研究使用通过对抗训练引入的置信度信息来增强给定对抗性训练模型的对抗鲁棒性及提出基于置信度信息和最近邻搜索的 Highly Confident Near Neighbor（HCNN）框架，以加强基本模型的对抗鲁棒性，并进行详细的实证研究。

Nov, 2017

本文提出了一种利用 spanners 的新型攻击方法，通过搜索潜在的编码对，寻找生成在不同分类器输出下具有相似图像的对立范例，从而比传统扰动真实图像的攻击更具优势，在实验中，该攻击成功将 Defense-GAN 的准确率降至 3％，而且该技术与普通的对抗训练相结合，可以获得现有最强的 MNIST 分类器。

Dec, 2017

该研究提出了一种基于几何框架和流形重建方法的方法，以分析对抗样本的高维几何形状，并证明了不同规范的鲁棒性、球形对抗性训练的样本编号和最近邻分类器与基于球面的对抗训练的充分采样条件。

Nov, 2018

为了解决网络鲁棒性和泛化性之间的矛盾问题，研究通过对数据流形的研究证明对流形上对抗性样本的限制可以提高模型泛化能力且鲁棒性和泛化性并不矛盾。

Dec, 2018

对抗扰动将图像离开图像流形。通过对上亿张网络图像数据库的最近邻搜索来近似将图像移回到流形，实现了对抗图像的有效防御，但防御与准确性之间存在权衡，并且需要一个大型图像数据库以及对图像数据库的仔细构建才能在抵御攻击方面足够强大。

Mar, 2019

通过全局流形的视角考虑深度神经网络对抗攻击的模型鲁棒性问题，提出了一种新的对抗训练方法ATLD，该方法在不受监督的情况下，利用了本地和全局潜在信息，通过对抗游戏生成潜在流形对抗性实例，保留了流形的局部和全局信息，具有良好的鲁棒性，实验结果表明该方法在多个数据集上显著优于现有技术。

Jul, 2021

本文研究了利用预训练语言模型诱导的上下文嵌入空间中的对抗文本的嵌入发散现象，并提出了一种基于嵌入流形的文本防御机制，将文本嵌入映射到近似嵌入流形上进行分类，从而增强模型的鲁棒性。实验证明，该方法在不牺牲准确性的前提下，在各种攻击设置下始终显著优于以前的防御方法。

Nov, 2022

本文提供了一种可计算、直接且数学严谨的方法，用于近似高维数据的类流形的微分几何，以及从输入空间到这些类流形的非线性投影。该方法应用于神经网络图像分类器的设置中，在流形上生成新颖的数据样本，并实现了流形上的对抗训练的投影梯度下降算法，以解决神经网络对对抗性攻击的敏感性问题。

Aug, 2023

在高维度背景下，研究基于边界的线性分类器中的对抗性训练，提出了一个可以研究数据和对手几何结构相互作用的可行数学模型，精确描述了足够统计量的敌对经验风险最小化，揭示了存在可以在不损失准确性的情况下进行防御的方向，并且证明了防御非鲁棒特征在训练中的优势，作为一种有效的防御机制。

Feb, 2024

我们提出了两种对抗性攻击的概念：一个是可感知的攻击，另一个是不可感知的攻击，并且通过证明维度差对模型的鲁棒性和攻击强度有明确的联系。

Mar, 2024