Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	55.94	100.0	0.0	nan	nan	nan	nan	nan	nan	54.08	0.03	53.91	51.48	97.36	2.44	55.61	100.0	0.0
PreAct-Resnet18	Blended	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	55.7	99.68	0.24	nan	nan	nan	nan	nan	nan	54.96	76.59	10.0	53.03	91.9	4.48	54.74	99.78	0.17
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	55.61	98.49	1.02	nan	nan	nan	nan	nan	nan	55.11	85.92	8.48	51.13	85.32	8.02	55.44	98.58	0.98
PreAct-Resnet18	SSBA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	55.17	97.65	1.72	nan	nan	nan	nan	nan	nan	54.18	57.74	22.4	49.86	81.9	9.78	54.7	97.8	1.62
PreAct-Resnet18	WaNet	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.21	98.5	1.12	nan	nan	nan	nan	nan	nan	56.17	0.22	55.35	53.71	75.23	17.81	56.4	99.46	0.35
PreAct-Resnet18	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.75	99.58	0.33	nan	nan	nan	nan	nan	nan	57.54	0.24	33.57	52.48	72.98	18.14	57.72	99.58	0.35
PreAct-Resnet18	Blind	1.97	45.21	12.56	56.72	0.0	20.9	nan	nan	nan	51.41	0.0	38.82	52.44	0.0	21.89	1.95	14.28	7.42	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	2.06	45.47	12.27	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.48	0.0	25.24	1.85	66.05	12.69
PreAct-Resnet18	BPP	58.14	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	0.5	99.85	0.03	53.94	0.42	51.78	nan	nan	nan	39.83	0.5	39.6	47.41	0.19	47.13	0.84	98.9	0.53	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	0.93	99.59	0.4	nan	nan	nan	nan	nan	nan	nan	nan	nan	51.02	0.34	50.53	0.75	99.57	0.39
PreAct-Resnet18	TrojanNN	55.89	99.98	0.01	55.42	0.5	45.47	-100.0	-100.0	-100.0	48.48	0.83	38.57	52.69	0.15	45.55	50.37	1.4	33.22	49.02	99.96	0.04	52.31	100.0	0.0	44.9	0.0	40.88	nan	nan	nan	55.86	8.39	42.74	nan	nan	nan	nan	nan	nan	55.01	0.08	45.06	52.65	98.49	1.4	55.89	99.98	0.01
VGG19_BN	BadNets	43.56	99.96	0.03	49.76	33.88	36.04	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	51.21	99.33	0.42	50.65	99.23	0.44	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LF	48.92	7.73	48.79	50.38	0.04	50.35	nan	nan	nan	36.58	0.18	36.4	46.73	0.04	46.71	50.03	0.02	50.11	39.32	10.2	39.15	42.5	8.97	42.71	35.84	7.28	35.66	nan	nan	nan	49.05	7.64	48.92	nan	nan	nan	nan	nan	nan	48.53	7.2	48.41	42.24	0.29	42.05	nan	nan	nan
VGG19_BN	SSBA	51.39	97.92	1.33	50.53	94.75	3.29	nan	nan	nan	39.96	30.02	23.97	50.05	81.53	10.28	46.57	76.35	10.88	41.83	97.31	1.23	45.68	98.05	0.98	39.67	0.05	35.47	nan	nan	nan	51.49	98.36	1.18	nan	nan	nan	nan	nan	nan	50.96	0.8	34.44	47.02	92.19	4.45	nan	nan	nan
VGG19_BN	WaNet	54.11	99.98	0.01	53.77	0.14	49.34	nan	nan	nan	35.26	1.1	29.04	53.93	0.13	48.9	51.95	0.11	40.46	40.98	96.81	1.6	38.8	97.6	1.22	38.59	0.22	37.7	nan	nan	nan	53.52	99.99	0.0	nan	nan	nan	nan	nan	nan	53.65	0.11	47.9	48.66	88.51	6.24	nan	nan	nan
VGG19_BN	InputAware	53.2	99.84	0.13	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	11.88	97.06	2.59	53.99	73.76	11.34	nan	nan	nan	54.17	73.09	11.44	53.65	75.88	10.53	12.89	96.71	2.76	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	11.7	96.92	2.7	nan	nan	nan	nan	nan	nan	nan	nan	nan	50.23	0.01	18.16	11.09	97.02	2.67
VGG19_BN	BPP	55.36	99.96	0.04	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	1.09	99.48	0.48	33.87	0.15	33.27	nan	nan	nan	35.32	0.58	34.48	33.02	0.16	32.48	0.51	99.98	0.01	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	0.5	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	35.14	0.44	34.93	0.5	100.0	0.0
VGG19_BN	TrojanNN	52.0	99.97	0.03	50.72	8.61	36.1	-100.0	-100.0	-100.0	40.74	2.76	27.42	49.31	0.04	39.28	48.2	62.37	18.84	43.17	99.92	0.06	45.65	99.94	0.05	35.01	0.0	25.38	nan	nan	nan	51.97	37.24	29.28	nan	nan	nan	nan	nan	nan	50.94	0.22	40.14	45.25	98.91	0.93	52.0	99.97	0.03
ConvNext_tiny	BadNets	66.31	99.99	0.01	59.5	95.85	3.64	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blended	65.62	99.85	0.12	56.74	97.28	2.02	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LF	52.83	6.81	52.69	53.34	0.18	53.22	nan	nan	nan	46.11	0.16	46.0	32.32	0.32	32.16	54.23	0.46	54.25	68.83	4.52	68.7	68.79	4.95	68.76	72.35	4.3	72.23	nan	nan	nan	52.83	6.81	52.69	nan	nan	nan	nan	nan	nan	54.69	0.64	54.64	54.44	0.11	54.33	52.7	6.95	52.56
ConvNext_tiny	SSBA	67.77	98.45	1.35	62.13	83.72	11.67	nan	nan	nan	54.23	70.88	17.96	48.32	0.58	37.71	62.87	67.71	21.45	72.11	98.62	1.14	73.06	98.65	1.14	76.31	98.9	0.97	nan	nan	nan	67.77	98.45	1.35	nan	nan	nan	nan	nan	nan	67.63	97.93	1.73	65.3	95.27	3.51	67.7	98.37	1.39
ConvNext_tiny	WaNet	55.46	99.61	0.31	47.26	6.4	41.76	nan	nan	nan	8.14	0.48	7.96	9.14	0.93	7.87	50.97	79.37	15.88	71.99	95.82	3.67	71.97	97.56	2.02	74.95	97.01	2.63	nan	nan	nan	55.46	99.61	0.31	nan	nan	nan	nan	nan	nan	55.17	99.56	0.37	55.67	89.95	7.12	54.84	99.61	0.31
ConvNext_tiny	InputAware	0.5	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blind	67.5	100.0	0.0	64.13	100.0	0.0	nan	nan	nan	62.74	100.0	0.0	64.52	100.0	0.0	63.2	93.37	4.72	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	67.5	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	65.24	100.0	0.0	nan	nan	nan
ConvNext_tiny	BPP	56.59	99.9	0.08	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	28.6	15.34	28.19	7.06	0.72	6.88	nan	nan	nan	3.69	3.02	3.61	5.58	0.46	5.58	0.69	91.0	0.28	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	0.69	91.0	0.28	nan	nan	nan	nan	nan	nan	nan	nan	nan	3.64	2.91	3.66	nan	nan	nan
ConvNext_tiny	TrojanNN	66.5	99.97	0.02	62.15	99.57	0.34	nan	nan	nan	54.41	77.53	12.24	45.7	0.14	36.67	60.98	90.3	6.17	72.2	99.96	0.03	73.23	99.96	0.03	76.3	99.99	0.01	nan	nan	nan	66.5	99.97	0.02	nan	nan	nan	nan	nan	nan	65.26	99.96	0.03	63.55	99.94	0.05	66.43	99.97	0.02
ViT_b_16	BadNets	73.96	99.79	0.18	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	75.28	99.93	0.05	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	59.72	3.82	59.59	57.1	0.32	56.94	nan	nan	nan	nan	nan	nan	51.17	0.7	51.07	nan	nan	nan	nan	nan	nan	57.64	5.05	57.91	nan	nan	nan	nan	nan	nan	59.7	3.82	59.57	nan	nan	nan	nan	nan	nan	59.66	3.78	59.53	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	76.37	99.28	0.63	65.27	44.34	33.37	nan	nan	nan	nan	nan	nan	8.5	0.53	7.94	nan	nan	nan	nan	nan	nan	75.68	99.45	0.41	nan	nan	nan	nan	nan	nan	76.37	99.28	0.63	nan	nan	nan	nan	nan	nan	75.92	99.32	0.58	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	62.68	99.61	0.3	22.71	1.09	18.9	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	74.45	98.06	1.65	75.9	98.52	1.29	77.21	98.47	1.36	nan	nan	nan	62.67	99.61	0.3	nan	nan	nan	nan	nan	nan	62.24	99.65	0.29	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	63.86	98.82	1.04	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	76.14	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	76.14	100.0	0.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	61.81	99.82	0.13	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	2.67	96.86	2.09	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	75.16	99.86	0.13	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.3	99.84	0.15	nan	nan	nan	nan	nan	nan	54.77	0.21	54.36	53.99	98.88	1.06	56.27	99.86	0.13
PreAct-Resnet18	Blended	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.69	98.75	0.94	nan	nan	nan	nan	nan	nan	56.33	90.51	5.81	50.99	93.85	3.81	56.69	98.75	0.94
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.71	96.22	2.46	nan	nan	nan	nan	nan	nan	56.06	86.92	8.39	54.8	90.47	5.87	56.57	96.2	2.52
PreAct-Resnet18	SSBA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.63	95.23	3.37	nan	nan	nan	nan	nan	nan	56.09	74.98	15.24	53.42	90.06	6.22	56.35	89.05	7.36
PreAct-Resnet18	WaNet	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	1.93	98.74	0.61	nan	nan	nan	nan	nan	nan	55.14	0.17	53.84	53.97	81.82	13.42	56.76	0.31	55.42
PreAct-Resnet18	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	58.2	4.81	52.97	nan	nan	nan	nan	nan	nan	57.78	0.73	52.18	55.72	36.29	40.62	57.97	0.36	55.08
PreAct-Resnet18	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	BPP	58.54	99.98	0.02	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	TrojanNN	57.09	99.88	0.09	56.18	99.91	0.07	-100.0	-100.0	-100.0	49.85	50.03	23.86	54.44	0.19	46.78	53.79	97.25	2.3	50.62	99.71	0.25	53.67	99.91	0.08	45.97	0.0	40.97	nan	nan	nan	57.05	96.75	2.64	nan	nan	nan	nan	nan	nan	56.18	0.11	46.41	55.44	99.04	0.84	57.09	99.88	0.09
VGG19_BN	BadNets	53.09	99.85	0.15	52.35	98.56	1.23	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	42.61	98.54	0.87	49.12	97.72	1.3	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LF	51.57	2.32	51.46	52.2	0.03	52.14	nan	nan	nan	40.87	0.17	40.71	49.02	0.03	48.99	51.42	0.0	51.48	41.38	3.84	41.21	45.77	2.48	46.0	36.53	4.53	36.39	nan	nan	nan	51.63	2.4	51.51	nan	nan	nan	nan	nan	nan	51.13	2.41	51.02	46.59	0.03	46.5	nan	nan	nan
VGG19_BN	SSBA	52.49	95.32	2.86	52.25	89.5	6.13	nan	nan	nan	45.55	68.37	14.14	49.29	0.02	34.75	52.14	93.84	3.77	43.38	94.7	2.21	47.11	96.04	2.11	40.08	0.1	35.84	nan	nan	nan	52.66	95.03	2.99	nan	nan	nan	nan	nan	nan	51.52	0.4	34.79	48.33	86.1	7.53	nan	nan	nan
VGG19_BN	WaNet	55.14	99.99	0.0	55.03	0.29	48.16	nan	nan	nan	36.68	0.44	31.65	52.16	0.25	36.19	51.49	5.15	35.67	42.2	89.58	5.14	46.25	92.57	4.11	42.2	1.68	36.97	nan	nan	nan	53.98	99.88	0.1	nan	nan	nan	nan	nan	nan	53.54	0.15	48.05	47.76	98.28	1.12	nan	nan	nan
VGG19_BN	InputAware	53.68	99.83	0.11	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	BPP	55.53	99.88	0.12	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	TrojanNN	52.11	99.78	0.2	51.37	65.81	18.03	-100.0	-100.0	-100.0	43.96	55.29	17.93	44.96	0.67	35.84	47.52	97.47	1.96	42.83	99.74	0.19	47.53	99.81	0.14	37.98	0.0	27.91	nan	nan	nan	52.02	55.13	22.31	nan	nan	nan	nan	nan	nan	51.59	0.13	38.12	45.22	99.44	0.5	51.81	95.04	3.61
ConvNext_tiny	BadNets	65.74	99.87	0.13	61.88	98.71	1.22	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blended	68.48	99.56	0.38	65.23	99.01	0.82	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LF	54.65	2.52	54.51	53.26	0.14	53.14	nan	nan	nan	47.38	0.25	47.22	26.71	0.38	26.59	54.83	0.45	54.77	71.06	1.7	70.95	70.77	1.78	70.77	74.82	1.34	74.72	nan	nan	nan	54.67	2.52	54.53	nan	nan	nan	nan	nan	nan	55.22	0.3	55.16	54.47	0.18	54.32	nan	nan	nan
ConvNext_tiny	SSBA	68.44	97.17	2.25	64.77	89.54	7.97	nan	nan	nan	56.62	69.39	19.53	64.74	89.53	7.88	63.99	78.55	14.58	73.36	97.38	2.24	74.25	97.86	1.79	76.06	98.59	1.29	nan	nan	nan	68.44	97.17	2.25	nan	nan	nan	nan	nan	nan	68.01	97.15	2.25	65.51	94.84	3.81	nan	nan	nan
ConvNext_tiny	WaNet	55.15	99.4	0.5	46.78	17.56	38.49	nan	nan	nan	9.97	0.53	10.74	6.61	0.49	5.92	49.67	53.02	29.04	72.61	86.95	10.8	71.16	91.74	7.01	75.94	89.15	9.25	nan	nan	nan	55.14	99.4	0.5	nan	nan	nan	nan	nan	nan	54.91	99.42	0.48	55.3	90.87	6.41	nan	nan	nan
ConvNext_tiny	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	BPP	56.76	99.61	0.28	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	TrojanNN	67.14	99.95	0.04	63.15	99.22	0.63	nan	nan	nan	51.03	62.52	17.22	48.23	0.23	37.74	61.18	98.92	0.74	72.62	99.91	0.07	73.22	99.94	0.05	76.39	99.98	0.02	nan	nan	nan	67.14	99.95	0.04	nan	nan	nan	nan	nan	nan	67.02	99.95	0.04	64.66	99.82	0.16	67.06	99.95	0.04
ViT_b_16	BadNets	76.15	99.72	0.28	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	76.0	99.83	0.15	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	59.84	1.41	59.71	54.44	0.16	54.33	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	76.72	1.63	76.62	nan	nan	nan	59.85	1.41	59.72	nan	nan	nan	nan	nan	nan	59.83	1.4	59.7	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	75.3	98.86	0.92	6.7	0.98	6.41	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	75.3	98.86	0.92	nan	nan	nan	nan	nan	nan	74.87	98.77	0.97	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	60.9	99.74	0.2	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	60.91	99.74	0.2	nan	nan	nan	nan	nan	nan	60.9	99.76	0.2	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	63.82	96.88	2.42	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.19	95.02	4.58	nan	nan	nan	nan	nan	nan	55.49	0.28	54.79	55.71	85.68	12.32	56.68	94.69	4.83
PreAct-Resnet18	Blended	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.17	95.31	3.18	nan	nan	nan	nan	nan	nan	56.63	95.78	2.84	54.52	94.21	3.51	55.47	94.74	3.21
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.03	83.64	9.78	nan	nan	nan	nan	nan	nan	56.13	76.74	13.33	55.29	64.49	18.39	56.87	83.59	9.77
PreAct-Resnet18	SSBA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.8	80.43	12.32	nan	nan	nan	nan	nan	nan	55.84	80.81	11.82	54.63	66.62	18.88	54.79	80.63	10.97
PreAct-Resnet18	WaNet	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.62	0.16	39.65	nan	nan	nan	nan	nan	nan	57.44	0.22	28.66	55.96	13.44	34.35	57.71	0.0	33.88
PreAct-Resnet18	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	BPP	58.25	97.96	1.3	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	TrojanNN	57.18	98.02	1.81	56.8	97.93	1.86	-100.0	-100.0	-100.0	51.08	74.3	14.68	53.59	0.04	47.6	54.04	96.53	3.02	50.56	96.64	2.41	53.77	97.18	2.22	47.64	0.01	41.8	nan	nan	nan	57.17	40.46	32.95	nan	nan	nan	nan	nan	nan	55.93	1.49	46.59	54.34	96.35	3.08	57.18	98.02	1.81
VGG19_BN	BadNets	53.9	99.04	0.83	53.56	99.02	0.86	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	53.99	95.24	2.84	54.02	92.24	4.21	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LF	52.4	0.5	52.26	52.53	0.12	52.43	nan	nan	nan	44.78	0.2	44.61	52.41	0.5	52.27	52.28	0.02	52.27	44.31	0.54	44.13	48.67	0.48	48.56	38.48	0.27	38.39	nan	nan	nan	52.34	0.51	52.22	nan	nan	nan	nan	nan	nan	52.09	0.53	51.95	48.32	0.33	48.17	nan	nan	nan
VGG19_BN	SSBA	53.67	85.09	8.33	53.68	85.58	8.06	nan	nan	nan	43.92	57.74	17.34	52.24	0.02	34.48	52.86	84.48	8.38	44.09	72.22	11.02	48.37	78.42	10.18	38.19	11.5	31.52	nan	nan	nan	53.77	84.49	8.61	nan	nan	nan	nan	nan	nan	53.62	80.35	10.55	49.89	77.07	11.1	nan	nan	nan
VGG19_BN	WaNet	55.12	91.23	5.51	54.7	84.49	9.1	nan	nan	nan	38.6	0.99	30.44	54.16	64.98	18.21	51.98	0.58	47.95	43.61	20.33	30.55	47.94	15.33	36.39	38.26	19.81	23.58	nan	nan	nan	55.3	44.54	28.86	nan	nan	nan	nan	nan	nan	53.91	1.01	43.35	46.57	23.71	27.16	nan	nan	nan
VGG19_BN	InputAware	53.98	82.68	10.74	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	BPP	55.36	81.07	11.61	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	TrojanNN	53.3	97.43	1.81	53.06	97.59	1.64	-100.0	-100.0	-100.0	46.09	82.52	8.46	50.65	5.27	37.54	53.3	97.43	1.81	43.44	97.54	1.39	47.89	98.57	0.86	39.64	0.0	28.21	nan	nan	nan	52.94	69.9	16.76	nan	nan	nan	nan	nan	nan	53.14	97.53	1.78	46.46	93.98	3.47	52.32	97.08	1.99
ConvNext_tiny	BadNets	67.41	99.23	0.68	64.32	95.5	3.86	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blended	68.14	97.32	2.29	64.72	93.81	4.62	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LF	67.73	0.42	67.6	63.79	0.06	63.68	nan	nan	nan	56.92	0.14	56.78	64.79	0.04	64.7	62.17	0.3	62.03	73.44	0.31	73.37	74.45	0.18	74.35	76.42	0.31	76.34	nan	nan	nan	67.74	0.42	67.61	nan	nan	nan	nan	nan	nan	67.42	0.42	67.29	65.83	0.09	65.74	nan	nan	nan
ConvNext_tiny	SSBA	67.07	88.88	8.36	63.84	75.97	17.1	nan	nan	nan	56.1	55.18	26.86	67.07	88.88	8.36	60.78	70.32	19.06	74.69	86.56	10.9	73.2	89.5	8.49	76.59	89.38	8.84	nan	nan	nan	67.07	88.88	8.36	nan	nan	nan	nan	nan	nan	66.57	87.73	9.35	63.59	74.86	17.43	nan	nan	nan
ConvNext_tiny	WaNet	56.21	92.86	5.32	4.79	3.09	4.68	nan	nan	nan	0.5	0.0	0.5	6.51	0.53	6.39	50.64	58.97	25.21	73.47	38.13	47.81	72.57	35.39	49.17	76.5	43.97	44.8	nan	nan	nan	56.23	92.85	5.32	nan	nan	nan	nan	nan	nan	55.68	93.01	5.15	55.67	79.12	14.02	nan	nan	nan
ConvNext_tiny	InputAware	57.25	73.18	16.66	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	BPP	57.37	99.23	0.56	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	TrojanNN	66.75	99.41	0.53	63.36	97.22	2.22	nan	nan	nan	50.73	38.49	24.93	51.77	6.21	33.63	60.49	96.05	2.68	74.16	99.08	0.81	74.21	99.62	0.34	76.65	99.58	0.39	nan	nan	nan	66.75	99.41	0.53	nan	nan	nan	nan	nan	nan	66.75	99.41	0.52	63.23	97.43	2.07	66.52	99.39	0.55
ViT_b_16	BadNets	76.98	97.45	2.27	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	77.39	98.03	1.73	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	74.17	0.19	74.06	65.66	0.09	65.54	nan	nan	nan	nan	nan	nan	67.3	0.08	67.2	nan	nan	nan	nan	nan	nan	75.55	0.15	75.44	78.66	0.1	78.57	nan	nan	nan	74.16	0.19	74.05	nan	nan	nan	nan	nan	nan	73.89	0.16	73.78	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	76.05	88.96	8.67	66.0	26.86	42.66	nan	nan	nan	nan	nan	nan	68.37	49.57	32.81	nan	nan	nan	76.03	86.91	10.3	76.72	88.69	8.9	78.68	88.54	9.4	nan	nan	nan	76.05	88.96	8.67	nan	nan	nan	nan	nan	nan	75.92	89.2	8.42	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	63.4	95.86	3.2	8.8	0.52	8.54	nan	nan	nan	nan	nan	nan	5.94	0.35	5.9	nan	nan	nan	77.98	31.58	54.31	77.35	22.15	60.66	78.35	36.86	50.77	nan	nan	nan	63.42	95.87	3.2	nan	nan	nan	nan	nan	nan	63.38	95.88	3.19	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	62.98	94.21	4.49	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	77.15	99.08	0.89	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.35	91.74	7.18	nan	nan	nan	nan	nan	nan	56.47	2.21	54.66	54.76	76.37	18.48	57.49	91.27	7.58
PreAct-Resnet18	Blended	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.78	91.7	5.09	nan	nan	nan	nan	nan	nan	56.05	86.83	7.16	53.33	88.39	5.77	56.77	91.44	5.33
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.07	84.05	6.1	nan	nan	nan	nan	nan	nan	54.97	83.85	5.86	54.45	63.79	11.3	57.07	84.05	6.1
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.79	71.29	16.49	nan	nan	nan	nan	nan	nan	56.55	64.42	19.5	53.54	56.95	22.31	56.79	71.29	16.49
PreAct-Resnet18	SSBA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.1	60.59	21.52	nan	nan	nan	nan	nan	nan	55.57	60.08	20.93	55.66	43.61	29.05	57.25	62.15	21.26
PreAct-Resnet18	WaNet	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.68	2.77	55.28	nan	nan	nan	nan	nan	nan	55.94	54.79	31.27	54.79	7.39	50.61	56.64	3.4	55.17
PreAct-Resnet18	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.83	3.23	49.97	nan	nan	nan	nan	nan	nan	57.35	0.12	48.77	56.21	54.54	28.09	57.92	94.2	4.14
PreAct-Resnet18	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	TrojanNN	56.97	94.22	4.58	56.62	93.85	4.98	-100.0	-100.0	-100.0	50.78	42.65	26.26	56.97	94.22	4.58	54.6	93.1	5.12	51.43	95.12	3.39	53.61	95.46	3.23	29.55	99.99	0.01	46.73	0.12	41.59	57.11	70.43	18.2	nan	nan	nan	nan	nan	nan	56.15	31.99	36.0	55.52	94.05	4.67	56.55	92.95	5.33
VGG19_BN	BadNets	53.73	98.14	1.55	53.56	98.05	1.63	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blended	54.0	91.81	4.18	53.87	91.8	4.09	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	54.17	75.56	7.28	54.02	77.42	8.19	nan	nan	nan	53.91	79.16	7.6	51.37	75.36	7.96	50.32	71.7	7.51	43.84	57.5	8.84	47.15	66.36	7.06	20.36	93.39	1.27	nan	nan	nan	52.77	71.52	7.81	nan	nan	nan	nan	nan	nan	53.42	77.69	6.38	51.99	5.77	21.54	53.62	74.73	7.35
VGG19_BN	LF	54.11	0.24	53.95	53.66	0.04	53.57	nan	nan	nan	53.56	0.05	53.47	51.18	0.12	51.06	52.74	0.01	52.65	43.69	0.37	43.52	40.72	0.32	40.6	31.42	0.18	31.31	38.9	0.14	38.85	54.07	0.31	53.91	nan	nan	nan	nan	nan	nan	52.59	0.19	52.45	46.56	0.14	46.43	52.74	0.19	52.61
VGG19_BN	SSBA	53.68	71.3	14.22	53.77	60.19	19.04	nan	nan	nan	53.72	65.2	17.32	51.93	0.01	39.45	48.91	54.59	19.98	43.72	36.76	23.17	41.15	33.07	23.61	26.73	49.63	11.15	nan	nan	nan	53.9	46.7	24.9	nan	nan	nan	nan	nan	nan	52.81	65.12	16.74	44.52	37.58	21.5	53.29	72.16	13.23
VGG19_BN	WaNet	54.62	95.6	3.12	54.48	88.22	7.41	nan	nan	nan	39.91	2.25	34.56	50.34	0.23	27.73	52.1	18.53	39.89	43.78	9.03	34.04	47.69	3.86	40.46	30.46	3.77	23.13	nan	nan	nan	54.81	94.85	3.62	nan	nan	nan	nan	nan	nan	54.68	6.37	35.79	49.24	39.86	27.85	nan	nan	nan
VGG19_BN	InputAware	54.05	72.94	14.71	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	TrojanNN	45.18	95.25	2.44	50.71	98.12	1.32	-100.0	-100.0	-100.0	50.53	98.39	1.17	50.08	61.38	18.0	45.22	95.24	2.52	43.83	95.8	1.76	47.33	96.37	1.95	24.16	99.95	0.03	nan	nan	nan	45.08	73.05	11.42	nan	nan	nan	nan	nan	nan	43.77	92.2	3.72	46.07	96.76	1.92	43.67	78.41	8.48
ConvNext_tiny	BadNets	68.14	96.41	3.21	65.16	86.37	11.58	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blended	69.19	94.15	4.71	65.48	88.45	8.54	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	67.53	65.91	22.24	64.39	13.33	38.64	nan	nan	nan	56.98	30.61	25.13	67.53	65.86	22.27	63.98	61.65	22.03	73.65	72.89	18.13	72.85	71.97	19.1	76.59	67.57	21.49	nan	nan	nan	67.53	65.86	22.27	nan	nan	nan	nan	nan	nan	67.53	66.23	21.81	65.21	0.65	42.63	nan	nan	nan
ConvNext_tiny	LF	67.9	0.25	67.8	65.27	0.14	65.15	nan	nan	nan	55.23	0.11	55.11	64.59	0.09	64.49	66.47	0.19	66.37	73.93	0.14	73.84	73.74	0.26	73.65	76.22	0.12	76.12	nan	nan	nan	67.9	0.25	67.8	nan	nan	nan	nan	nan	nan	67.71	0.23	67.61	64.32	0.09	64.22	nan	nan	nan
ConvNext_tiny	SSBA	69.37	80.43	14.76	65.56	57.73	28.74	nan	nan	nan	55.29	37.25	34.57	69.37	80.43	14.76	62.63	45.66	33.88	74.09	70.55	22.59	73.32	76.43	18.59	76.56	74.87	19.96	nan	nan	nan	69.37	80.43	14.76	nan	nan	nan	nan	nan	nan	68.52	78.91	15.59	65.56	65.16	24.43	nan	nan	nan
ConvNext_tiny	WaNet	55.68	94.12	4.67	6.58	2.15	6.25	nan	nan	nan	2.85	0.83	2.85	6.5	0.48	6.23	52.84	74.99	18.44	74.21	20.46	59.78	73.79	11.75	64.99	76.43	34.5	52.02	nan	nan	nan	55.7	94.13	4.66	nan	nan	nan	nan	nan	nan	55.53	94.22	4.53	55.99	75.35	16.11	nan	nan	nan
ConvNext_tiny	InputAware	57.16	92.01	6.2	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	TrojanNN	68.49	98.99	0.88	64.94	95.75	3.5	nan	nan	nan	64.18	96.64	2.76	50.91	0.09	39.98	63.73	90.23	7.07	74.07	98.46	1.45	74.39	99.17	0.75	76.78	99.03	0.89	nan	nan	nan	68.49	98.99	0.88	nan	nan	nan	nan	nan	nan	68.27	99.11	0.77	64.67	95.95	3.35	68.46	98.97	0.89
ViT_b_16	BadNets	76.73	94.79	4.52	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	76.12	95.68	3.6	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	75.29	69.21	22.32	4.52	2.19	4.53	nan	nan	nan	nan	nan	nan	75.28	69.21	22.32	nan	nan	nan	76.67	71.84	21.33	74.45	70.47	21.26	78.11	67.51	24.17	nan	nan	nan	75.28	69.21	22.32	nan	nan	nan	nan	nan	nan	74.93	69.39	22.03	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	76.19	0.09	76.1	6.96	1.43	6.89	nan	nan	nan	nan	nan	nan	76.2	0.09	76.11	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	76.2	0.09	76.11	nan	nan	nan	nan	nan	nan	75.91	0.07	75.82	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	75.23	78.13	16.56	66.61	33.54	39.68	nan	nan	nan	nan	nan	nan	68.21	36.95	39.27	nan	nan	nan	76.21	71.72	21.9	76.77	73.47	20.58	78.28	63.9	27.72	nan	nan	nan	75.23	78.13	16.55	nan	nan	nan	nan	nan	nan	75.1	79.02	15.83	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	62.12	95.29	3.69	40.18	0.86	35.57	nan	nan	nan	nan	nan	nan	5.69	0.66	5.52	nan	nan	nan	nan	nan	nan	77.71	10.47	68.43	nan	nan	nan	nan	nan	nan	62.11	95.3	3.68	nan	nan	nan	nan	nan	nan	62.06	95.47	3.53	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	76.83	97.88	2.01	4.25	1.15	4.04	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	78.38	99.29	0.63	nan	nan	nan	76.83	97.88	2.01	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

Targeted Model	Defense→	No Defense			FT			FP			NAD			NC			ANP			AC			SS			ABL			DBD			CLP			D-BR			D-ST			DDE			i-BAU			MBNS
Targeted Model	Attack↓	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)	CA(%)	ASR(%)	RA(%)
PreAct-Resnet18	BadNets	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.47	33.53	42.12	nan	nan	nan	nan	nan	nan	56.29	30.02	43.33	55.3	10.65	50.77	56.25	31.94	42.15
PreAct-Resnet18	Blended	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.39	65.17	14.66	nan	nan	nan	nan	nan	nan	56.41	59.99	15.85	55.83	54.57	17.15	56.4	65.45	13.35
PreAct-Resnet18	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	SIG	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.09	44.94	14.57	nan	nan	nan	nan	nan	nan	55.74	42.38	14.22	54.47	38.47	14.04	55.4	37.59	15.1
PreAct-Resnet18	LF	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	57.06	23.4	37.22	nan	nan	nan	nan	nan	nan	56.59	19.42	37.6	55.4	17.63	37.67	57.13	22.48	37.49
PreAct-Resnet18	SSBA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	56.82	13.39	41.07	nan	nan	nan	nan	nan	nan	55.39	14.84	39.05	55.23	6.71	41.51	55.74	13.36	40.17
PreAct-Resnet18	WaNet	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	58.28	45.55	5.2	nan	nan	nan	nan	nan	nan	57.96	31.7	5.71	53.2	21.95	4.89	58.17	37.32	5.69
PreAct-Resnet18	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
PreAct-Resnet18	TrojanNN	57.11	68.69	18.06	56.91	78.9	12.77	-100.0	-100.0	-100.0	50.58	27.81	30.46	55.25	9.35	43.25	54.33	52.42	23.6	51.49	74.56	12.4	53.56	0.51	43.1	37.63	89.65	4.18	47.03	0.26	42.24	56.53	67.15	18.66	nan	nan	nan	nan	nan	nan	56.63	55.22	24.59	52.84	62.8	19.31	56.94	58.53	23.22
VGG19_BN	BadNets	54.14	48.83	29.59	54.0	43.04	32.2	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	43.28	0.64	42.29	48.43	1.05	46.82	37.15	1.73	35.29	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	52.71	48.99	29.28	nan	nan	nan	53.6	49.85	29.06
VGG19_BN	Blended	53.12	70.26	11.62	53.31	70.44	11.48	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	44.4	41.97	17.33	48.76	50.06	16.45	-100.0	-100.0	-100.0	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	52.84	71.93	10.94	nan	nan	nan	51.68	68.33	11.49
VGG19_BN	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	SIG	44.66	19.9	18.04	50.79	24.31	18.99	nan	nan	nan	51.02	22.79	19.39	49.92	22.68	18.9	44.66	19.9	18.04	43.82	10.1	20.68	48.09	20.6	17.82	32.55	25.3	9.78	nan	nan	nan	44.83	21.4	18.33	nan	nan	nan	nan	nan	nan	44.02	19.39	17.9	46.78	13.96	20.5	44.37	19.8	17.85
VGG19_BN	LF	52.8	0.13	52.66	52.75	0.07	52.62	nan	nan	nan	52.67	0.07	52.54	52.8	0.13	52.66	51.73	0.03	51.64	44.04	0.23	43.84	40.74	0.25	40.59	28.98	0.2	28.87	nan	nan	nan	52.91	0.15	52.77	nan	nan	nan	nan	nan	nan	52.07	0.09	51.92	46.46	0.21	46.26	52.75	0.15	52.62
VGG19_BN	SSBA	54.35	6.95	40.77	54.12	5.23	41.03	nan	nan	nan	54.3	3.78	41.6	51.87	2.94	39.6	52.36	6.5	39.21	43.25	2.42	33.4	40.42	1.83	31.82	26.58	0.5	21.36	nan	nan	nan	54.4	7.05	40.67	nan	nan	nan	nan	nan	nan	53.62	5.69	40.25	46.69	1.04	39.06	53.41	7.04	39.63
VGG19_BN	WaNet	54.22	43.86	30.55	54.94	8.9	41.68	nan	nan	nan	54.69	17.78	38.88	53.6	3.78	42.6	50.38	2.29	44.42	44.28	1.14	37.43	39.54	1.13	34.49	23.4	6.72	18.28	37.08	0.79	33.39	54.53	42.84	30.95	nan	nan	nan	nan	nan	nan	54.17	35.59	34.89	47.81	2.6	37.76	54.36	44.64	30.2
VGG19_BN	InputAware	54.09	85.44	9.25	54.3	78.03	12.67	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	44.23	25.69	22.89	48.35	8.54	30.1	35.99	15.2	20.84	nan	nan	nan	54.22	82.36	10.84	nan	nan	nan	nan	nan	nan	53.93	83.88	9.99	nan	nan	nan	54.28	83.42	10.37
VGG19_BN	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
VGG19_BN	TrojanNN	53.73	79.86	10.53	53.91	84.67	8.46	-100.0	-100.0	-100.0	53.84	81.65	9.77	52.34	52.89	21.01	53.58	79.51	11.05	44.24	53.55	16.83	41.38	0.15	29.22	23.6	96.91	1.26	39.44	0.1	32.03	53.96	83.14	9.19	nan	nan	nan	nan	nan	nan	53.58	80.2	10.1	46.52	83.77	7.74	53.3	71.46	14.18
ConvNext_tiny	BadNets	69.18	4.89	66.02	65.4	1.1	64.14	nan	nan	nan	52.9	0.37	52.39	nan	nan	nan	63.43	1.92	62.26	73.37	0.16	72.45	73.35	0.34	72.3	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	68.92	4.66	65.95	nan	nan	nan	69.22	4.82	66.02
ConvNext_tiny	Blended	67.44	76.58	16.26	64.48	64.79	21.2	nan	nan	nan	53.75	46.81	22.31	nan	nan	nan	67.18	75.73	16.85	73.97	60.89	25.3	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	67.22	76.19	16.39	64.46	64.74	20.53	67.43	75.73	16.61
ConvNext_tiny	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	SIG	69.09	14.17	43.3	66.04	7.21	42.07	nan	nan	nan	64.38	5.08	40.87	66.07	8.22	42.57	62.99	11.18	38.43	73.22	8.42	46.42	73.0	10.68	45.5	69.32	2.61	45.95	nan	nan	nan	69.09	14.17	43.3	nan	nan	nan	nan	nan	nan	68.08	13.21	43.11	66.4	11.87	41.37	68.83	13.95	43.57
ConvNext_tiny	LF	68.13	0.17	68.03	64.38	0.14	64.28	nan	nan	nan	63.13	0.14	63.01	65.13	0.09	65.01	66.26	0.14	66.16	73.91	0.02	73.79	74.43	0.07	74.31	69.08	0.37	68.93	nan	nan	nan	68.13	0.17	68.03	nan	nan	nan	nan	nan	nan	67.77	0.19	67.66	65.19	0.13	65.09	67.99	0.18	67.89
ConvNext_tiny	SSBA	67.79	27.48	48.12	64.93	16.15	50.59	nan	nan	nan	57.26	4.86	46.04	67.78	27.48	48.12	63.19	11.44	51.89	73.68	4.14	62.16	73.84	22.65	54.45	76.66	18.07	59.11	nan	nan	nan	67.79	27.48	48.12	nan	nan	nan	nan	nan	nan	67.34	26.47	48.35	65.75	23.39	47.91	67.55	27.48	48.06
ConvNext_tiny	WaNet	56.93	70.48	21.15	2.26	0.0	2.32	nan	nan	nan	3.02	1.37	3.06	10.39	0.79	8.44	55.08	65.7	23.98	73.9	0.59	69.96	73.52	1.24	68.77	67.59	1.59	63.84	nan	nan	nan	56.93	70.48	21.15	nan	nan	nan	nan	nan	nan	56.15	71.53	20.64	56.68	28.12	42.93	56.83	68.7	22.33
ConvNext_tiny	InputAware	57.93	85.03	11.6	15.81	9.55	9.39	nan	nan	nan	14.87	0.08	8.36	nan	nan	nan	54.5	3.07	40.61	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ConvNext_tiny	TrojanNN	67.01	90.99	7.08	64.07	80.72	13.85	nan	nan	nan	63.11	79.17	14.63	52.21	0.09	42.53	63.24	77.22	15.75	74.1	91.59	7.4	73.66	3.9	55.99	76.76	93.55	5.77	nan	nan	nan	67.01	90.99	7.08	nan	nan	nan	nan	nan	nan	66.92	91.64	6.6	65.15	83.97	11.85	66.96	90.92	7.21
ViT_b_16	BadNets	76.67	54.03	38.43	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blended	76.75	81.95	13.69	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	-100.0	-100.0	-100.0	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LC	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	SIG	75.86	9.1	46.62	11.39	0.87	7.96	nan	nan	nan	nan	nan	nan	2.98	0.0	3.08	nan	nan	nan	nan	nan	nan	76.85	6.88	48.49	nan	nan	nan	nan	nan	nan	75.87	9.1	46.62	nan	nan	nan	nan	nan	nan	75.49	8.22	46.18	nan	nan	nan	nan	nan	nan
ViT_b_16	LF	76.12	0.06	76.02	3.4	3.49	3.37	nan	nan	nan	nan	nan	nan	70.48	0.06	70.4	nan	nan	nan	76.92	0.03	76.83	nan	nan	nan	78.56	0.09	78.46	nan	nan	nan	76.14	0.06	76.04	nan	nan	nan	nan	nan	nan	75.82	0.09	75.72	nan	nan	nan	nan	nan	nan
ViT_b_16	SSBA	75.76	28.29	51.5	65.88	11.26	50.62	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	77.89	20.68	57.51	77.3	27.11	53.38	78.33	26.99	54.97	nan	nan	nan	75.76	28.3	51.49	nan	nan	nan	nan	nan	nan	75.62	29.71	50.56	nan	nan	nan	nan	nan	nan
ViT_b_16	WaNet	61.7	51.33	34.83	9.24	0.64	9.03	nan	nan	nan	nan	nan	nan	5.25	0.75	5.18	nan	nan	nan	nan	nan	nan	75.48	2.47	70.18	nan	nan	nan	nan	nan	nan	61.7	51.35	34.83	nan	nan	nan	nan	nan	nan	61.6	50.82	35.09	nan	nan	nan	nan	nan	nan
ViT_b_16	InputAware	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	Blind	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	BPP	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	LIRA	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan
ViT_b_16	TrojanNN	76.27	88.97	9.96	3.43	1.76	3.45	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	78.28	91.95	7.43	nan	nan	nan	76.27	88.97	9.96	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan	nan

Leaderboard