本文利用弹性网正则化优化问题将对深度神经网络 (DNNs) 进行的对抗样本攻击的过程阐述为 $L_1$- 导向的方式，提出了 EAD 攻击，实验结果表明 EAD 可以生成一组具有小 $L_1$ 失真度的对抗样本，与 $L_2$ 攻击具有类似的攻击表现，并引领对 $L_1$ 扭曲在对抗机器学习中的新见解和 DNN 的安全关注。

Sep, 2017

提出了一种使用单独的学习类条件数据分布来执行分析合成的新型鲁棒性分类模型，其在 MNIST 数据集上对 L0，L2 和 L 无穷小扰动都具备最先进的鲁棒性，攻击结果在正常类和对抗类之间呈现明显的感知边界。

May, 2018

该研究提出了一种新型 Lp 范数扰动有效的对抗攻击方法，旨在减少 L0 范数失真，通过设计优化方案和引入对抗阈值概念，实现了更好的对抗稳健性和视觉不可感知性。

Jul, 2024

本文提出了一种新的基于 $l_p$-norms 的白盒对抗攻击方法，通过最小化扰动的大小来改变特定输入的类别，这个方法具有几何直观性，是一种性能优越的攻击方法，比专门针对一个 $l_p$-norm 的攻击方法具有更好的鲁棒性，并且可以解决梯度掩盖的问题。

Jul, 2019

探索对抗训练的极限，发现了通过结合更大的模型、Swish/SiLU 激活函数和模型权重平均化可以训练出强健模型，同时在 CIFAR-10 和 CIFAR-100 数据集上有了大幅度的提升。

Oct, 2020

本研究通过使用交叉熵符号等简单方法，生成有效的区域性对抗扰动，这些局部攻击可能比非本地对抗例子需要更少的扰动，从而潜在地破坏了在 $L_p$ 范数下具有稳健性的防御。

Jul, 2020

本文提出了一种网络权重初始化的方法，使其能够在更高噪声水平下学习，同时评估了在 MNIST 和 CIFAR10 数据集上增强对抗噪声对学习范围的影响，并通过对简单多维伯努利分布的理论结果进行研究，提出了一些关于 MNIST 数据集可行扰动范围的见解。

Mar, 2020

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018

本文采用 ADMM（Alternating Direction Method of Multipliers）的算子分裂优化方法来生成对抗样本，统一了 L0，L1，L2 和 L infinity 攻击的方法，与当前领先的攻击方法相比，实验结果表明本文的 ADMM-based methods 是迄今为止最强的，能够实现 100% 攻击成功率和最小扰动。

Apr, 2018

本文提出了一种新的神经网络设计方法，基于 L∞-dist neuron 进行构造，设计出的 L∞-dist 网络是个具有 1-Lipschitz 性质，可以提供理论保障的鲁棒性，并且具有足够的表达能力。通过实验，证明了该新型神经网络设计在 MNIST、CIFAR-10 以及 TinyImageNet 上均取得了目前最优秀的性能。

Feb, 2021