本文提出了 DiffPure， 使用扩散模型进行过去神经网络的抵御攻击，结果表明它在三个图像数据集上优于现有的对抗训练和对抗净化方法，通常差距很大。

May, 2022

证明扩散模型在网络入侵检测中净化对抗样本方面的有效性，通过对扩散参数的全面分析，识别最佳配置以最大限度地提高对抗鲁棒性而对正常性能的影响最小。重要的是，该研究揭示了扩散噪声和扩散步骤之间的关系，对该领域具有重要贡献。实验在两个数据集上进行，并针对 5 种对抗攻击进行了测试。实现代码公开可用。

Jun, 2024

对扩散净化方法进行了系统性探索，提出了一种新的扩散净化算法 Purify++，是目前对多种对抗攻击具有最先进防御效果的方法。

Oct, 2023

基于扩散的对抗净化技术 MimicDiffusion 直接近似扩散模型的生成过程，以清晰图像作为输入，通过分析使用清晰图像和对抗样本时的引导项的差异，通过曼哈顿距离和两种引导策略净化对抗扰动，逼近清晰扩散模型，实验证明 MimicDiffusion 显著优于现有算法，在 CIFAR-10、CIFAR-100 和 ImageNet 三个数据集上的平均鲁棒准确率分别提高了 18.49%、13.23% 和 17.64%。

Dec, 2023

本文提出了一种新颖的净化方法，即导向扩散模型净化（GDMP），旨在帮助保护深度神经网络分类器免受对抗攻击的影响。在各种数据集上进行的广泛实验表明，所提出的 GDMP 将由对抗攻击引起的扰动降至浅层范围，从而显着提高了分类的正确性，并提高了 5％的鲁棒性。

May, 2022

提出了一种新方法 AdvDiff，使用扩散模型生成无限制的对抗样本，并通过两种新的对抗引导技术在扩散模型的逆生成过程中进行对抗采样，实现了高质量、逼真的对抗样本生成。实验证明，AdvDiff 在攻击性能和生成质量方面优于基于 GAN 的方法。

Jul, 2023

本文采用最新的扩散模型来改善对抗训练并且在 RobustBench 上取得了最先进的性能，并且使用生成数据即可实现，达到了 70.69％和 42.67％的鲁棒准确率。

Feb, 2023

我们提出了一种具有逆向过程的鲁棒性指导方法，该方法独立于预训练的扩散模型，在不重新训练或微调扩散模型的情况下实现了对抗训练策略，保留了更多的语义内容，并减轻了扩散模型的准确性和鲁棒性之间的权衡，从而为基于扩散模型的对抗净化方法提供了对新攻击的高效适应能力。通过大量实验证实，我们的方法达到了最先进的结果，并展现了对不同攻击的泛化能力。

Mar, 2024

这篇论文提出了一种新的重建方法，利用扩散模型来保护机器学习分类器免受对抗攻击，而无需对分类器本身进行任何修改。

Sep, 2023

本文提出了 DisDiff（Disrupting Diffusion），一种破坏扩散模型输出的新型对抗攻击方法。通过运用 Cross-Attention Erasure 模块来显式 “擦除” 指示的注意力图，并分析扩散模型的采样过程对 PGD 攻击的影响，引入了一种新颖的 Merit Sampling Scheduler 来自适应地调节扰动更新振幅。在两个面部基准和两个常用的提示场景上，我们的 DisDiff 方法在 FDFR 分数上优于现有方法 12.75％，在 ISM 分数上优于现有方法 7.25％。

May, 2024