本研究证明 BatchNorm 在对抗攻击下表现脆弱的原因和提出了新的对抗攻击下稳健的正则化方法 RobustNorm。实验证明使用 RobustNorm 的深度神经网络在对抗环境下表现更好。

Jun, 2020

本文提出了一种称为自适应批量归一化（AdaBN）的方法来提高深度神经网络的泛化能力，无需额外组件或参数，并证明其在领域适应任务和现有方法相结合时具有卓越的性能表现。

Mar, 2016

通过研究对抗训练的诊断要素，本文发现了两个有趣的性质：一是在对抗训练中批量归一化可能会阻碍网络获得强鲁棒性，而分别对训练集中的干净图片和对抗图片进行归一化可以提高鲁棒性；二是相较于传统分类任务，对抗学习对更深的网络层级有更高的需求，这一点可以通过增加网络容量来实现。

Jun, 2019

提出了一种新算法，使用贝叶斯神经网络模型和模型分布的学习来训练神经网络以提高其对抗攻击的鲁棒性，在实验中取得了最先进的效果。

Oct, 2018

在对抗训练中应用批归一化（BN）时存在越来越多的关注，尤其是当模型在对抗样本和干净样本上进行训练时（即混合式对抗训练）；本研究揭示了统计数据的分离对模型训练起到的作用较小，而分离仿射参数则起到了更大的作用；通过研究表明对抗样本与干净样本之间的领域差距较小，这与对抗扰动对模型准确性的显著影响不一致；我们进一步提出了一个双任务假设，作为混合式对抗训练改进的经验证据和统一框架；同时，我们还探讨了测试时的对偶 BN 并揭示仿射参数在推理过程中刻画了模型的鲁棒性，从而为我们理解混合式对抗训练中对偶 BN 的机制及其潜在的理论基础提供了新的视角。

Mar, 2024

通过对特征统计数据直接进行扰动，我们提出了 Adversarial Batch Normalization (AdvBN) 方法，它是一种单一的网络层，可以在训练期间生成最差情况下的特征扰动。通过在扰动的特征分布上对神经网络进行微调，我们观察到网络对各种不可见的分布偏移，包括样式变化和图像损坏，具有更好的鲁棒性。此外，我们证明我们提出的对抗性特征扰动可以与现有的图像空间数据增强方法互补，从而实现改进性能。

Sep, 2020

Liu 等人最近的一篇论文结合了对抗训练和贝叶斯神经网络（BNN）的主题，并建议对抗性训练的 BNN 比其非贝叶斯对应物更能抵御对抗攻击。在此，笔者分析了所提出的防御，并建议需要调整对抗攻击，以融入贝叶斯网络的随机性质，以对其稳健性进行准确评估。使用这种新型攻击，我表明对抗性训练的 BNN 似乎没有更强的稳健性证据。

Jul, 2019

测试时间适应（TTA）已成为解决测试数据训练和测试之间意外分布变化导致性能下降的有希望的方法。本研究提出中位数批归一化（MedBN）来应对 TTA 中的恶意示例对模型造成的潜在威胁，通过在测试推理期间的批归一化层中利用中位数来进行统计估计。我们的实验结果表明，MedBN 在维护不同攻击场景下的鲁棒性表现方面优于现有方法，且在无攻击情况下仍能保持良好的性能。

Mar, 2024

本研究分析批量标准化在深度神经网络中的影响，提出通过分离鲁棒性和有效性来评估其对神经网络的贡献，并探究其对于特征鲁棒性的贡献程度以及其对于黑盒攻击的可重用性。

Oct, 2020

本文提出了一种名为对抗变换网络（ATN）的新方法，其快速执行并提供出色的输出多样性，并在多个分类器上分析了其有效性。该方法旨在通过对简陋的模拟数据进行自我监督训练，生成最小化修改分类器输出的对抗性示例，同时限制新分类器以匹配对抗性目标类别。

Mar, 2017