使用最先进的扩散模型生成额外的训练数据可以极大地提高敌对训练的鲁棒性，该方法同样可以明显提高确定性认证防御的鲁棒性，我们还提供了一些建议来扩展认证训练方法的鲁棒性。

May, 2023

通过提出一种新的方法，同时追求高准确性和具有认证的概率鲁棒性，我们的实验显示该方法在多个模型和数据集上的认证率和准确性方面明显优于现有方法。

Sep, 2023

在此研究中，我们提出了一种基于自适应认证半径训练的新方法，旨在在保持高标准准确性的同时，提高模型的鲁棒性和准确性，从而推进现有准确性与鲁棒性的权衡。我们在 MNIST、CIFAR-10 和 TinyImageNet 数据集上验证了该方法的有效性，尤其在 CIFAR-10 和 TinyImageNet 上，与基准方法相比，我们的方法在相同标准准确性水平下能够提供高达两倍的鲁棒性。

Jul, 2023

论文介绍了如何通过随机光滑化技术来提高分类器对抗扰动的鲁棒性，使用该方法得到的 ImageNet 分类器在扰动范围小于 0.5 的情况下，具有 49％的认证准确率，并且该方法在获得更高的认证准确率方面比其他方法更具优势。

Feb, 2019

本文介绍了一个基于离线预训练模型，通过组合去噪扩散概率模型和高性能分类器等手段实现了对于 2 - 范数边界扰动的认证敌对鲁棒性，并在 ImageNet 数据集上得到了 71% 的分类准确率，显著优于之前的相关研究。

Jun, 2022

本文提出一种可扩展的用于构造对抗样本的方法，通过建立抵抗对抗扰动和加法噪声之间的联系，提出了一种训练策略，并在 MNIST 等数据集上进行了评估。

Sep, 2018

提出自适应随机平滑（ARS）以对测试时自适应模型的预测结果进行认证，通过扩展使用 f - 差分隐私的随机平滑分析来认证多步骤的自适应组合，首次覆盖了有噪声输入的一般高维函数的合理自适应组合，我们将 ARS 应用于深度图像分类以认证预测结果，提供对有界 L∞范数的对抗样本的适应性防御，在 L∞威胁模型中，我们的灵活性通过高维度的输入相关掩码实现自适应，我们设计了 CIFAR-10 和 CelebA 基准测试，并展示了 ARS 将准确性提高了 2 到 5 个百分点，在 ImageNet 上，ARS 相对于标准 RS 改进了 1 到 3 个百分点。

Jun, 2024

本研究发现了一种对具有证明鲁棒性的分类器构成威胁的数据污染攻击，并提出了一种新型双层优化数据污染攻击，可降低其整个目标类别的平均有保障半径（ACR），以及降低 30％以上的目标类别平均有保障半径（ACR）

Dec, 2020

本文提出使用对抗训练来提高基于随机平滑的分类器的效果，并设计一种适应平滑分类器的攻击方法，通过大量实验，得出这种方法在 ImageNet 和 CIFAR-10 上的性能显著胜过所有现有的可证明的 L2 - 强健分类器，证明了这种方法是可靠的，且半监督学习和预训练能够进一步提高其效果。

Jun, 2019

提出了一种使用均匀平滑技术的认证方法，通过在一定空间内均匀采样的噪音增加基础归因结果，确保在攻击区域内所有扰动的样本均匀平滑归因与未扰动样本之间的余弦相似度被保证为下界，从而防止归因受到攻击。

May, 2024