本文提出了两种轻量级策略来找到最小的对抗扰动，区别于现有技术，该方法允许对近似距离相对于理论距离进行误差估计理论，得到了实验结果的支撑，表明该方法适用于靠近分类边界的样本，具有抗击任何对抗性攻击的证明鲁棒性保证。

Jan, 2022

本篇论文的研究内容为：计算最小对抗性扰动的问题。研究者们提出了第一个能够计算最小对抗性扰动的算法，将问题用凸二次规划问题的列表进行了表示，用于 1-NN 模型的算法能够有效地解决这个问题。对于更大的 $K$-NN 模型，我们表明同样的表示形式可以帮助我们有效地计算最小对抗性扰动的上限和下限，这可用于攻击和验证。

Jun, 2019

本文提出了一种新的基于 $l_p$-norms 的白盒对抗攻击方法，通过最小化扰动的大小来改变特定输入的类别，这个方法具有几何直观性，是一种性能优越的攻击方法，比专门针对一个 $l_p$-norm 的攻击方法具有更好的鲁棒性，并且可以解决梯度掩盖的问题。

Jul, 2019

通过对局部化数据分布的理解，提出了一种基于几何形态的简单分类器 Box-NN，并在 MNIST 和 Fashion-MNIST 数据集上取得了对于稀疏攻击的认证稳健性方面的最新研究成果。

May, 2024

本研究证明了通过 $L_p$-norms 计算的输入相似性不仅不必要，而且是不充分的，对创造和防御对抗性样本都有影响。研究提出并探讨了替代相似性度量的策略，以刺激未来对该领域的研究。

Feb, 2018

本文提出了一种新的神经网络设计方法，基于 L∞-dist neuron 进行构造，设计出的 L∞-dist 网络是个具有 1-Lipschitz 性质，可以提供理论保障的鲁棒性，并且具有足够的表达能力。通过实验，证明了该新型神经网络设计在 MNIST、CIFAR-10 以及 TinyImageNet 上均取得了目前最优秀的性能。

Feb, 2021

在这篇论文中，我们分析了 1 Nearest Neighbor（1NN）分类器的对抗鲁棒性，并将其性能与对抗性训练进行了比较。通过实验证明，在来自 CIFAR10 的 45 个不同二进制图像分类问题上，1NN 在平均对抗准确性方面优于 TRADES（一种强大的对抗性训练算法）。此外，对于与训练期间稍有不同的扰动，我们的实验结果表明，1NN 在 69 个经预训练的 CIFAR10 的鲁棒模型中超过了几乎所有模型。综上所述，我们的结果表明，现代对抗性训练方法仍然无法达到简单的 1NN 分类器的鲁棒性。

Apr, 2024

该研究提出了一种概率证明框架 PROVEN，用于验证神经网络在输入加噪时的鲁棒性，可证明分类器的 top-1 预测在受限的 Lp 范数扰动下不会发生改变，证书是基于现有的神经网络鲁棒性验证框架，该方法在 MNIST 和 CIFAR 神经网络模型的实验中取得了 75% 的提升。

Dec, 2018

提出了一个基于神经网络中间层激活的 k - 最近邻（kNN）的防御机制来对抗对手样本，该方案在 MNIST 和 CIFAR-10 上的 l2 扰动上超过了最先进的防御措施，我们的模型在 MNIST 上是 3.07，CIFAR-10 为 2.3。此外，我们提出了一种简单的可辨认下界，该下界是在 Lipschitz 网络学习的表示的基础上，用 1-NN 实现的，我们的模型提供与其他具有类似准确度的 MNIST 的方案相当的平均下界。

Jun, 2019

该研究提出了一种计算具有凸性 $p$- 范数的深度神经网络的点对点鲁棒性的新方法，算法 GeoCert 可以在复杂的神经网络中输出距离下界，且该方法比以前的方法更紧凑。

Mar, 2019