本文针对黑盒对抗攻击的流式检测（Stateful Detection, SD）方法展开研究。现有方法如Blacklight和PIHA利用查询之间的相似性来识别对抗性查询序列。作者观察到，分类软标签的时间相关性是对抗攻击的一个显著特征，可用于降低误报率。此外，论文指出SD实现中的一个潜在漏洞：许多系统为了效率采用近似相似函数替代精确但计算昂贵的度量，攻击者可以构造在近似下不相似但在精确度量下相似的查询，从而逃避检测（称为针对近似函数的“对抗攻击”）。基于这些观察，作者提出一个两阶段检测框架：第一阶段识别高相似度的查询子序列，并引入随机性以防止针对近似函数的对抗攻击；第二阶段分析软标签的时间相关性，进一步验证是否存在攻击者查询。实验结果表明，该方法对Boundary Attack、HSJA、SimBA、Square Attack等攻击的检测真阳性率（TPR）达到1.00，同时假阳性率（FPR）不超过0.06，并且对自适应攻击OARS具有鲁棒性。