本论文分析了深层网络的一个有趣现象，即它们对于对抗性扰动的不稳定性，并提出了一个分析分类器鲁棒性的理论框架，并且为对抗性扰动的鲁棒性建立了一个上限。具体而言，我们建立了分类器对于对抗性扰动的鲁棒性的一个通用上限并用一些线性和二次分类器的例子说明了所获得的上限。我们的结果表明，在涉及小区分能力的任务中，所有选定的分类器将不会对于对抗性扰动产生鲁棒性，即使达到了较高的准确率。

Feb, 2015

我们证明了，追求对抗鲁棒性和标准泛化之间存在固有的紧张关系，训练鲁棒性模型不仅可能更加费时，也会导致标准准确性的降低，并且这种现象是由于鲁棒分类器学习了根本不同的特征表示方法。

May, 2018

在这篇论文中，我们发现通过在输入数据分布上进行语义保持的变换可以导致Robust accuracy的大幅度变化，而clean accuracy却没有变化，这表明输入数据分布可以影响神经网络的Adversarial robustness。

Feb, 2019

通过直接对类别选择性进行正则化或反对类别选择性，可以提高卷积神经网络的测试准确率，表明个体神经元的类别选择性既不充分也不必要，并且可能会损害深度神经网络的性能。此外，结果还表明，我们需要谨慎地关注单个神经元的属性，以代表深度神经网络的功能机制。

Mar, 2020

本文通过经验研究，在对抗训练的模型中发现了分类的精度和稳健性存在类间差异，包括在通常的训练模型中也存在差异。同时，本文还探讨了解决这种类间差异的可能技术和方法。

Oct, 2020

本文研究了对抗训练中的类别鲁棒性问题，提出了一种基于温度的PGD攻击方法，并对训练和推断阶段进行了改进，以降低类别鲁棒性差异。实验结果表明，该方法可以取得更高的攻击成功率。

May, 2021

本文研究了深度神经网络在噪声环境中的鲁棒性和不变性，提出了快速计算稀疏对抗扰动和数据增强方法，与数据之间的特征联系起来，以实现更可靠的机器学习系统。

Aug, 2022

本文研究探讨了寻找更具有鲁棒性的体系结构对于减少深度学习模型在实际应用中对于输入数据微小扰动导致的错误决策的重要性。在评估鲁棒性方面，我们基于NAS-Bench-201进行神经网络架构搜索，对6466种不同的网络设计进行评估并引入数据库，发现对神经网络的拓扑结构进行优化可以显著提高其鲁棒性。

Jun, 2023

通过分析正常和对抗攻击样本的深度神经网络表示之间的差异，研究了对抗攻击的鲁棒性和现有防御机制的普适性，并揭示了L2和Linfinity范数之间的显著差异。

Aug, 2023

通过对高维度输入数据的实践系统进行观察，我们展示了对于那些容易构建的对抗性攻击及其对大多数模型的威胁性，以及随机扰动的鲁棒性同时易受影响的基本特性，证实了这一现象。然而，令人惊讶的是，即使对于分类器决策边界与训练和测试数据之间只有很小的边距，也很难通过随机取样的扰动来检测到对抗性示例，因此需要更严格的对抗性训练。

Sep, 2023