通过 Adversarial Neuron Pruning (ANP) 修复易崩溃的 DNN 神经元，即可在不影响性能的情况下去除后门攻击。

Oct, 2021

研究深度变分自编码器的潜在空间的稳健性，证明可以扰动潜在空间并使分类概率近乎相等，从而保证解码器输出不受攻击影响。

Nov, 2017

本研究通过对鲁棒性模型的分析，发现相对于输入层抗攻击性较强的特征层是高度容易受到小幅度形变攻击的。在此基础上，我们提出了一种名为 LAT 的新技术，通过对已经进行对抗性训练的模型进行微调，以保证其特征层的鲁棒性。研究表明此方法对 MNIST、CIFAR-10 和 CIFAR-100 数据集的前沿对抗准确度有轻微提升。

May, 2019

通过信息论的背景将此问题转化为信息失真和鲁棒性的两个新度量，我们对分布式深度神经网络（DNNs）对抗行为的鲁棒性进行了严格分析，并通过考虑 6 种不同的 DNN 架构、6 种不同的分布式 DNN 方法和对 ImageNet-1K 数据集进行 10 种不同的对抗攻击的广泛实验分析来验证我们的理论发现。实验结果支持我们的理论发现，显示出压缩的隐含表示可以在最佳情况下将对抗性攻击的成功率降低 88％，平均降低 57％，与对输入空间的攻击相比。

Sep, 2023

本文介绍了目前 CNN 模型容易受到对抗攻击的困境，提出了一种可以利用隐藏组件 LAFEAT 进行攻击的算法，并证明该算法不仅计算效率更高，而且比目前现有的防御技术更为强大。这表明模型鲁棒性可能取决于防御者隐藏组件的有效使用，并且不应从整体的角度来看待。

Apr, 2021

针对深度神经网络易受对抗性攻击的问题，本文提出了一种基于特征重构的防御方法，具体来说，通过将每个类别的特征强制限制在一个凸多面体内，使得网络学习到的决策区域更加独特和远离各个类别的边界，提高了网络的鲁棒性，同时在干净图像的分类性能上不会退化。

Apr, 2019

本篇论文提出了一种名为 Adversarial Noise Propagation 的训练算法，将噪声注入隐藏层以提高深度模型的鲁棒性，并证明不同的隐藏层对模型鲁棒性和整洁的准确性有不同的贡献。该算法可有效地与其他对抗性训练方法相结合，进一步提高模型的鲁棒性。在 MNIST、CIFAR-10、CIFAR-10-C、CIFAR-10-P 和 ImageNet 上的广泛实验表明，ANP 实现了深度模型对对抗性和受损数据均具有强大的鲁棒性，并明显优于各种对抗性防御方法。

Sep, 2019

通过对深度学习模型的不同层进行敌对性扰动攻击验证，研究表明浅层的通道组合对模型的干扰较大，在不同攻击类型中具有共享的易受攻击通道组合，而不同攻击对隐藏表示的影响存在差异且与卷积核大小呈正相关，以此为基础为未来应用开发高效的应对性防御机制奠定技术基础。

May, 2024

通过使用生成对抗网络在潜在空间中注入对抗性扰动，避免了基于边缘的先验条件并确保了与基于像素的对抗性攻击方法相比视觉上真实的高度，实现了在 MNIST，CIFAR10，Fashion-MNIST，CIFAR100 和 Stanford Dogs 数据集上生成对抗攻击的有效性。

Apr, 2023

本文提出了一种实用的针对深度神经网络的对抗攻击方法，通过语义意义感知的结构化扰动来操纵图像的语义属性，以此生成针对黑盒分类器的对抗扰动，并提出了两种无监督的语义操作方法，通过在潜在空间中扰动单个或多个潜在因素，并在真实图像数据上进行大量实验，证明了其能力的强大性，同时也论证了普适于所有图像的语义对抗样本的存在。

Jan, 2020