提出了一个基于神经网络中间层激活的 k - 最近邻（kNN）的防御机制来对抗对手样本，该方案在 MNIST 和 CIFAR-10 上的 l2 扰动上超过了最先进的防御措施，我们的模型在 MNIST 上是 3.07，CIFAR-10 为 2.3。此外，我们提出了一种简单的可辨认下界，该下界是在 Lipschitz 网络学习的表示的基础上，用 1-NN 实现的，我们的模型提供与其他具有类似准确度的 MNIST 的方案相当的平均下界。

Jun, 2019

本篇论文的研究内容为：计算最小对抗性扰动的问题。研究者们提出了第一个能够计算最小对抗性扰动的算法，将问题用凸二次规划问题的列表进行了表示，用于 1-NN 模型的算法能够有效地解决这个问题。对于更大的 $K$-NN 模型，我们表明同样的表示形式可以帮助我们有效地计算最小对抗性扰动的上限和下限，这可用于攻击和验证。

Jun, 2019

本文提出了一种实例自适应对抗训练技术，通过在每个训练样本周围施加特定的扰动边缘来实现更好的泛化能力和测试准确性。

Oct, 2019

对抗扰动将图像离开图像流形。通过对上亿张网络图像数据库的最近邻搜索来近似将图像移回到流形，实现了对抗图像的有效防御，但防御与准确性之间存在权衡，并且需要一个大型图像数据库以及对图像数据库的仔细构建才能在抵御攻击方面足够强大。

Mar, 2019

提出了一种使用单独的学习类条件数据分布来执行分析合成的新型鲁棒性分类模型，其在 MNIST 数据集上对 L0，L2 和 L 无穷小扰动都具备最先进的鲁棒性，攻击结果在正常类和对抗类之间呈现明显的感知边界。

May, 2018

本文针对分类器的测试攻击问题，引入了一种理论框架，类似于偏差 - 方差理论，并使用该框架对一种典型的非参数分类器 - k 最近邻分类器的鲁棒性进行了分析，并提出了一种新的修改的 1 最近邻分类器，其在大样本极限下具有良好的鲁棒性。

Jun, 2017

本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020

本文提出了一种网络权重初始化的方法，使其能够在更高噪声水平下学习，同时评估了在 MNIST 和 CIFAR10 数据集上增强对抗噪声对学习范围的影响，并通过对简单多维伯努利分布的理论结果进行研究，提出了一些关于 MNIST 数据集可行扰动范围的见解。

Mar, 2020

本文提出了一种针对深度神经网络的对抗攻击的检测方法，使用影响函数来测量每个训练样本对于验证集数据的影响力，并通过在激活层上拟合 k-NN 模型来寻找最有支持性的训练样本，最后使用 k-NN 排名和距离训练一个对抗检测器成功地区分了六种攻击方法和三个数据集的对抗样本，取得了最先进的结果。

Sep, 2019

本文探讨了对抗性训练的有效性以及在减少通用扰动和提高模型性能之间的平衡问题，并在图像分类和语义分割方面展示了结果。

Dec, 2018