本文提出了一种新的半定松弛办法，用于证明针对任意ReLU网络的鲁棒性，显示该松弛法比先前的松弛法更严格，并在三个不同的训练对象对我们的建议松弛法不感兴趣。

Nov, 2018

本文介绍了在防御对抗性样本攻击的设计中，鲁棒性和准确性之间的一个权衡，提出了一种 TRADES 防御方法，该方法在真实数据集中表现良好，并在NeurIPS 2018对抗视觉挑战中获得第一名。

Jan, 2019

本文介绍一种基于凸松弛框架的神经网络强鲁棒性验证算法，通过大量实验发现该算法在已有松弛算法上并没有显著提高，提示了一类算法具有固有的严格验证难度。

Feb, 2019

针对对抗样本的防御，如对抗训练，通常针对单个干扰类型（例如小的l∞-噪声），对于其它类型的干扰，这些防御没有保障，甚至会增加模型的脆弱性。我们的目标是了解这种鲁棒性取舍背后的原因，并训练同时对多种扰动类型具有鲁棒性的模型。

Apr, 2019

本文提出两个方法以提高PGD攻击的效率，进而结合现有方法构成一个全新的攻击集合，用于测试对抗鲁棒性，并在50多个模型上进行了测试，发现一些已经被攻破的防御机制。

Mar, 2020

通过解决凸松弛，可以证明神经网络对抗性示例的鲁棒性。最近，提出了一种基于半定编程松弛的较少保守的鲁棒性证明方法。本文提出一种几何技术，用于确定该SDP证书是否是精确的，并在单隐藏层下证明该证书的精确性，并验证其理论洞见。

Jun, 2020

提出了一个基于对抗训练和可证明的强健性验证相结合的原则性框架，用于训练可证明强健的神经网络，并开发了一个新的梯度下降技术，可以消除随机多梯度中的偏差。 通过理论分析该技术的收敛性和与现有技术的实验比较，对 MNIST 和 CIFAR-10 的结果表明，所提出的方法可以始终匹配或优于过去的方法，特别是在 MNIST 的 epsilon = 0.3时，达到了6.60％的验证测试错误率，在 CIFAR-10上达到了66.57％（epsilon = 8/255）。

Aug, 2020

IBP-R是一种新颖的验证训练算法， 使用扩大的域上的对抗攻击和正则化术语，并使用廉价的间隔边界传播来最小化非凸验证问题与其近似之间的差距。通过利用最近的分支换框架，我们展示了IBP-R获取了CIFAR-10上小扰动的最新验证鲁棒性-准确性折衷，并且比相关先前的工作训练要快得多。

Jun, 2022

本文介绍了在安全关键应用中，对抗攻击对部署最先进的分类器构成重大威胁；总体上，经验证的防御方法虽然具有鲁棒性保证，但是实践中的对抗训练比较受欢迎。我们系统性地比较了这两种鲁棒性训练方法在多个计算机视觉任务中的标准错误和鲁棒错误，结果表明，在大多数任务和威胁模型下，采用凸松弛的认证训练比采用对抗训练更容易带来标准错误和鲁棒错误。此外，我们还探讨了认证和对抗训练之间的错误差距如何依赖于威胁模型和数据分布，并且除了扰动预算外，我们还确定了扰动集的形状和数据分布的隐式边缘等重要因素。本文在合成和图像数据集上进行了大量消融实验，证明我们的观点。

Jun, 2023

通过对局部化数据分布的理解，提出了一种基于几何形态的简单分类器 Box-NN，并在 MNIST 和 Fashion-MNIST 数据集上取得了对于稀疏攻击的认证稳健性方面的最新研究成果。

May, 2024