提出了一个基于神经网络中间层激活的 k - 最近邻（kNN）的防御机制来对抗对手样本，该方案在 MNIST 和 CIFAR-10 上的 l2 扰动上超过了最先进的防御措施，我们的模型在 MNIST 上是 3.07，CIFAR-10 为 2.3。此外，我们提出了一种简单的可辨认下界，该下界是在 Lipschitz 网络学习的表示的基础上，用 1-NN 实现的，我们的模型提供与其他具有类似准确度的 MNIST 的方案相当的平均下界。

Jun, 2019

本文提出了一个有效的图像增强方法，通过深度图像恢复网络来将离散的对抗噪声样本转换回自然图像流形，从而提高对抗性的鲁棒性，同时提高图像质量和保持干净图像上的性能表现。

Jan, 2019

本文旨在设计一个可证明鲁棒的图像检索模型，使得最重要的评估指标 Recall@1 对抗性扰动具有不变性，通过我们所提出的第一个最近邻图像检索算法 RetrievalGuard 来实现对抗性扰动的保证鲁棒性，并通过实验验证了方法的鲁棒性。

Jun, 2022

研究表明，计算机视觉模型容易受到输入微小对抗扰动攻击，而该现象是由数据流形的高维几何性质引起的，结果表明神经网络的易受小型对抗性扰动攻击是测试误差的逻辑结果。

Jan, 2018

该文章提出了一种直接部署到标准深度神经网络模型中的简单方法，通过引入两个经典图像处理技术，标量量化和平滑空间滤波，将图像中的扰动降低到最小，使用图像熵作为度量标准，可以有效地检测出对基于多种攻击技术的先进深度学习模型的 20,000 多个对抗样本，最终的实验结果表明，该检测方法可以取得 96.39％的高整体 F1 评分。

May, 2017

本论文提出了一种新颖的双层优化算法，该算法可以在自然图像环境下找到对抗扰动鲁棒的点，有效提高图像识别的鲁棒性。

Dec, 2021

在这篇论文中，我们分析了 1 Nearest Neighbor（1NN）分类器的对抗鲁棒性，并将其性能与对抗性训练进行了比较。通过实验证明，在来自 CIFAR10 的 45 个不同二进制图像分类问题上，1NN 在平均对抗准确性方面优于 TRADES（一种强大的对抗性训练算法）。此外，对于与训练期间稍有不同的扰动，我们的实验结果表明，1NN 在 69 个经预训练的 CIFAR10 的鲁棒模型中超过了几乎所有模型。综上所述，我们的结果表明，现代对抗性训练方法仍然无法达到简单的 1NN 分类器的鲁棒性。

Apr, 2024

通过梯度方法可以发现虚假的区域，该文认为这些区域不是弱点而是优势，提出了一种通过检测这些区域的方法来成功检测出对抗攻击的方法，在攻击者完全了解检测机制的情况下，实现了前所未有的准确性。

Oct, 2019

本文提出了一种基于黑盒技术的新型对抗样本攻击方法，针对原始图像最小化 l0 距离。实验证明，该攻击方法优于或与现有技术相当。同时，我们可引入部件约束来提高分类器对稀疏和不可察觉的对抗性操纵的鲁棒性。

Sep, 2019

本研究提出了一种基于视觉显著性的方法，用于清理受对抗性攻击影响的数据。该模型利用对抗性图像的显著区域提供有针对性的对策，并在相对减少清理后图像的损失的同时，通过评估各种指标的准确性来证明它的有效性。

Mar, 2020