将对抗训练应用于ImageNet，并提出了如何将对抗训练成功扩展到大型模型和数据集的建议，发现对抗训练能增加对单步攻击方法的鲁棒性，单步攻击方法比多步攻击方法更难以传递，使其成为发动黑盒攻击的最佳选择。研究还揭示了“标签泄漏”效应，因为对抗样本构建过程使用真实标签，模型可以学习利用构建过程的规律，使经过对抗训练的模型在对抗示例上表现比正常示例更好。

Nov, 2016

本文研究如何检测机器学习中的对抗性样本，提出使用统计检验和模型增强的方法来识别对抗性样本，并参照多个数据集和对抗样本制作方法进行实验，结果表明统计学特性对于检测对抗性样本至关重要。

Feb, 2017

对10种检测对抗样本的最新提议进行比较后得出：它们都可以被利用新的损失函数打败，因此推测对抗样本的固有属性实际上是不存在的。作者提出了一些简单的评估准则来评估未来提出的防御措施。

May, 2017

本研究提供了对毒瘤样本现象的完整刻画，目的在于涵盖研究领域的所有重要方面：（1）毒瘤样本存在的假设，（2）对安全性、可靠性和稳健性的影响，（3）生成和保护对抗样本的方法，（4）毒瘤样本在不同机器学习模型之间的转移能力。（5）本文提供充足的背景信息，可作为调查、教程或使用毒瘤样本进行攻击和防御的目录。

Oct, 2018

本文对机器学习模型在视觉领域中面临的对抗性攻击和防御方法进行了广泛探讨，并讨论了不同攻击和防御方法的优点和缺点。旨在提供广泛的领域覆盖和机械进攻和防御机制的直观理解。

Nov, 2019

本文探讨在可对抗的变形情况下检测对抗攻击，并提出一种名为 defense perturbation 的新方法来检测具有相同输入变换与可靠的对抗攻击。同时介绍了多网络对抗例子，这种对抗例子可以同时欺骗多个网络。

Jan, 2021

本文主要研究了针对神经网络分类器的测试时间攻击检测方法，并在不同数据集和场景下提供了八种最先进的检测器的实验结果，为此研究方向提供了挑战和未来的展望。

May, 2021

本文介绍了一种基于 Orthogonal Projected Gradient Descent 攻击技术的方法，通过正交化梯度来生成对抗样本，以便在同时满足误分类和被检测为非对抗性之间达到更好的平衡，成功地躲避了四种先进的对抗性检测方法，降低其准确度为 0%，而维持着 0% 的检测率。

Jun, 2021

介绍一种新的针对深度神经网络攻击问题的检测方法 AdvCheck，其利用 local gradient 对对抗样本和误分类自然输入进行精确区分，能够获得比现有技术更高的检测率和更低的计算成本。

Mar, 2023

本文介绍了一种基于数据重构的对抗样本检测方法，使用变分自编码器技术，在 black-box 对抗攻击的情况下取得了明显更好的检测性能。

Jun, 2023