本文提出了一种利用 spanners 的新型攻击方法，通过搜索潜在的编码对，寻找生成在不同分类器输出下具有相似图像的对立范例，从而比传统扰动真实图像的攻击更具优势，在实验中，该攻击成功将 Defense-GAN 的准确率降至 3％，而且该技术与普通的对抗训练相结合，可以获得现有最强的 MNIST 分类器。

Dec, 2017

为了解决网络鲁棒性和泛化性之间的矛盾问题，研究通过对数据流形的研究证明对流形上对抗性样本的限制可以提高模型泛化能力且鲁棒性和泛化性并不矛盾。

Dec, 2018

本研究通过对鲁棒性模型的分析，发现相对于输入层抗攻击性较强的特征层是高度容易受到小幅度形变攻击的。在此基础上，我们提出了一种名为 LAT 的新技术，通过对已经进行对抗性训练的模型进行微调，以保证其特征层的鲁棒性。研究表明此方法对 MNIST、CIFAR-10 和 CIFAR-100 数据集的前沿对抗准确度有轻微提升。

May, 2019

本文使用流形正则化的概念开发了新的正则化技术，以训练具有局部稳定性的深度神经网络；我们的正则化器基于图拉普拉斯矩阵的稀疏化，当数据在高维空间中稀疏时，能够高概率地保持；经验证明，我们的网络表现出稳定性，并能够在不同的扰动模型下经受良好的检验；此外，我们的技术高效，并且与网络的额外两个并行前向传递的开销相当。

Mar, 2020

本文提出了对抗性分歧减小网络（Adversary Divergence Reduction Network），旨在通过对深度神经网络中间层的本地/全局紧凑性和聚类假设的强制执行，增强对抗训练的鲁棒性，并与现有的最新对抗性训练方法进行了比较，实验证明该方法可以进一步提高网络的鲁棒性和预测性能。

Jul, 2020

通过在图像的潜在空间中对对抗样本进行对抗训练以及利用生成模型中学习到的流形信息进行双流形对抗训练，可以大大提高深度学习模型的鲁棒性，从而有效地应对多种新颖的对抗攻击。

Sep, 2020

本文第一次对生成自编码器的最坏情况容忍性进行研究，发现在某些情况下，恶意攻击者可以利用潜在空间攻击常见的生成自编码器，同时我们通过实验还发现了生成自编码器与其确定性变体之间的差异，并考虑了在最坏情况容忍性和潜在代码解缠之间的潜在权衡。

Jul, 2023

本文提供了一种可计算、直接且数学严谨的方法，用于近似高维数据的类流形的微分几何，以及从输入空间到这些类流形的非线性投影。该方法应用于神经网络图像分类器的设置中，在流形上生成新颖的数据样本，并实现了流形上的对抗训练的投影梯度下降算法，以解决神经网络对对抗性攻击的敏感性问题。

Aug, 2023

通过信息论的背景将此问题转化为信息失真和鲁棒性的两个新度量，我们对分布式深度神经网络（DNNs）对抗行为的鲁棒性进行了严格分析，并通过考虑6种不同的DNN架构、6种不同的分布式DNN方法和对ImageNet-1K数据集进行10种不同的对抗攻击的广泛实验分析来验证我们的理论发现。实验结果支持我们的理论发现，显示出压缩的隐含表示可以在最佳情况下将对抗性攻击的成功率降低88％，平均降低57％，与对输入空间的攻击相比。

Sep, 2023

在高维度背景下，研究基于边界的线性分类器中的对抗性训练，提出了一个可以研究数据和对手几何结构相互作用的可行数学模型，精确描述了足够统计量的敌对经验风险最小化，揭示了存在可以在不损失准确性的情况下进行防御的方向，并且证明了防御非鲁棒特征在训练中的优势，作为一种有效的防御机制。

Feb, 2024