本文提出两个方法以提高PGD攻击的效率，进而结合现有方法构成一个全新的攻击集合，用于测试对抗鲁棒性，并在50多个模型上进行了测试，发现一些已经被攻破的防御机制。

Mar, 2020

本研究提出了一种新的初始化策略通过随机平滑过程实现单步的快速对抗训练，相较于原来的算法具有更好的稳定性和模型鲁棒性。实验结果表明，该方法可以在更短的训练时间内实现类似TRADES方法的模型稳健性。

Oct, 2020

在攻击模型的黑盒情况下，特别是在有防御机制的情况下，传统的对抗攻击往往会表现出弱的可迁移性。本文提出了一种新的名为方差调整的方法来改善梯度攻击的可迁移性，并在标准ImageNet数据集上证明了该方法的有效性，成功率平均提高了85.1％。

Mar, 2021

本文提出离散对抗攻击的在线增强方法，使用基于最佳优先搜索和随机抽样的攻击策略来生成对抗性样本，结果表明使用随机抽样方法能够显著提高鲁棒性，而且比之前使用的离线增强方法速度提高了约10倍。

Apr, 2021

通过对敌对学习及攻击的深入探究，我们发现在敌对性训练的模型中，用微小的随机噪声扰动部分攻击样本能够破坏其误导性预测，为此我们提出了一种有效的防御方法，是通过制造更加有效的防御扰动方法，利用敌对训练降低了地面真实的局部Lipschitzness，同时攻击所有类别，将误导的预测转换为正确的预测，这种方法在经验实验证明有效。

Jun, 2021

本文提出一种名为自适应自动攻击 (Adaptive Auto Attack) 的对抗攻击防御评估方法，旨在提高测试时训练的效率和可靠性，通过自适应的初始化和在线统计抛弃策略，使其消耗远少于现有方法的迭代数，并在广泛使用的防御模型上表现出更低的鲁棒性。

Mar, 2022

本文提出了一种简单而有效的基于迁移学习的对抗性训练策略，该策略将对抗样本的负面影响与模型的标准性能分离开来，引入了一种训练友好的对抗攻击算法，同时保持了模型对干净数据的标准性能，从而提高了模型的鲁棒性。

Apr, 2022

通过对输入进行敌对扰动（即人类感知不到的人工噪音），深度神经网络容易产生错误预测。迄今为止，敌对训练已成为对抗性攻击最成功的防御方式。本文聚焦于改进敌对训练以提高对抗性强度，提出了一种新的敌对训练方法ISEAT，它通过自适应、实例特定的方式同时平滑输入和权重损失景观以增强鲁棒性，证明与现有防御方法相比，该方法具有显著的优越性。

Mar, 2023

本文研究在对抗环境下如何调整超参数，通过实验发现需要在标准和对抗训练阶段独立地调整超参数，提出利用廉价对抗训练和多保真度优化器来降低鲁棒性模型的超参数调整的成本。

Apr, 2023

论文提出了一种名为 ILPD 的新方法，通过单一阶段的优化过程，鼓励中间层扰动同时具有有效的对抗方向和巨大的幅度，以构建对抗性样本。实验结果表明，该方法在攻击各种受害者模型方面的性能大大优于现有技术，其中在 ImageNet 上平均提高了10.07％，在 CIFAR-10 上平均提高了3.88％。

Apr, 2023