对于建立在神经网络上的许多关键系统来说，对抗性例子构成了一种安全威胁。尽管确定性鲁棒性通常会导致显著的准确性下降，但已提出概率鲁棒性（即在给定区域内具有相同标签的概率≥1-κ）是实现鲁棒性同时保持准确性的一种有前景的方法。然而，现有的用于概率鲁棒性的训练方法仍然存在着不可忽视的准确性损失。目前尚不清楚在优化概率鲁棒性时是否存在准确性的上界以及 κ 与此上界之间是否存在某种关系。本研究从贝叶斯误差的角度研究了这些问题。我们发现，尽管贝叶斯不确定性确实影响了概率鲁棒性，但其对确定性鲁棒性的影响要小。这种减小的贝叶斯不确定性允许在概率鲁棒性准确性上具有更高的上界，而这个上界要高于确定性鲁棒性的上界。此外，我们证明了在最佳概率鲁棒性下，每个具有概率鲁棒性的输入在一个较小的邻域内也是具有确定性鲁棒性的。我们还表明，在邻域内进行投票总是提高概率鲁棒性准确性，并且随着 κ 的增加，概率鲁棒性准确性的上界也单调增加。我们的实证结果也与我们的结论一致。

May, 2024

通过提出一种新的方法，同时追求高准确性和具有认证的概率鲁棒性，我们的实验显示该方法在多个模型和数据集上的认证率和准确性方面明显优于现有方法。

Sep, 2023

在此研究中，我们提出了一种基于自适应认证半径训练的新方法，旨在在保持高标准准确性的同时，提高模型的鲁棒性和准确性，从而推进现有准确性与鲁棒性的权衡。我们在 MNIST、CIFAR-10 和 TinyImageNet 数据集上验证了该方法的有效性，尤其在 CIFAR-10 和 TinyImageNet 上，与基准方法相比，我们的方法在相同标准准确性水平下能够提供高达两倍的鲁棒性。

Jul, 2023

通过贝叶斯学习的视角考虑深度神经网络的对抗训练，并提出了一种具有可证明保证的贝叶斯神经网络（BNN）的对抗训练的原则性框架。该方法可在 MNIST、FashionMNIST 和 CIFAR-10 上训练出可证明鲁棒性的模型，并用于不确定性校准。这是第一次直接训练可证明的 BNN，可促进在安全关键应用中的部署。

Feb, 2021

本文介绍了在安全关键应用中，对抗攻击对部署最先进的分类器构成重大威胁；总体上，经验证的防御方法虽然具有鲁棒性保证，但是实践中的对抗训练比较受欢迎。我们系统性地比较了这两种鲁棒性训练方法在多个计算机视觉任务中的标准错误和鲁棒错误，结果表明，在大多数任务和威胁模型下，采用凸松弛的认证训练比采用对抗训练更容易带来标准错误和鲁棒错误。此外，我们还探讨了认证和对抗训练之间的错误差距如何依赖于威胁模型和数据分布，并且除了扰动预算外，我们还确定了扰动集的形状和数据分布的隐式边缘等重要因素。本文在合成和图像数据集上进行了大量消融实验，证明我们的观点。

Jun, 2023

通过权重区间采样的计算框架，对贝叶斯神经网络（BNNs）的鲁棒性进行了证明，包括在分类及回归等多种任务中的使用。

Jun, 2023

通过评估理论限制，我们研究了神经网络在分类任务中确定稳定性和准确性的保证限制。我们考虑经典的分布无关框架和最小化经验风险的算法，同时受到一些权重正则化的约束。我们展示了一个庞大的任务集，对于这些任务，在给定的神经结构类中计算和验证理想的稳定和准确的神经网络是极其具有挑战性的，即使在这样的理想解在给定的神经结构类中是可行的。

Sep, 2023

该研究探讨了虚假分类样本导致的不一致性，并通过添加新的一致性正则化项来更好地利用虚假分类样本，提出了一种新的防御规则项，称为 Misclassification Aware Adversarial Regularization（MAAR），在 CIFAR-10 和 MNIST 数据集上实现了最佳的认证鲁棒性和可比较的准确性。

Dec, 2020

该研究提出了一种概率证明框架 PROVEN，用于验证神经网络在输入加噪时的鲁棒性，可证明分类器的 top-1 预测在受限的 Lp 范数扰动下不会发生改变，证书是基于现有的神经网络鲁棒性验证框架，该方法在 MNIST 和 CIFAR 神经网络模型的实验中取得了 75% 的提升。

Dec, 2018

通过在网络中加入全局 Lipschitz 边界，文中提出的方法可以快速训练大型强健的神经网络，实现了可证明的最先进的可验证准确性。同时，该方法比最近的可证方法需要的时间和内存少得多，并在在线认证时产生可忽略的成本。

Feb, 2021