通过对 PGD 攻击下的深度表示的实证分析，我们发现攻击会导致内部表示向 “误分类” 类别移动。基于此观察，我们提出了使用度量学习来规范攻击下的表示空间，从而产生更强健的分类器。通过精心抽样度量学习实例，我们的学习表示不仅提高了鲁棒性，还可以检测先前未见过的对抗性样本。量化实验表明，相对于以前的工作，我们的方法使得鲁棒性准确度提高了 4％，检测效率提高了 6％。

Sep, 2019

本文提出了一种基于 Hardness Manipulation 和 Gradual Adversary 的深度度量学习模型的对抗鲁棒性方法，并通过实验证明其在鲁棒性、训练效率和性能方面均优于现有防御方案。

Mar, 2022

该研究探讨了基于灵敏度的对抗攻击和基于不变性的对抗攻击之间的根本权衡，并证明了对抗训练和可证明鲁棒模型的成效。

Feb, 2020

该研究提出了一个确定深度学习模型标签更改是否合理的框架，并且定义了一个自适应的鲁棒性损失，使用导出的经验公式，开发了相应的数据增强框架和评估方法，证明了其对确定性标签下的一阶最近邻分类的维持一致性，并提供了实证评估结果。

Jun, 2021

本文提出了一种名为 “deep defense” 的训练方法来解决深度神经网络易受到对抗样本攻击的问题，通过将对抗扰动的正则化器与分类目标相结合，得到的模型能够直接且准确地学习抵御潜在的攻击，实验证明该方法在不同数据集上对比对抗 / Parseval 正则化方法有更好的效果。

Feb, 2018

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018

本文研究了深度神经网络在噪声环境中的鲁棒性和不变性，提出了快速计算稀疏对抗扰动和数据增强方法，与数据之间的特征联系起来，以实现更可靠的机器学习系统。

Aug, 2022

本文介绍一种名为 PixelDP 的新型防御技术，它是基于差分隐私的一种新型密码学概念，可以为大型数据集和任意模型类型提供强大的保护机制，具有防范对抗性例子的鲁棒性保证。

Feb, 2018

深度神经网络对任务无关的改变过于敏感，对任务相关的改变过于不敏感，导致广泛的输入空间易受到对抗攻击，传统的交叉熵损失函数存在局限性，本文提出了基于信息论分析的目标函数以克服这些问题。

Nov, 2018

通过稳健优化方法探究神经网络对抗攻击的鲁棒性，设计出对抗攻击和训练模型的可靠方法，提出对于一阶对手的安全保证，并得到针对广泛对抗攻击的高鲁棒性网络模型。

Jun, 2017