提出在高分辨率图像上实现高可证明鲁棒性的认证防御方法，减少敌对区域的搜索开销和过滤预测噪声，从而通过利用重要神经元的本地化性质增强了认证准确性。

Oct, 2021

本文提出了 BagCert 架构和认证程序，通过一种新的损失函数实现认证不同大小和位置的对抗破坏，并在 CIFAR10 数据集上取得了对 5x5 对抗破坏下 86% 的准确率和 60% 的认证准确率。

Feb, 2021

本文介绍了对抗补丁攻击的认证和经验性防御措施，其中首次提出了认证防御措施，并实验了不同补丁形状的测试，获得了出人意料的良好的鲁棒性转移。

Mar, 2020

PatchCleanser 是一种用于抵御基于物理世界中对受害对象打印和附加补丁的对抗性攻击的、在图片上执行的像素遮蔽的、适用于各种先进的图片分类器以实现高精度的、具有认证稳健性的防御方法。此方法可以证明在某些图像上永远预测正确的类别标签，同时较之前的工作显着提高了认证稳健性。

Aug, 2021

利用 Vision Transformer 结合 Derandomized Smoothing 进行逐步平滑的图像建模任务来训练并提高证明补丁防御机制的可证准确性，同时重构了原始的 ViT 的全局自注意结构以适用于在实际世界中的高效推理和部署。在 ImageNet 数据集上，在 2% 区域补丁攻击下，本文方法达到 41.70% 的证明准确度，比之前最佳方法高出近 1 倍（26.00%）。同时，本方法达到了 78.58% 的干净准确度，接近正常 ResNet-101 的准确度，并在 CIFAR-10 和 ImageNet 上实现最先进的干净和证明准确度。

Mar, 2022

本研究提出了一种针对补丁攻击的可验证防御机制，通过将可执行文件划分为非重叠的块，并采用多数投票的方式计算最终预测结果，从而最小化注入内容的影响。此外，引入了预处理步骤，将部分和标头的大小固定为块大小的倍数，从而确保恶意内容仅存在于整数个块中，同时保证对内容插入攻击具有认证的鲁棒性保证。经过广泛的消融研究，结果表明我们的方法在强攻击下展现出无与伦比的鲁棒性，优于文献中基于随机平滑的防御方法。

May, 2024

本文提出一种名为 “Demasked Smoothing” 的方法，可以通过不需要模型结构或训练上的改变，提高深度学习模型抵抗语义分割任务中新兴的对抗性贴花攻击的鲁棒性，提供了可靠的检测和恢复机制。

Sep, 2022

使用基于随机平滑的 L1 和 L2 变换来保证分类器对于固定 L0 干扰大小的分类鲁棒性，并提出了一种高效且可验证的防御方法，通过使用随机消融的输入特征而非加性噪声来对抗稀疏的对抗干扰攻击，实验结果验证了其在 MNIST、ImageNet 和 CIFAR-10 上有效的性能。

Nov, 2019

该论文提出了一种通过最坏情况遮盖来提高模型不变性的方法 Greedy Cutout，相比于 PatchCleanser 中的 Random Cutout 增强方式，通过使用 Greedy Cutout 可以提高模型的认证鲁棒性。

Jun, 2023

本文探讨使用视觉变换器在不引起重大标准准确度降低的情况下，显著提高认证补丁鲁棒性和计算效率的能力。

Oct, 2021