本文提出测量对抗样本空间维度的新方法，发现对抗性子空间在很大的维度上相互重叠并且共享在不同模型之间，通过探究模型决策边界的相似性和转移攻击的局限性，本文表明可能存在抵抗传输攻击的防御方法。

Apr, 2017

本文旨在通过对深度神经网络和其对抗样本的研究，提出并利用局部内部维度(Local Intrinsic Dimensionality，简称LID)给出对抗样本的特征维度描述，并且实验结果表明在五种攻击策略和三项基准数据集上，相较于多种当前主流的检测措施，该方法能够更加准确地区分出对抗样本。

Jan, 2018

该研究提出了一种基于几何框架和流形重建方法的方法，以分析对抗样本的高维几何形状，并证明了不同规范的鲁棒性、球形对抗性训练的样本编号和最近邻分类器与基于球面的对抗训练的充分采样条件。

Nov, 2018

本文介绍如何在黑箱攻击中利用参考模型的梯度来降低查询复杂度，提高黑箱攻击的效率和成功率，实验结果表明，与现有技术相比，本文提出的方法可以在查询数量上获得2x到4x的降低，并且具有更低的失败率。

Jun, 2019

本文研究了低维敌对干扰、通用性敌对干扰等与分类有关主题，并给出了关于低维敌对干扰欺骗率的严格分析及与最近的启发式方法的成功之间的解释。实验证明了理论上的结果。

Mar, 2022

研究对抗性漏洞的影响因素，得出标准PGD攻击的成功率呈单调递增的函数关系，表明对抗样本在高维空间局部线性模型上很普遍。

Mar, 2023

介绍一种新的针对深度神经网络攻击问题的检测方法 AdvCheck，其利用 local gradient 对对抗样本和误分类自然输入进行精确区分，能够获得比现有技术更高的检测率和更低的计算成本。

Mar, 2023

本文提出了一种利用变分自编码器来生成语义潜空间中的对抗样本的方法，并通过提出一个新的评估指标来解决评估挑战。同时研究了潜空间中的对抗样本与像素空间中对抗样本的可转移性，并证明了前者优于后者。

May, 2023

利用对得分映射的固定点 insight，通过利用对应的狄利克雷能量进行正则化将其前提条件确认为对潜在 manifold 学习的拓扑维度进行回归是可能的，然后引入了一种使用对抗性攻击来测量学习的 manifold 的拓扑维度的新方法，从而产生对学习的 manifold 的有用解释。

Dec, 2023

通过谱分析来检查样本特征的子空间，我们首先从实证角度表明干净信号或对抗扰动的特征分别是冗余的，而且在低维线性子空间中重叠较少，并且经典的低维子空间投影可以将扰动特征压缩到干净信号的子空间之外，从而使得深度神经网络可以学习一个只包含干净信号特征的子空间，抛弃扰动特征，从而能够区分对抗性样本。为了防止子空间学习中不可避免的残余扰动，我们提出一种独立性准则来区分干净信号和扰动。实验结果表明，所提出的策略能够本质上抑制对抗者，不仅提高了模型的鲁棒性，而且还给出了有效对抗防御的新方向。

Mar, 2024