Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	67.23	87.43	10.49	66.61	0.43	63.05	65.17	33.65	46.68	66.26	0.14	63.27	65.6	0.05	65.41	62.98	0.0	61.78	57.26	80.51	15.03	66.42	81.73	15.47	61.21	0.0	61.65	54.06	92.05	6.29	65.4	81.95	15.45	46.98	90.99	5.68	34.1	72.33	17.48	60.39	0.62	59.88	60.37	0.04	58.46	66.77	87.54	10.37
PreAct-Resnet18	Blended	69.28	99.59	0.34	67.85	98.23	1.3	67.12	89.83	4.93	67.77	98.62	1.02	64.99	0.0	33.25	64.15	68.07	10.99	59.23	98.31	1.08	67.5	99.04	0.71	41.37	0.0	24.63	56.49	100.0	0.0	65.22	99.81	0.17	55.05	99.64	0.22	47.02	99.4	0.37	67.1	88.45	6.04	63.75	0.79	23.44	69.0	99.42	0.47
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SSBA	69.07	97.22	2.09	67.82	90.01	7.14	66.85	79.41	12.38	67.82	85.34	10.05	63.08	0.13	55.83	62.61	20.1	43.22	58.72	94.2	3.58	66.97	96.12	2.94	54.17	0.0	49.76	57.07	99.93	0.06	65.39	97.52	1.74	53.64	98.01	1.22	46.75	96.94	1.85	66.82	8.81	52.42	63.09	28.91	39.05	69.0	96.83	2.36
PreAct-Resnet18	WaNet	64.05	97.73	1.92	68.7	0.85	64.34	64.76	86.74	8.46	68.27	2.2	63.16	67.34	0.02	59.61	59.1	0.03	56.64	57.48	83.83	10.25	66.43	92.44	5.54	52.17	0.0	55.65	56.66	96.91	2.61	25.9	83.49	11.06	50.88	97.64	1.57	41.35	19.33	36.58	63.07	0.1	58.76	65.31	43.96	37.16	62.8	96.3	2.97
PreAct-Resnet18	InputAware	65.24	98.63	1.18	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	59.46	0.02	50.91	59.1	93.77	4.76	66.98	93.82	5.08	nan	nan	nan	nan	nan	nan	63.33	98.06	1.6	53.63	99.42	0.46	47.52	88.39	7.86	63.94	0.09	59.47	65.21	85.14	12.18	63.8	0.04	56.67
PreAct-Resnet18	Blind	43.91	100.0	0.0	69.64	100.0	0.0	nan	nan	nan	69.99	100.0	0.0	67.38	0.04	32.6	43.91	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	37.62	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	63.78	92.85	5.28	nan	nan	nan
PreAct-Resnet18	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	4.48	98.17	1.74	66.47	0.17	65.6	nan	nan	nan	66.2	0.15	65.64	65.86	0.18	64.77	13.29	89.1	9.65	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	6.79	92.77	5.53	nan	nan	nan	nan	nan	nan	nan	nan	nan	61.45	0.07	61.19	nan	nan	nan
PreAct-Resnet18	TrojanNN	69.82	100.0	0.0	68.46	99.99	0.01	-100.0	-100.0	-100.0	67.99	100.0	0.0	67.78	57.11	24.3	63.7	79.37	12.74	59.46	99.99	0.01	65.46	99.93	0.06	37.15	0.0	27.66	nan	nan	nan	68.22	99.81	0.17	42.19	100.0	0.0	45.17	99.96	0.03	64.71	0.22	47.11	63.74	0.92	30.38	69.38	100.0	0.0
VGG19_BN	BadNets	61.27	88.32	9.15	59.76	0.15	46.15	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	64.24	98.98	0.72	60.62	35.76	16.56	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LF	58.09	18.43	57.8	60.46	0.35	60.26	nan	nan	nan	58.29	0.36	58.13	58.09	18.41	57.8	61.35	0.89	61.29	45.78	17.21	45.46	54.05	12.28	54.59	1.0	100.0	0.0	29.62	41.64	28.89	51.37	21.67	50.98	nan	nan	nan	nan	nan	nan	54.49	21.99	54.2	55.66	0.37	55.55	56.18	20.52	55.89
VGG19_BN	SSBA	62.58	95.66	2.87	60.47	72.52	14.25	nan	nan	nan	58.32	70.65	14.72	57.81	0.21	41.48	57.73	22.03	39.28	50.54	88.36	5.41	58.15	92.95	3.91	2.42	99.81	0.13	35.03	98.32	1.2	53.81	84.24	8.73	nan	nan	nan	nan	nan	nan	61.78	16.3	39.96	57.67	82.37	7.89	60.1	94.61	3.16
VGG19_BN	WaNet	57.91	96.22	2.82	64.62	10.44	52.75	nan	nan	nan	64.35	5.31	54.92	64.18	3.24	57.15	54.89	0.01	52.75	48.37	57.65	21.08	56.99	76.92	13.96	8.74	90.17	3.12	34.84	85.48	9.29	58.47	2.34	53.9	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	61.05	39.59	36.3	nan	nan	nan
VGG19_BN	InputAware	59.45	85.52	9.99	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	42.81	99.65	0.23	63.02	99.96	0.01	nan	nan	nan	64.39	99.99	0.0	62.18	99.21	0.02	42.48	0.0	1.68	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	39.38	94.42	2.88	nan	nan	nan	nan	nan	nan	nan	nan	nan	61.42	96.11	0.3	nan	nan	nan
VGG19_BN	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	49.39	32.6	47.0	53.9	0.12	53.28	nan	nan	nan	52.06	0.1	51.33	54.17	0.14	53.62	1.3	99.66	0.33	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	1.22	99.76	0.23	nan	nan	nan	nan	nan	nan	nan	nan	nan	48.46	0.07	48.53	nan	nan	nan
VGG19_BN	TrojanNN	64.89	99.98	0.02	60.53	13.85	29.91	-100.0	-100.0	-100.0	59.21	4.37	28.08	60.5	0.03	22.71	59.66	0.17	37.19	51.26	99.96	0.0	59.57	99.9	0.09	1.0	0.0	1.01	nan	nan	nan	54.32	40.12	23.86	64.77	99.98	0.02	10.0	84.98	1.65	54.89	0.06	35.14	57.28	0.4	25.25	63.73	77.52	11.33
ConvNext_tiny	BadNets	70.59	88.02	9.81	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blended	72.8	99.34	0.54	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LF	68.69	4.34	68.49	66.49	0.1	66.42	nan	nan	nan	62.46	0.05	62.35	66.62	0.1	66.51	63.11	0.34	63.29	66.64	5.75	66.42	67.63	6.57	68.31	68.91	8.06	68.69	nan	nan	nan	68.69	4.34	68.49	nan	nan	nan	nan	nan	nan	68.3	3.49	68.09	68.38	0.13	68.32	nan	nan	nan
ConvNext_tiny	SSBA	72.19	96.47	2.99	67.25	42.93	38.96	nan	nan	nan	62.56	45.39	34.69	14.67	0.78	14.73	68.34	85.28	11.26	69.64	95.18	3.74	73.36	96.81	2.64	74.46	89.69	8.08	nan	nan	nan	72.19	96.47	2.99	nan	nan	nan	nan	nan	nan	71.15	95.63	3.64	69.37	80.32	14.4	nan	nan	nan
ConvNext_tiny	WaNet	60.13	93.19	5.54	65.71	14.49	56.23	nan	nan	nan	65.71	25.78	49.8	64.81	8.48	57.52	55.37	11.47	46.77	68.6	80.18	15.74	71.39	90.87	7.34	68.25	0.05	68.18	nan	nan	nan	60.14	93.19	5.54	nan	nan	nan	nan	nan	nan	59.26	89.21	8.64	63.09	26.24	47.02	nan	nan	nan
ConvNext_tiny	InputAware	63.42	95.11	3.96	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blind	73.6	100.0	0.0	69.2	99.9	0.1	nan	nan	nan	64.19	99.12	0.81	33.7	1.22	20.93	66.91	78.38	15.26	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	73.61	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	69.79	99.97	0.03	nan	nan	nan
ConvNext_tiny	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	45.56	5.55	42.29	24.15	0.91	22.45	nan	nan	nan	26.7	1.41	23.55	23.17	0.65	21.79	27.54	8.9	24.52	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	27.54	8.9	24.52	nan	nan	nan	nan	nan	nan	nan	nan	nan	28.75	1.86	25.31	nan	nan	nan
ConvNext_tiny	TrojanNN	72.95	99.97	0.03	67.47	97.61	1.94	nan	nan	nan	62.98	96.14	3.29	43.25	0.21	21.51	67.29	30.54	37.55	70.69	100.0	0.0	73.65	100.0	0.0	74.83	100.0	0.0	nan	nan	nan	72.96	99.97	0.03	50.68	99.99	0.01	20.56	93.46	2.45	71.55	99.65	0.3	70.29	0.1	44.41	72.4	99.97	0.03
ViT_b_16	BadNets	81.93	84.9	13.26	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	84.35	99.7	0.26	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	80.72	3.35	80.57	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	83.88	98.4	1.42	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	72.31	96.47	2.93	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	75.43	91.62	7.42	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	84.46	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	1.43	99.83	0.13	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	84.11	99.97	0.03	17.86	0.53	12.6	nan	nan	nan	nan	nan	nan	14.4	0.71	8.91	nan	nan	nan	84.18	99.95	0.05	83.23	99.96	0.04	87.48	100.0	0.0	nan	nan	nan	84.11	99.97	0.03	nan	nan	nan	nan	nan	nan	82.02	99.98	0.02	nan	nan	nan	80.84	99.96	0.04

Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	68.83	69.24	25.66	68.05	0.58	65.76	67.18	6.36	61.79	67.87	0.27	65.92	64.69	0.11	64.65	62.74	0.01	60.68	58.69	65.99	25.21	67.15	70.97	23.77	60.29	0.0	60.53	61.74	0.17	61.45	64.02	41.33	43.34	52.44	86.43	9.22	44.11	18.93	41.91	64.92	1.03	64.15	61.98	0.31	60.96	67.61	67.01	26.88
PreAct-Resnet18	Blended	70.23	98.72	1.0	68.76	97.07	2.19	68.03	83.76	8.13	68.91	97.63	1.77	65.58	0.02	34.49	65.87	89.81	6.25	60.48	95.94	2.57	67.83	98.3	1.25	37.56	0.0	20.86	59.29	100.0	0.0	64.31	96.46	2.46	55.63	97.19	1.74	49.16	97.03	1.8	67.0	91.15	5.0	64.48	85.14	7.12	69.57	98.39	1.2
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LF	69.67	88.31	8.91	68.95	71.36	20.46	67.55	67.2	20.02	69.0	71.23	20.69	66.66	0.08	56.51	64.13	15.16	46.93	58.81	80.44	12.49	67.48	87.29	9.52	54.4	0.0	49.9	nan	nan	nan	64.14	83.84	11.61	53.06	82.93	10.11	43.73	63.0	21.75	67.85	61.77	25.71	63.85	0.18	53.26	68.91	87.46	9.59
PreAct-Resnet18	SSBA	69.42	91.41	6.47	68.42	84.36	11.34	67.58	59.69	24.07	68.27	87.08	9.55	64.91	0.1	58.17	64.63	38.59	37.47	59.69	83.02	10.52	67.65	89.62	7.56	51.92	0.0	49.22	61.82	0.22	58.01	64.0	68.33	20.87	53.38	94.05	3.27	45.57	89.88	5.4	67.34	29.42	43.85	64.03	0.64	51.65	68.84	90.49	7.15
PreAct-Resnet18	WaNet	64.17	88.88	8.38	69.81	47.69	39.13	65.9	80.94	12.64	69.31	36.17	46.18	68.86	0.1	65.38	59.21	0.08	58.65	58.92	56.66	27.33	67.68	81.05	14.0	61.13	0.01	56.54	62.07	0.57	59.81	58.33	36.41	44.0	53.09	96.2	2.49	47.53	12.56	43.93	60.92	0.13	59.83	66.6	50.77	34.67	61.0	4.3	57.83
PreAct-Resnet18	InputAware	66.2	79.3	16.84	69.47	74.33	20.91	66.59	48.81	33.28	69.4	39.66	44.24	66.21	79.3	16.84	60.81	0.42	51.44	60.87	83.45	11.01	68.42	85.16	11.71	59.29	68.66	17.79	nan	nan	nan	64.9	42.24	39.25	51.78	98.29	1.16	49.95	78.82	13.48	64.59	0.16	56.84	66.33	46.87	38.07	63.45	0.17	56.71
PreAct-Resnet18	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	BPP	63.96	99.66	0.26	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	TrojanNN	70.31	99.99	0.01	69.4	99.94	0.05	-100.0	-100.0	-100.0	69.22	99.95	0.05	69.11	99.99	0.01	63.76	88.11	7.87	60.01	99.86	0.12	66.4	99.97	0.03	35.85	0.0	25.48	nan	nan	nan	67.56	99.41	0.47	56.76	99.94	0.01	49.07	99.29	0.53	65.97	0.1	47.68	63.73	0.86	29.93	70.21	99.99	0.01
VGG19_BN	BadNets	62.88	84.99	11.59	60.89	4.13	42.66	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	65.05	97.99	1.27	62.13	70.21	8.83	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LF	62.51	5.48	62.29	60.86	0.19	60.73	nan	nan	nan	59.85	0.23	59.65	62.5	5.48	62.28	60.21	0.01	60.6	50.2	6.63	49.95	57.27	4.41	57.48	35.46	30.55	35.06	35.6	26.58	34.97	58.04	7.09	57.76	nan	nan	nan	nan	nan	nan	60.71	6.41	60.53	55.98	0.14	55.83	nan	nan	nan
VGG19_BN	SSBA	64.74	86.1	8.8	62.12	69.49	17.31	nan	nan	nan	59.98	73.75	13.96	60.48	0.17	35.95	59.83	57.73	21.27	50.0	69.89	14.03	59.83	81.34	10.46	45.94	0.0	46.08	35.85	92.49	4.75	56.77	78.12	12.05	nan	nan	nan	nan	nan	nan	62.32	23.24	41.07	56.97	0.48	35.43	nan	nan	nan
VGG19_BN	WaNet	52.39	97.33	1.82	64.46	5.76	53.2	nan	nan	nan	63.51	3.94	53.39	64.41	5.25	55.02	57.3	0.0	53.4	49.67	21.4	37.94	57.98	28.52	41.68	30.8	67.86	13.88	40.6	61.7	24.56	56.47	12.87	45.78	nan	nan	nan	nan	nan	nan	56.4	0.01	47.42	61.55	2.73	49.28	55.83	90.64	6.19
VGG19_BN	InputAware	60.39	72.95	18.45	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	BPP	61.4	96.64	2.46	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	TrojanNN	64.69	99.96	0.04	62.4	99.95	0.03	-100.0	-100.0	-100.0	60.75	99.99	0.01	62.19	98.96	0.72	60.53	92.88	3.7	52.62	99.65	0.2	59.69	99.92	0.06	1.0	0.0	1.01	nan	nan	nan	58.64	94.32	3.23	64.47	99.9	0.09	43.29	10.19	10.33	52.24	0.12	29.13	58.17	0.18	5.45	64.28	99.93	0.07
ConvNext_tiny	BadNets	71.66	84.11	12.81	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blended	73.09	98.68	1.07	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LF	71.13	1.95	70.96	65.99	0.17	65.84	nan	nan	nan	64.27	0.13	64.2	42.4	0.67	42.25	66.01	0.23	66.21	69.2	2.44	69.02	71.72	2.72	71.99	61.09	1.23	60.79	nan	nan	nan	71.13	1.95	70.96	nan	nan	nan	nan	nan	nan	70.41	1.59	70.24	68.35	0.12	68.25	70.87	1.66	70.72
ConvNext_tiny	SSBA	72.86	90.78	7.58	67.48	34.55	44.14	nan	nan	nan	64.14	71.1	21.15	52.13	4.32	45.32	67.39	81.95	13.57	70.85	84.38	12.14	73.84	90.3	7.78	1.0	100.0	0.0	nan	nan	nan	72.86	90.77	7.59	nan	nan	nan	nan	nan	nan	72.07	89.04	8.88	69.74	81.07	14.82	72.62	90.13	8.21
ConvNext_tiny	WaNet	63.04	77.66	16.51	66.05	23.11	51.34	nan	nan	nan	66.39	32.05	46.74	66.17	21.96	51.34	56.82	15.55	47.44	69.63	53.52	35.21	73.25	67.56	25.7	56.07	78.9	16.92	nan	nan	nan	63.03	77.67	16.51	nan	nan	nan	nan	nan	nan	62.77	74.16	18.78	64.47	28.18	47.07	61.02	74.48	18.23
ConvNext_tiny	InputAware	63.87	81.73	14.82	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	BPP	64.09	98.9	1.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	TrojanNN	73.54	99.97	0.03	68.14	97.87	1.85	nan	nan	nan	65.3	93.65	4.84	51.08	0.79	28.36	68.15	85.16	10.18	71.2	99.96	0.04	74.17	100.0	0.0	75.14	100.0	0.0	nan	nan	nan	73.54	99.97	0.03	68.63	99.94	0.06	21.23	96.61	1.99	72.29	99.92	0.08	70.59	99.06	0.79	72.99	99.92	0.08
ViT_b_16	BadNets	83.09	82.89	15.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	84.04	99.46	0.47	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	83.11	1.01	83.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	84.17	95.09	4.25	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	73.53	84.86	12.41	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	76.49	80.77	17.53	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	84.42	99.85	0.14	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	70.25	41.51	46.49	69.74	14.14	61.91	68.97	5.59	64.15	69.81	11.01	63.16	68.6	0.08	68.47	64.06	0.52	62.81	60.26	16.12	53.35	69.09	48.62	40.83	60.32	0.0	60.15	60.88	0.28	60.51	65.2	27.23	51.12	56.45	24.78	44.91	49.97	0.62	49.62	66.48	16.11	58.19	64.9	1.13	62.73	70.11	41.93	46.0
PreAct-Resnet18	Blended	70.48	90.67	6.42	69.83	87.91	8.08	68.4	77.07	12.24	70.19	88.24	7.92	66.6	80.47	11.11	65.26	80.03	10.84	60.8	81.21	9.83	69.56	89.21	7.04	47.09	0.0	16.77	61.26	88.7	9.04	66.5	87.44	7.91	56.91	78.09	10.01	49.1	77.32	9.28	66.75	86.96	7.74	64.61	69.37	14.25	70.21	89.94	6.96
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	69.81	77.85	9.14	69.31	57.65	13.46	68.45	9.06	13.89	69.28	63.6	12.12	69.8	77.85	9.14	68.88	64.16	11.55	60.05	64.59	10.06	68.34	46.78	16.73	35.94	0.0	21.72	60.87	92.72	6.4	68.31	78.14	7.97	56.75	41.36	7.1	47.3	80.68	5.88	65.29	69.4	9.81	65.0	45.79	14.14	69.62	77.28	9.61
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SSBA	70.18	44.05	38.3	69.82	36.03	42.39	68.29	16.56	49.99	69.9	37.4	41.83	66.01	0.06	59.24	65.04	3.39	55.1	60.37	18.41	45.44	69.16	38.69	41.09	55.06	0.01	46.94	61.58	0.32	57.01	63.03	15.96	47.72	56.97	39.7	30.1	48.56	28.64	32.53	66.57	34.1	40.54	63.14	0.86	49.58	69.75	42.96	38.65
PreAct-Resnet18	WaNet	63.37	49.16	35.08	69.42	55.48	33.18	65.25	45.8	34.92	69.34	48.47	37.41	63.36	49.15	35.09	57.68	0.37	56.27	60.73	3.92	55.64	68.97	7.92	61.32	60.03	7.96	51.04	60.25	0.32	58.49	60.47	21.72	47.38	56.31	82.56	11.08	49.62	0.08	49.6	62.61	26.87	47.45	64.78	36.76	43.65	62.69	0.42	61.24
PreAct-Resnet18	InputAware	63.04	75.74	18.28	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.51	13.65	41.06	60.15	59.83	21.77	68.91	65.92	22.77	nan	nan	nan	nan	nan	nan	59.97	14.65	42.88	55.01	85.0	9.57	49.73	81.81	12.15	61.09	4.0	47.99	65.24	18.6	47.41	54.67	42.43	30.32
PreAct-Resnet18	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	BPP	63.89	66.93	21.29	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	TrojanNN	70.78	99.81	0.18	70.1	99.42	0.57	-100.0	-100.0	-100.0	70.89	99.57	0.42	70.26	99.62	0.37	65.94	99.45	0.45	60.88	98.48	1.13	67.41	99.4	0.53	6.64	100.0	0.0	61.78	99.6	0.38	70.03	99.18	0.78	56.41	97.47	1.56	48.4	98.88	1.03	67.41	30.39	32.89	65.74	27.63	28.96	70.64	99.69	0.29
VGG19_BN	BadNets	65.28	70.57	21.35	62.09	48.36	31.68	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	65.22	87.84	6.23	62.46	77.76	9.47	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	64.81	77.16	7.46	63.57	62.55	10.74	nan	nan	nan	63.47	80.39	7.2	62.08	72.61	7.93	60.74	67.21	8.94	51.36	48.21	9.08	53.58	77.32	4.25	20.71	0.0	16.1	39.75	94.17	2.78	62.4	72.08	7.06	nan	nan	nan	nan	nan	nan	62.36	20.63	14.38	60.23	25.57	13.42	nan	nan	nan
VGG19_BN	LF	64.61	0.74	64.43	63.24	0.17	63.07	nan	nan	nan	61.13	0.2	60.96	64.6	0.74	64.42	63.82	0.08	63.71	51.69	0.9	51.4	60.52	0.85	60.3	38.03	2.59	37.96	37.57	6.8	37.02	56.39	0.98	56.1	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	60.06	0.16	59.83	nan	nan	nan
VGG19_BN	SSBA	65.47	15.01	50.33	62.6	3.01	52.59	nan	nan	nan	61.51	4.07	51.43	60.33	0.1	53.11	60.77	2.02	51.98	51.75	4.21	43.44	60.28	9.1	48.82	40.64	10.38	28.02	43.97	0.37	40.53	59.97	9.88	48.62	nan	nan	nan	nan	nan	nan	61.53	16.83	45.53	59.22	1.2	48.01	nan	nan	nan
VGG19_BN	WaNet	59.7	0.45	53.61	64.92	0.33	61.53	nan	nan	nan	64.43	0.3	61.17	59.7	0.45	53.62	56.06	0.03	51.76	51.48	1.69	47.08	59.57	2.88	54.41	39.32	1.95	34.85	42.26	1.16	40.06	57.53	0.69	50.09	nan	nan	nan	nan	nan	nan	57.33	0.36	51.41	61.93	0.23	58.2	nan	nan	nan
VGG19_BN	InputAware	59.11	52.6	27.2	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	BPP	58.89	0.12	54.06	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	TrojanNN	65.18	99.03	0.47	62.72	97.38	1.31	-100.0	-100.0	-100.0	60.93	98.18	1.0	62.49	94.35	2.64	64.94	98.75	0.62	52.24	98.51	0.51	61.04	99.43	0.32	13.6	99.73	0.07	42.29	99.9	0.09	62.12	74.6	11.43	64.53	98.68	0.85	34.74	99.76	0.11	62.97	26.71	27.69	60.18	0.0	3.8	63.6	98.73	0.66
ConvNext_tiny	BadNets	73.23	41.76	46.22	68.34	2.28	66.17	nan	nan	nan	64.39	1.07	62.91	nan	nan	nan	67.77	0.35	66.86	70.95	7.98	65.67	nan	nan	nan	nan	nan	nan	nan	nan	nan	73.22	41.76	46.22	nan	nan	nan	nan	nan	nan	71.99	40.09	46.51	70.67	6.12	65.62	72.92	37.55	48.77
ConvNext_tiny	Blended	73.67	90.96	7.31	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	72.37	75.18	14.01	68.55	33.7	22.09	nan	nan	nan	3.96	0.0	3.98	68.75	53.07	18.77	70.48	71.07	15.63	70.15	76.02	10.79	73.47	71.57	14.03	74.74	71.85	15.29	nan	nan	nan	72.37	75.17	14.02	nan	nan	nan	nan	nan	nan	71.84	75.91	13.02	69.56	25.87	23.03	nan	nan	nan
ConvNext_tiny	LF	73.23	0.29	73.08	68.82	0.15	68.68	nan	nan	nan	64.45	0.13	64.3	68.94	0.13	68.78	66.39	0.16	66.28	71.47	0.41	71.33	74.06	0.36	73.93	74.92	0.32	74.82	nan	nan	nan	73.23	0.29	73.08	nan	nan	nan	nan	nan	nan	72.26	0.3	72.09	69.77	0.18	69.61	nan	nan	nan
ConvNext_tiny	SSBA	73.36	36.6	47.45	68.84	11.01	58.64	nan	nan	nan	63.2	8.44	53.62	48.09	6.82	41.81	71.21	27.23	51.4	71.38	23.44	53.65	74.14	40.06	45.57	74.58	7.4	64.94	nan	nan	nan	73.37	36.58	47.47	nan	nan	nan	nan	nan	nan	72.89	34.57	48.14	70.3	23.68	53.1	nan	nan	nan
ConvNext_tiny	WaNet	62.77	39.76	40.66	66.38	7.08	59.53	nan	nan	nan	66.4	11.36	57.57	66.2	6.62	59.77	59.4	27.32	45.44	71.37	4.81	64.81	74.55	9.44	65.35	74.65	8.35	66.52	nan	nan	nan	62.76	39.77	40.66	nan	nan	nan	nan	nan	nan	61.8	41.42	39.14	64.67	6.91	58.03	nan	nan	nan
ConvNext_tiny	InputAware	64.6	77.79	17.24	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	BPP	62.28	27.56	46.94	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	TrojanNN	73.68	99.78	0.22	68.97	96.56	2.92	nan	nan	nan	64.14	87.62	9.12	58.9	0.32	14.75	68.78	80.87	13.22	71.59	99.75	0.21	74.65	99.83	0.15	75.65	99.96	0.04	nan	nan	nan	73.68	99.78	0.22	50.4	99.57	0.38	2.11	1.99	2.03	72.62	99.72	0.27	69.55	96.85	2.68	73.39	99.73	0.25
ViT_b_16	BadNets	84.39	49.51	44.14	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	84.49	94.0	5.11	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	83.58	58.92	29.49	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	83.58	58.94	29.48	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	84.25	0.16	84.14	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	84.49	61.43	32.56	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	72.93	50.96	39.38	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	74.92	53.49	41.72	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	74.57	88.89	9.26	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	84.63	98.72	1.24	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	88.22	99.88	0.12	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	69.77	22.21	58.2	69.23	10.69	63.83	68.0	2.53	65.29	69.28	11.41	63.26	69.77	22.21	58.21	65.15	0.29	64.09	61.19	1.42	60.23	69.38	13.02	62.46	52.21	0.62	50.22	62.21	0.23	61.8	62.9	17.31	55.55	56.89	21.03	47.38	48.82	0.08	48.2	65.43	4.7	63.69	64.7	0.97	63.29	69.64	21.85	58.32
PreAct-Resnet18	Blended	70.95	85.72	9.07	70.12	81.55	11.04	69.14	71.98	14.36	70.52	82.25	10.84	70.95	85.72	9.07	64.02	70.15	14.24	60.66	74.08	13.19	69.33	76.77	13.49	60.84	0.94	30.01	61.56	1.19	43.29	64.3	78.8	11.07	56.68	48.09	16.29	49.52	66.6	12.99	68.11	78.77	10.85	65.07	77.03	10.54	70.53	87.87	7.93
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	70.76	46.03	17.18	70.1	34.41	19.02	69.16	44.41	15.49	69.94	39.04	17.68	70.76	46.02	17.19	65.3	19.06	22.11	60.13	25.57	12.94	68.15	27.34	17.65	63.07	5.69	24.37	60.8	83.53	12.96	68.79	49.82	15.38	57.22	16.7	9.27	49.06	68.93	5.63	66.78	30.41	17.41	62.88	37.05	15.29	70.48	48.24	16.76
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SSBA	70.41	15.53	54.58	69.9	9.76	56.89	68.8	4.4	57.01	70.12	12.03	56.14	65.78	0.1	59.46	66.12	2.21	56.16	60.9	5.53	50.93	68.99	16.07	53.02	60.64	1.0	52.3	60.9	0.15	55.66	68.57	20.35	49.58	55.93	11.22	42.48	48.79	1.77	38.59	67.39	19.4	49.33	64.19	0.78	56.19	70.31	14.65	54.69
PreAct-Resnet18	WaNet	64.59	10.39	59.37	69.19	6.26	64.2	65.59	3.38	61.4	69.17	7.71	63.34	67.7	4.35	63.58	59.96	0.33	59.11	60.59	2.42	55.96	69.12	2.72	63.84	52.6	3.6	43.14	61.11	0.24	58.41	61.36	36.61	43.99	54.07	38.17	38.83	48.38	0.13	48.29	59.39	7.68	56.34	66.31	8.26	60.73	62.08	11.09	57.55
PreAct-Resnet18	InputAware	64.68	34.62	41.05	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	59.38	3.86	47.28	60.79	53.21	25.51	69.39	60.3	26.1	nan	nan	nan	nan	nan	nan	61.32	2.57	50.15	55.57	68.04	19.25	50.21	74.81	14.18	60.63	2.15	48.43	64.99	33.12	38.78	61.32	3.63	48.78
PreAct-Resnet18	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	BPP	63.81	97.9	1.6	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	TrojanNN	70.64	98.68	1.13	70.37	98.22	1.42	-100.0	-100.0	-100.0	70.38	98.61	1.19	70.27	98.1	1.56	66.32	95.66	2.6	60.96	97.27	1.78	67.46	98.04	1.62	30.37	99.97	0.03	60.59	0.51	55.56	69.21	95.81	3.18	57.16	94.06	2.67	48.81	98.55	1.09	68.58	91.81	5.89	66.34	0.06	42.9	70.0	98.44	1.33
VGG19_BN	BadNets	65.51	10.08	58.68	63.58	1.41	60.89	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	65.87	80.06	9.81	63.74	72.45	13.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	65.49	29.93	17.47	63.36	27.02	17.21	nan	nan	nan	63.09	33.07	16.55	61.0	28.83	12.53	64.19	19.37	17.61	51.78	37.0	10.35	56.56	30.44	11.96	43.09	0.05	16.25	41.4	78.24	5.99	59.65	47.42	6.43	nan	nan	nan	nan	nan	nan	63.85	26.24	18.41	60.53	23.99	17.12	nan	nan	nan
VGG19_BN	LF	65.11	0.44	64.98	62.58	0.2	62.47	nan	nan	nan	63.59	0.15	63.43	62.13	0.13	61.97	64.51	0.06	64.43	52.5	0.47	52.22	59.98	0.56	59.74	36.68	3.24	36.14	39.39	0.28	39.1	57.03	0.63	56.79	nan	nan	nan	nan	nan	nan	63.16	0.27	63.07	58.87	0.12	58.71	nan	nan	nan
VGG19_BN	SSBA	64.96	4.01	55.63	62.85	1.1	55.22	nan	nan	nan	62.91	2.05	54.15	64.96	4.01	55.64	58.79	0.75	52.07	51.95	2.19	45.81	60.27	2.45	52.33	40.59	4.52	31.6	42.2	0.94	39.18	60.59	2.81	54.11	nan	nan	nan	nan	nan	nan	62.44	5.43	51.98	58.87	0.18	49.53	nan	nan	nan
VGG19_BN	WaNet	62.22	0.41	57.8	65.99	0.3	61.19	nan	nan	nan	64.57	0.36	61.13	62.22	0.41	57.79	57.31	0.09	55.32	52.3	1.64	48.16	59.61	1.38	55.01	43.53	1.9	39.51	38.83	1.72	36.78	60.58	0.46	55.46	nan	nan	nan	nan	nan	nan	60.94	0.16	57.02	62.84	0.41	58.04	nan	nan	nan
VGG19_BN	InputAware	58.3	95.77	2.74	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	BPP	60.16	0.25	54.45	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	TrojanNN	65.96	98.94	0.6	63.93	98.59	0.7	-100.0	-100.0	-100.0	63.53	98.32	0.93	61.24	0.05	48.27	64.61	97.9	0.96	51.91	96.03	1.4	60.59	96.92	1.48	12.57	99.94	0.05	42.65	98.96	0.73	60.01	47.45	19.3	66.16	99.14	0.48	23.23	99.48	0.1	62.8	2.85	34.87	61.37	95.19	0.87	61.43	98.51	0.79
ConvNext_tiny	BadNets	73.28	8.69	67.69	69.01	0.44	67.87	nan	nan	nan	64.9	0.37	63.47	nan	nan	nan	68.08	0.46	67.23	71.64	0.49	70.97	74.33	2.44	71.47	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	72.34	5.93	68.36	69.82	0.69	68.24	72.67	8.17	67.7
ConvNext_tiny	Blended	73.07	86.0	10.84	69.05	67.48	22.19	nan	nan	nan	63.63	65.36	21.36	nan	nan	nan	71.57	85.19	11.19	71.28	80.77	12.93	74.35	83.27	12.27	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	72.41	85.7	11.06	68.61	77.49	14.93	72.88	83.8	12.49
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	73.18	43.28	28.46	69.16	34.67	26.45	nan	nan	nan	64.65	16.61	24.28	40.88	1.39	11.81	71.26	41.12	28.47	71.72	33.93	26.24	73.66	33.89	30.8	75.58	39.55	27.46	nan	nan	nan	73.17	43.29	28.45	nan	nan	nan	nan	nan	nan	72.4	45.29	26.2	70.09	26.81	27.21	nan	nan	nan
ConvNext_tiny	LF	72.83	0.2	72.7	68.66	0.11	68.47	nan	nan	nan	63.18	0.17	63.03	68.47	0.15	68.3	68.38	0.12	68.21	71.58	0.2	71.39	74.45	0.24	74.33	74.92	0.1	74.79	nan	nan	nan	72.84	0.2	72.71	nan	nan	nan	nan	nan	nan	71.93	0.16	71.78	70.39	0.14	70.24	nan	nan	nan
ConvNext_tiny	SSBA	73.41	11.94	62.47	69.05	2.6	62.03	nan	nan	nan	63.57	8.61	54.8	47.16	2.05	41.99	70.18	7.16	61.81	71.02	7.04	62.06	74.38	13.87	61.11	75.11	22.39	57.36	nan	nan	nan	73.42	11.92	62.47	nan	nan	nan	nan	nan	nan	72.79	11.49	61.76	70.09	8.7	60.65	nan	nan	nan
ConvNext_tiny	WaNet	64.7	17.96	55.3	66.95	2.4	62.54	nan	nan	nan	66.94	4.98	60.96	65.56	1.24	61.28	62.73	15.44	55.39	70.84	2.4	65.54	74.04	4.66	67.45	75.23	3.61	68.86	nan	nan	nan	64.7	17.98	55.3	nan	nan	nan	nan	nan	nan	63.67	20.8	53.22	65.13	2.0	60.38	nan	nan	nan
ConvNext_tiny	InputAware	64.13	57.32	29.11	68.3	70.72	22.05	nan	nan	nan	67.97	64.48	26.12	nan	nan	nan	58.81	14.51	40.24	nan	nan	nan	74.28	47.31	34.53	75.41	61.53	28.41	nan	nan	nan	64.68	55.3	29.27	nan	nan	nan	nan	nan	nan	64.18	58.72	26.91	66.98	14.09	47.04	63.45	44.87	34.42
ConvNext_tiny	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	BPP	62.57	31.47	46.34	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	TrojanNN	73.46	99.54	0.42	68.92	91.34	7.23	nan	nan	nan	64.22	85.25	11.22	18.75	1.25	15.9	67.98	62.92	22.39	71.59	98.78	1.06	74.55	99.1	0.69	75.56	99.55	0.35	nan	nan	nan	73.46	99.54	0.42	49.45	94.72	4.05	21.2	5.41	13.33	72.24	99.26	0.69	70.51	98.0	1.78	72.98	99.27	0.66
ViT_b_16	BadNets	84.14	27.57	62.78	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	84.47	89.61	8.71	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	84.34	18.52	47.32	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	84.32	0.14	84.22	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	84.48	24.07	61.91	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	72.52	4.64	67.08	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	84.92	96.61	3.33	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	88.1	99.9	0.09	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	70.8	0.2	70.44	70.44	0.17	70.28	68.88	0.14	68.57	70.66	0.17	70.31	70.8	0.2	70.43	69.44	0.1	68.76	61.22	0.2	60.6	69.29	0.14	68.86	58.68	0.38	57.31	61.94	0.38	61.66	68.5	0.16	68.24	57.36	0.42	56.48	49.01	0.05	48.63	68.36	0.14	68.23	64.05	0.19	63.73	70.45	0.3	70.0
PreAct-Resnet18	Blended	70.75	52.75	24.27	70.14	47.08	26.02	69.08	42.75	25.64	70.4	48.15	25.85	70.75	52.76	24.27	67.15	40.93	26.12	60.47	23.64	30.09	69.74	48.65	24.77	61.0	46.0	21.26	60.86	0.1	46.16	64.19	29.42	27.36	57.29	23.08	24.84	49.88	25.14	20.81	66.11	44.46	24.16	62.34	22.64	23.88	70.24	53.22	23.97
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	70.79	11.19	27.03	69.93	10.19	26.83	68.69	6.49	24.86	70.14	10.07	26.68	67.53	12.03	24.51	67.55	3.87	24.06	60.74	14.58	17.28	69.29	13.98	21.1	60.15	32.05	14.51	61.54	57.53	26.55	68.87	8.39	23.31	57.38	5.03	22.25	49.05	51.66	7.15	68.15	8.29	27.41	64.14	3.85	23.62	70.08	9.66	26.43
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SSBA	70.31	0.4	63.31	69.84	0.3	63.15	68.8	0.22	61.62	70.07	0.32	63.07	70.31	0.4	63.31	65.5	0.08	56.99	60.62	0.66	53.27	69.0	0.38	62.28	60.64	0.51	52.9	60.72	0.18	55.94	68.63	0.25	60.67	55.86	0.83	47.91	48.42	0.03	38.62	68.32	0.2	60.82	62.8	0.36	54.24	70.19	0.4	63.56
PreAct-Resnet18	WaNet	65.02	0.71	63.34	69.69	0.28	67.27	65.35	0.18	63.36	69.46	0.37	67.29	65.02	0.71	63.34	60.39	0.39	59.02	60.98	0.58	56.84	69.43	0.4	65.13	56.4	0.68	50.25	61.56	0.21	58.66	63.32	0.8	60.72	53.46	1.87	51.0	50.17	0.02	49.77	63.2	0.49	61.54	65.09	0.33	63.09	64.03	0.85	62.0
PreAct-Resnet18	InputAware	61.91	56.9	23.66	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	58.15	10.7	37.65	61.01	39.65	26.38	69.75	46.81	27.94	nan	nan	nan	nan	nan	nan	59.61	35.12	29.37	53.79	50.21	21.93	49.9	51.83	15.74	58.89	37.67	27.69	66.46	36.8	31.51	58.39	39.61	28.0
PreAct-Resnet18	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	TrojanNN	71.13	92.55	5.51	70.27	90.36	6.61	-100.0	-100.0	-100.0	70.36	92.07	5.48	70.29	91.51	5.93	66.4	84.85	9.36	60.95	82.41	9.67	67.31	1.79	46.89	37.09	20.14	14.95	60.95	0.41	54.54	69.63	83.6	10.55	56.17	59.8	9.38	49.33	96.63	2.1	67.15	71.4	14.45	63.03	5.76	34.0	69.97	92.72	5.19
VGG19_BN	BadNets	65.52	0.33	64.78	63.57	0.14	62.76	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	65.76	38.03	26.61	62.77	31.8	27.32	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	65.27	11.57	20.2	63.38	12.86	20.09	nan	nan	nan	64.34	10.35	21.75	62.33	7.48	20.12	65.31	11.43	20.43	52.69	6.9	15.58	58.05	9.56	17.94	41.44	6.87	16.44	41.64	61.2	12.06	59.19	14.54	10.22	nan	nan	nan	nan	nan	nan	63.31	6.95	24.64	59.92	10.2	17.23	nan	nan	nan
VGG19_BN	LF	65.45	0.21	65.29	62.99	0.16	62.91	nan	nan	nan	64.13	0.21	63.97	65.45	0.21	65.29	64.87	0.13	64.71	52.12	0.17	51.87	60.72	0.2	60.54	37.41	0.71	37.26	38.48	0.67	38.09	62.75	0.25	62.7	nan	nan	nan	nan	nan	nan	62.38	0.19	62.47	60.26	0.16	60.01	nan	nan	nan
VGG19_BN	SSBA	65.51	0.56	58.7	64.56	0.27	57.69	nan	nan	nan	65.14	0.47	58.56	65.51	0.56	58.7	65.04	0.21	58.64	51.8	0.37	46.24	60.32	0.38	54.34	28.49	0.26	26.29	43.69	0.32	40.18	61.57	0.62	56.97	nan	nan	nan	nan	nan	nan	63.2	0.69	56.52	60.45	0.02	52.15	nan	nan	nan
VGG19_BN	WaNet	59.39	0.34	56.12	65.07	0.23	62.01	nan	nan	nan	64.69	0.29	61.95	59.39	0.34	56.12	59.39	0.34	56.12	52.62	0.45	48.94	60.65	0.6	56.79	22.82	0.1	21.57	40.39	0.72	38.15	48.66	1.0	42.64	nan	nan	nan	nan	nan	nan	57.91	0.31	54.3	62.16	0.53	59.49	nan	nan	nan
VGG19_BN	InputAware	58.68	70.81	11.13	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	TrojanNN	65.97	93.69	3.19	63.86	92.07	3.7	-100.0	-100.0	-100.0	64.75	92.06	3.73	62.46	83.24	6.36	60.47	91.91	4.37	52.36	52.93	13.73	60.69	86.66	4.52	9.72	0.56	5.77	43.87	97.66	1.57	60.47	48.12	20.72	65.88	94.52	2.77	31.03	86.49	1.62	63.18	90.13	4.28	58.86	88.17	2.0	63.99	93.91	2.99
ConvNext_tiny	BadNets	73.27	0.13	72.52	69.22	0.19	68.7	nan	nan	nan	65.85	0.55	65.23	nan	nan	nan	73.27	0.13	72.52	71.3	0.12	71.13	74.38	0.18	74.04	75.4	0.09	74.92	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	72.72	0.14	72.13	70.29	0.17	69.61	72.98	0.17	72.41
ConvNext_tiny	Blended	73.18	46.67	35.11	68.91	25.75	41.98	nan	nan	nan	64.56	31.95	35.71	nan	nan	nan	69.4	44.27	33.11	71.68	18.51	40.61	74.99	49.88	30.49	75.32	58.39	26.57	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	72.61	43.23	36.25	70.19	41.18	35.41	72.94	43.17	36.79
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	73.25	15.41	35.25	68.49	6.66	33.09	nan	nan	nan	64.79	3.17	32.43	48.05	1.54	17.25	73.28	15.32	35.26	71.51	3.74	35.01	73.79	6.52	36.63	75.48	13.72	36.97	nan	nan	nan	73.27	15.41	35.24	nan	nan	nan	nan	nan	nan	72.68	14.09	33.08	70.43	11.84	29.09	nan	nan	nan
ConvNext_tiny	LF	73.39	0.13	73.23	69.34	0.17	69.16	nan	nan	nan	64.28	0.16	64.08	69.23	0.11	69.08	72.76	0.11	72.59	71.12	0.13	70.99	74.47	0.19	74.34	75.02	0.1	74.89	nan	nan	nan	73.39	0.13	73.23	nan	nan	nan	nan	nan	nan	72.46	0.14	72.29	69.55	0.11	69.4	nan	nan	nan
ConvNext_tiny	SSBA	73.48	0.48	68.28	69.31	0.3	63.75	nan	nan	nan	64.33	0.2	60.12	69.06	0.31	63.37	69.81	0.44	63.92	71.45	0.25	65.52	74.65	0.35	68.64	75.21	0.62	69.53	nan	nan	nan	73.47	0.48	68.29	nan	nan	nan	nan	nan	nan	72.77	0.42	67.56	69.57	0.41	64.4	nan	nan	nan
ConvNext_tiny	WaNet	62.29	2.87	57.44	66.24	0.48	63.06	nan	nan	nan	65.93	0.53	61.83	65.42	0.26	62.11	56.15	2.53	52.1	71.55	0.4	66.89	74.64	0.4	70.28	75.05	0.54	70.52	nan	nan	nan	62.29	2.87	57.45	nan	nan	nan	nan	nan	nan	60.86	3.71	55.95	63.83	0.65	59.94	nan	nan	nan
ConvNext_tiny	InputAware	63.77	31.88	39.31	68.35	19.54	45.72	nan	nan	nan	68.19	24.0	43.61	nan	nan	nan	61.22	8.28	44.49	71.6	18.68	46.55	74.25	27.95	45.05	75.52	23.73	48.46	nan	nan	nan	65.94	26.19	42.74	nan	nan	nan	nan	nan	nan	65.09	22.01	43.47	66.91	0.12	50.75	65.06	27.11	41.87
ConvNext_tiny	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	TrojanNN	73.53	94.86	4.53	68.93	76.72	17.61	nan	nan	nan	65.23	41.44	33.72	55.11	0.15	36.63	67.5	42.55	32.75	71.42	86.44	9.09	74.56	93.44	5.06	75.37	94.73	4.16	nan	nan	nan	73.52	94.86	4.53	51.27	76.43	14.8	21.59	0.07	16.87	72.72	94.91	4.51	70.25	76.72	17.21	72.9	94.24	5.01
ViT_b_16	BadNets	84.66	0.08	84.53	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	84.47	63.65	27.33	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	84.55	3.32	56.79	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	84.63	0.07	84.54	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	84.28	0.82	78.4	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	71.9	2.86	67.11	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	75.07	33.01	49.81	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	84.41	88.13	11.49	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	87.88	96.8	3.11	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

CIFAR-100 Leaderboard