本文提出了两种轻量级策略来找到最小的对抗扰动，区别于现有技术，该方法允许对近似距离相对于理论距离进行误差估计理论，得到了实验结果的支撑，表明该方法适用于靠近分类边界的样本，具有抗击任何对抗性攻击的证明鲁棒性保证。

Jan, 2022

提出了一个基于神经网络中间层激活的 k - 最近邻（kNN）的防御机制来对抗对手样本，该方案在 MNIST 和 CIFAR-10 上的 l2 扰动上超过了最先进的防御措施，我们的模型在 MNIST 上是 3.07，CIFAR-10 为 2.3。此外，我们提出了一种简单的可辨认下界，该下界是在 Lipschitz 网络学习的表示的基础上，用 1-NN 实现的，我们的模型提供与其他具有类似准确度的 MNIST 的方案相当的平均下界。

Jun, 2019

在这篇论文中，我们分析了 1 Nearest Neighbor（1NN）分类器的对抗鲁棒性，并将其性能与对抗性训练进行了比较。通过实验证明，在来自 CIFAR10 的 45 个不同二进制图像分类问题上，1NN 在平均对抗准确性方面优于 TRADES（一种强大的对抗性训练算法）。此外，对于与训练期间稍有不同的扰动，我们的实验结果表明，1NN 在 69 个经预训练的 CIFAR10 的鲁棒模型中超过了几乎所有模型。综上所述，我们的结果表明，现代对抗性训练方法仍然无法达到简单的 1NN 分类器的鲁棒性。

Apr, 2024

本文针对分类器的测试攻击问题，引入了一种理论框架，类似于偏差 - 方差理论，并使用该框架对一种典型的非参数分类器 - k 最近邻分类器的鲁棒性进行了分析，并提出了一种新的修改的 1 最近邻分类器，其在大样本极限下具有良好的鲁棒性。

Jun, 2017

本文探讨了一种结合了 k 最近邻算法和深度学习的模型 - Deep k-Nearest Neighbor（DkNN）来提高模型的抵抗 Adversarial Example 威胁，同时提出了一种基于梯度下降的攻击方法，能够有效地攻击 DkNN 模型。

Mar, 2019

本文提出了一种新的基于 $l_p$-norms 的白盒对抗攻击方法，通过最小化扰动的大小来改变特定输入的类别，这个方法具有几何直观性，是一种性能优越的攻击方法，比专门针对一个 $l_p$-norm 的攻击方法具有更好的鲁棒性，并且可以解决梯度掩盖的问题。

Jul, 2019

对抗扰动将图像离开图像流形。通过对上亿张网络图像数据库的最近邻搜索来近似将图像移回到流形，实现了对抗图像的有效防御，但防御与准确性之间存在权衡，并且需要一个大型图像数据库以及对图像数据库的仔细构建才能在抵御攻击方面足够强大。

Mar, 2019

该研究讨论了最近原型分类器在使用 $\ell_p$-distance 和 $\ell_q$-threat models 进行决策和认证时的复杂性，并使用高效的改进下界来训练具有证明的对抗鲁棒性的 PNPC，以在图像分类上获得更高的准确性。

Jul, 2022

本文提出了两种针对深度排序系统的攻击方法，即候选攻击和查询攻击，并且也提出了一种防御方法来提高排序系统的鲁棒性，我们的攻击和防御方法在 MNIST、Fashion-MNIST 和 Stanford-Online-Products 数据集中进行了评估。实验结果表明，我们的攻击可以有效地攻击典型的深度排序系统，同时使用我们的防御方法可以中等程度地提高系统的鲁棒性，此外，我们的攻击展示了可以实现黑盒攻击的可能性。

Feb, 2020

研究了基于优化问题的对抗攻击，使用双重变量来最小化对抗性噪声与规则化惩罚，针对非光滑 $p$- 范数进行极值点下降攻击，实验表明，比当前最先进的攻击方法在 MNIST、CIFAR-10 和受限制的 ImageNet 数据集上都优异表现。

Jun, 2021