖影子模型进行黑盒攻击，但在黑盒场景下效率较低。本文提出的级联代理攻击方法通过构建多个代理模型来模拟目标模型的行为，并利用级联结构逐步提升攻击精度。具体而言，该方法首先训练一个初始代理模型，然后基于该模型对目标模型的输出进行预测，再使用这些预测作为标签训练下一级代理模型，从而逐步逼近目标模型的决策边界。实验在多个标准数据集（如CIFAR-10、ImageNet）和多种模型架构（如ResNet、CNN）上进行，结果表明该方法在攻击成功率上显著优于传统的单代理模型攻击和基于影子模型的攻击，尤其在目标模型参数不可见或仅提供有限输出信息的情况下。此外，该方法还展示了良好的可迁移性，即在一个数据集上训练的代理模型可以有效攻击其他相似数据集上的目标模型。本文的主要贡献包括：1）提出级联代理攻击的通用框架，可适用于黑盒和白盒场景；2）设计高效的训练策略，减少对目标模型查询次数；3）通过大量实验验证了方法的有效性和鲁棒性。该研究揭示了机器学习模型在隐私保护方面的潜在风险，提醒开发者在部署模型时应考虑更严格的防御措施，如差分隐私训练或输出扰动。

本文研究了使用洗牌（shuffling）机制替代传统泊松子采样的差分隐私随机梯度下降（DP-SGD）算法在隐私保证上的实际效果。泊松子采样是DP-SGD的标准做法，但洗牌因其更好的兼容性和较低的计算开销而被广泛采用。然而，洗牌下的严格理论差分隐私（DP）保证计算仍是一个开放问题，导致实际训练中常以泊松子采样的标准来评估，可能产生不准确的隐私保障。作者提出了新颖的DP审计程序，专门用于分析洗牌机制下的DP-SGD，并能紧密估计隐私泄露程度与批次大小、隐私预算及威胁模型的关系。实验表明，使用洗牌训练的模型其隐私保证被严重高估（最多达4倍），且该差距在不同参数设置和威胁模型下并非均匀。此外，还发现两种常见的洗牌变体会导致更严重的隐私泄露（最多达10倍）。本工作强调了在缺乏严格分析方法的情况下使用洗牌替代泊松子采样的风险，为后续研究提供了审计工具和实证依据。

该论文深入研究了函数内联（function inlining）对基于机器学习的二进制分析安全任务的影响。函数内联是编译器优化中常见的技术，但极端内联可能显著改变二进制代码的统计特征，从而影响依赖这些特征的机器学习模型的性能。作者针对五个关键安全任务进行了系统评估：二进制相似性检测（T1）、函数名预测（T2）、恶意软件检测（T3）、恶意软件家族预测（T4）和漏洞检测（T5）。他们构建了包含不同编译配置和极端内联行为的二进制数据集，并复用了TikNib等特征提取管道。实验结果表明，极端内联会导致ML模型的准确率大幅下降，特别是在依赖函数边界和调用图结构的任务中。论文提供了完整的代码、数据集和脚本，以便复现实验。该研究揭示了当前ML驱动的二进制分析工具在面对编译器优化时的脆弱性，为提升其鲁棒性提供了重要见解。

该研究系统评估了监督机器学习模型在网络入侵检测中的泛化能力，聚焦于同数据集与跨数据集设置下的性能差异。实验采用UNSW-NB15和TON_IoT两个广泛使用的入侵检测数据集，对比了随机森林（RF）、逻辑回归（LR）和朴素贝叶斯（NB）三种模型。在同数据集测试中，RF表现最佳，在UNSW-NB15上达到95.08%准确率，在TON_IoT上达到99.79%。然而，在跨数据集测试中——即在一个数据集上训练并在另一个数据集上测试——所有模型的准确率均骤降至40%以下，揭示了严重的泛化差距。研究进一步将这一挑战与情感计算和人本AI领域进行类比，指出行为信号分析、异常检测、域偏移和上下文敏感建模等共同问题。结论强调，当前基于机器学习的入侵检测系统过度依赖单一数据集的基准性能，缺乏对真实世界中网络环境变化（如新攻击模式、流量分布变化）的适应性，亟需开发具备强泛化能力的自适应安全模型。该论文对安全研究人员和工程师理解机器学习模型在入侵检测中的局限性具有重要指导价值。

本文针对基于机器学习的Android恶意软件检测（AMD）方法，提出了一种名为AdvDroidZero的高效查询式攻击框架。当前对该类方法的对抗样本攻击大多依赖较强假设，如攻击者知晓特征空间、模型参数或训练数据集等知识，这在现实攻击场景中往往不成立。AdvDroidZero在零知识设置下运作，即攻击者无需提前了解目标模型的内部细节，仅通过黑盒查询即可生成对抗样本。该框架通过设计高效的查询策略和针对性扰动生成方法，显著降低了攻击所需的查询次数，同时保持了高攻击成功率。在多个主流基于机器学习的AMD方法（包括最新技术）以及真实世界反病毒产品上的广泛评估表明，AdvDroidZero能够有效规避检测，揭示了当前检测方法的脆弱性。论文分析了攻击成本与效果，并讨论了可能的防御方向。本研究对安全社区理解对抗性机器学习威胁具有重要意义，尤其针对移动安全领域的现实攻击场景。

提出一种使用决策树规则集的结构化方法，通过特征重要性、预测一致性等指标量化恶意软件分类中的概念漂移，并在EMBER2024数据集上验证了固定两月窗口和特征级Pearson相关的有效性。