本论文分析了深层网络的一个有趣现象，即它们对于对抗性扰动的不稳定性，并提出了一个分析分类器鲁棒性的理论框架，并且为对抗性扰动的鲁棒性建立了一个上限。具体而言，我们建立了分类器对于对抗性扰动的鲁棒性的一个通用上限并用一些线性和二次分类器的例子说明了所获得的上限。我们的结果表明，在涉及小区分能力的任务中，所有选定的分类器将不会对于对抗性扰动产生鲁棒性，即使达到了较高的准确率。

Feb, 2015

本文提出了一种技术，能够将深度学习分类器的防御性能从较小的前馈神经网络拓展到更广泛的网络结构，同时采用非线性随机投影的方式进行训练，并通过级联模型进一步提高分类器的鲁棒性能。在MNIST和CIFAR数据集上进行实验，证明了该方法在可证明的抗干扰错误率上有着明显的提升。

May, 2018

对ReLu神经网络进行梯度自由攻击可以提供对抗性攻击下的网络鲁棒性评估，相比于之前的最先进方法，可以更紧确地估计网络鲁棒性

Mar, 2019

针对对抗样本的防御，如对抗训练，通常针对单个干扰类型（例如小的l∞-噪声），对于其它类型的干扰，这些防御没有保障，甚至会增加模型的脆弱性。我们的目标是了解这种鲁棒性取舍背后的原因，并训练同时对多种扰动类型具有鲁棒性的模型。

Apr, 2019

本研究提出了一种基于PGD-based的方法，该方法融合多种扰动模型来提高深度学习系统的鲁棒性，并在MNIST和CIFAR10数据集上进行了测试。

Sep, 2019

探索对抗训练的极限，发现了通过结合更大的模型、Swish/SiLU激活函数和模型权重平均化可以训练出强健模型，同时在CIFAR-10和CIFAR-100数据集上有了大幅度的提升。

Oct, 2020

本文提出了一种基于对抗训练的方法，用于使深度神经网络具有对各种自然产生的扰动的鲁棒性，解决了当前小像素级扰动方法的不足，关键在于最大化分类器对属性空间的曝光度。

Dec, 2020

本文通过半无限优化和非凸对偶理论的研究，证明对抗性训练等价于在扰动分布上的统计问题，并对此进行完整的表征。我们提出一种基于Langevin Monte Carlo的混合方法，可以缓解鲁棒性与标准性能之间的平衡问题，并取得了MNIST和CIFAR-10等领域最先进的结果。

Oct, 2021

本篇论文阐述了对于神经网络存在攻击的情况下，如何通过对抗训练和小样本训练方法，提高模型的鲁棒性。

Dec, 2021

本文提出了Loss Stationary Condition（LSC）约束下的Robust Perturbation策略，该策略通过在小分类损失的对抗数据上进行权重扰动，避免深度网络的过度拟合和过度权重扰动。在对抗训练中，该方法能显著提高其鲁棒性，优于现有的对抗训练方法。

May, 2022