本文提出了一个框架和工具来训练满足全局鲁棒性的分类器，并通过逐步引导综合来强制验证全局鲁棒性属性，同时结构分类器作为逻辑规则的集合，并在三个安全数据集上展示了在对分类器性能的影响较小的情况下，训练分类器满足不同的全局鲁棒性属性。

May, 2021

机器学习在恶意软件检测系统中的应用日益重要，本研究提出了一种只使用 12 个特征的小特征集，通过六种不同的机器学习模型评估表明，在 PDF 恶意软件检测领域中具有最简洁的特征集之一，并能获得与大量特征集相当的准确性。

Aug, 2023

研究黑盒条件下使用得分机制的攻击方法 EvadeHC，该方法在两种 PDF 恶意软件检测器上实现了百分百攻击，大于已知的分类器攻击技术。

May, 2017

本文提出一种全面且简单的基于信号和统计分析的方法，以检测 PDF 恶意软件，采用分别从不同静态和动态恶意软件检测方法中选择的正交特征空间模型进行结合，以实现检测恶意代码混淆的鲁棒性。使用近 3 万个 PDF 文件数据集，我们证明该方法保持高检测率（99.92％），甚至检测到由恶意软件作者进行的混淆的新的恶意文件，并且是大多数防病毒软件无法检测到的。

Nov, 2021

通过考虑简化的攻击特征空间模型来设计鲁棒的人工智能模型，可以在检测 PDF 格式恶意软件时提高效果。在研究中发现，仅依靠特征空间模型的效果有限，但增加保留特征可以显著提高性能。此外，当面临各种恶意软件的攻击时，特征空间模型具有更广泛的鲁棒性。

Aug, 2017

本研究提出了一种针对补丁攻击的可验证防御机制，通过将可执行文件划分为非重叠的块，并采用多数投票的方式计算最终预测结果，从而最小化注入内容的影响。此外，引入了预处理步骤，将部分和标头的大小固定为块大小的倍数，从而确保恶意内容仅存在于整数个块中，同时保证对内容插入攻击具有认证的鲁棒性保证。经过广泛的消融研究，结果表明我们的方法在强攻击下展现出无与伦比的鲁棒性，优于文献中基于随机平滑的防御方法。

May, 2024

本文研究了对抗攻击的鲁棒性理论，聚焦于随机化分类器并通过统计学习理论和信息论提供了其行为的彻底分析。我们引入了随机化分类器的新鲁棒性概念，在此基础上进行了两项新的贡献：提出了一种新的随机化分类器对抗泛化间隙的上界限和对其进行了一种简单而有效的噪声注入方法来设计鲁棒的随机化分类器。我们还在 CIFAR-10 和 CIFAR-100 标准图像数据集上使用深度神经网络的实验结果证实了我们的发现。

Feb, 2021

通过创建新的测试方法，我们评估了针对一组已知的 Benign & Malicious 文件执行敌对修改并评估性能变化的变化以及逃避技术，从而依靠实验证明了仅基于 ML 的系统可以比 AV 产品更有效地检测到试图通过修改来逃避的恶意软件，但在面临显着的新型攻击时可能反应较慢。

Jun, 2018

本研究发现了一种对具有证明鲁棒性的分类器构成威胁的数据污染攻击，并提出了一种新型双层优化数据污染攻击，可降低其整个目标类别的平均有保障半径（ACR），以及降低 30％以上的目标类别平均有保障半径（ACR）

Dec, 2020

本文介绍了在安全关键应用中，对抗攻击对部署最先进的分类器构成重大威胁；总体上，经验证的防御方法虽然具有鲁棒性保证，但是实践中的对抗训练比较受欢迎。我们系统性地比较了这两种鲁棒性训练方法在多个计算机视觉任务中的标准错误和鲁棒错误，结果表明，在大多数任务和威胁模型下，采用凸松弛的认证训练比采用对抗训练更容易带来标准错误和鲁棒错误。此外，我们还探讨了认证和对抗训练之间的错误差距如何依赖于威胁模型和数据分布，并且除了扰动预算外，我们还确定了扰动集的形状和数据分布的隐式边缘等重要因素。本文在合成和图像数据集上进行了大量消融实验，证明我们的观点。

Jun, 2023