通过贝叶斯学习的视角考虑深度神经网络的对抗训练，并提出了一种具有可证明保证的贝叶斯神经网络（BNN）的对抗训练的原则性框架。该方法可在 MNIST、FashionMNIST 和 CIFAR-10 上训练出可证明鲁棒性的模型，并用于不确定性校准。这是第一次直接训练可证明的 BNN，可促进在安全关键应用中的部署。

Feb, 2021

使用最先进的扩散模型生成额外的训练数据可以极大地提高敌对训练的鲁棒性，该方法同样可以明显提高确定性认证防御的鲁棒性，我们还提供了一些建议来扩展认证训练方法的鲁棒性。

May, 2023

通过提出一种新的方法，同时追求高准确性和具有认证的概率鲁棒性，我们的实验显示该方法在多个模型和数据集上的认证率和准确性方面明显优于现有方法。

Sep, 2023

本文提出了一种新算法来训练深度神经网络模型以抵御对抗攻击，并提出防止模式崩溃以更好地逼近多模式贝叶斯模型的后验分布的方法。其提出的信息增益目标证明了该算法可以使其在抗对抗风险逼近常规经验风险，并且证明了其在 CIFAR-10 和 STL-10 数据集上比现有算法实现了更高的鲁棒性 30％。

Dec, 2022

最近的研究表明，深度神经网络对于对抗样本存在漏洞。已经提出了许多防御方法以提高模型的鲁棒性，其中对抗训练最为成功。本文重新审视了鲁棒过拟合现象。我们认为，对抗训练过程中产生的自信模型可能是潜在的原因，通过实证观察支持，具有更好鲁棒泛化能力的模型对于对抗样本的预测标签往往具有更均匀的分布。基于对抗确立的定义，我们在对抗训练框架中引入了一个额外的梯度步骤，以寻找能够生成置信度较低的对抗扰动输入的模型，进一步提高鲁棒泛化。我们的方法具有普适性，可以轻松与其他对抗训练方法的变体结合。在图像基准实验上进行的大量实验证明了我们的方法有效地减轻了鲁棒过拟合，并能够产生鲁棒性持续提升的模型。

Oct, 2023

本文提出了一种用于估计任意深度神经网络分类置信度的指标 —— 邻域置信度 (NHC)，可用于自动驾驶和高级驾驶辅助系统中实时可行并且不需要访问梯度，训练数据集或保留验证数据集。在不同的数据分布下进行评估，包括小的领域分布移位，域外数据或对抗性攻击，结果表明，在低数据方案下，NHC 的表现优于或与一种在线的白盒置信度估计方法相当，这是自动驾驶和高级驾驶辅助系统所需的。

Feb, 2023

在对数据分类问题的不同类型的对抗扰动的影响方面，引入对抗性能力作为一个重要参数，以精确性和稳健性之间的权衡关系。本研究考虑对对抗性扰动分类问题的一般框架，在大数据或整体数据的情况下进行研究。在这样的情况下，我们证明了当对抗性强度趋近于零时，最优分类器在 Hausdorff 距离上收敛于贝叶斯分类器。这一结果显著增强了先前通常集中在 $L^1$ 型收敛上的研究成果。主要论证依赖于直接的几何比较，并受到几何测度理论技术的启发。

Jun, 2024

近期的研究表明，通过恶意修改图结构或节点特征，攻击者可以严重降低 GNN 的性能。对抗性训练被证明是计算机视觉中最有效的对抗攻击防御机制之一，对于增强 GNN 的稳健性具有巨大潜力。本文提出了一种基于鲁棒对抗训练的分层约束优化框架（HC-Ref），分别增强 GNN 和下游分类器的抗扰动能力，从而提高了稳健性。我们提出了相应的对抗正则化项，有助于根据不同层的特征，自适应缩小正常部分和扰动部分之间的领域差距，促进预测分布的平滑性。此外，现有的图鲁棒对抗训练研究主要集中在从节点特征扰动的角度进行训练，很少考虑图结构的变化。本文通过利用图结构扰动生成对抗样本，为防御基于拓扑变化的攻击方法提供了有效途径。在两个实际图数据集上的大量实验表明，HC-Ref 成功抵御了各种攻击，并相比几种基线方法具有更好的节点分类性能。

Dec, 2023

本文介绍了一种新方法，即通过自适应实现认证，将经过对抗训练的模型转化为随机平滑分类器，在推理过程中提供 l2 范数的认证鲁棒性，同时不影响它们对抗攻击的经验鲁棒性。

Feb, 2021

本文研究对抗样本攻击机器学习模型并提出一种新的攻击方法，证明最先进的对抗训练方法无法同时获得对 $\ell_2$ 和 $\ell_\infty$ 范数的健壮性，提出可能的解决方案及其局限性。

May, 2019