本文提出了一种基于 Chernoff-Cramer Bounds 的新型通用概率认证方法，可以用于对抗性攻击环境下的机器学习应用。实验结果支持了我们的理论发现，证明了我们的方法对于语义扰动具有防御能力。

Sep, 2021

本文提出一种基于深度 ReLU 网络的攻击不可知的稳健性证书，用于多标签分类问题，通过利用 ReLU 网络的分段线性结构，提出了两个距离下界，分别为单纯形证书和决策边界证书，其中单纯形证书具有闭合形式，可微性和计算速度快的特点，并在 MNIST 数据集上验证其理论有效性。

Feb, 2019

提出了一个可用于卷积神经网络的一般且高效的框架 CNN-Cert 以证明鲁棒性，它通过利用卷积层的特殊结构比现有算法快 17 倍到 11 倍，并且在获得相似或更好的证明上限和速度方面超越了最先进的算法。

Nov, 2018

通过权重区间采样的计算框架，对贝叶斯神经网络（BNNs）的鲁棒性进行了证明，包括在分类及回归等多种任务中的使用。

Jun, 2023

通过提出一种新的方法，同时追求高准确性和具有认证的概率鲁棒性，我们的实验显示该方法在多个模型和数据集上的认证率和准确性方面明显优于现有方法。

Sep, 2023

该研究提出了一种概率证明框架 PROVEN，用于验证神经网络在输入加噪时的鲁棒性，可证明分类器的 top-1 预测在受限的 Lp 范数扰动下不会发生改变，证书是基于现有的神经网络鲁棒性验证框架，该方法在 MNIST 和 CIFAR 神经网络模型的实验中取得了 75% 的提升。

Dec, 2018

研究使用半定松弛来提高神经网络对于小的对抗扰动的鲁棒性，并且证明了其相比于其他防御方法更加有效。

Jan, 2018

本文介绍了在安全关键应用中，对抗攻击对部署最先进的分类器构成重大威胁；总体上，经验证的防御方法虽然具有鲁棒性保证，但是实践中的对抗训练比较受欢迎。我们系统性地比较了这两种鲁棒性训练方法在多个计算机视觉任务中的标准错误和鲁棒错误，结果表明，在大多数任务和威胁模型下，采用凸松弛的认证训练比采用对抗训练更容易带来标准错误和鲁棒错误。此外，我们还探讨了认证和对抗训练之间的错误差距如何依赖于威胁模型和数据分布，并且除了扰动预算外，我们还确定了扰动集的形状和数据分布的隐式边缘等重要因素。本文在合成和图像数据集上进行了大量消融实验，证明我们的观点。

Jun, 2023

本篇论文提出了一种新的证明方案来提高对不同扰动边界的认证鲁棒性，并通过提出一种新的训练噪声分布和正则化训练方案，同时改善了对于 l1 和 l2 扰动规范的认证，并在 ACR 指标上实现了改进。

Apr, 2023

该论文提出了一种新的框架 GCERT，可根据语义层面的图像变异准确地验证神经网络的鲁棒性，并通过生成模型的潜在空间中的方向将全面的语义层面的图像变异一致地表示为整体，以获得精确的分析友好的输入空间表示，同时大大缩短了鲁棒性认证的时间成本。

Jun, 2023