使用 JPEG 压缩作为分类管道中的预处理步骤，可以在对抗性攻击中起到作用，通过移除高频信号成分从而消除加性扰动。我们还提出了一种基于集合的技术，该技术可以快速构建一个性能良好的 DNN 集成，通过利用 JPEG 压缩来保护模型免受多种类型的对抗性攻击，而不需要了解模型。

May, 2017

利用自适应 JPEG 编码器来增强深度神经网络对抗性攻击的鲁棒性，不仅可以保持图像的视觉质量，而且无需更改分类器并且压缩图像可以被非定制的 JPEG 解码器解压。

Mar, 2018

对利用学习型图像压缩器作为预处理模块的图像分类模型进行了具有增强传递性的对抗攻击方法的探索与实验。

Jan, 2024

通过使用 JPEG2000 压缩作为一种替代方法，系统地比较了使用不同目标 PSNR 值和最大压缩级别的 JPEG 和 JPEG2000 压缩的对抗性图像的分类性能，实验表明，JPEG2000 更有效地减少了对抗性噪声，允许更高的压缩率和更少的失真，并且不会引入阻塞伪影。

Mar, 2018

本文研究了 JPEG 压缩对常见计算机视觉任务和数据集的影响，发现高度压缩会显著损害图像识别性能，进而尝试采取几种方法来缓解该损害，其中包括一种不需标签训练的基于伪影校正的新方法。

Nov, 2020

本文探讨了针对文档和自然数据的对抗攻击方法，并通过对 ResNet50 和 EfficientNetB0 模型架构的对抗训练、JPEG input 压缩和灰度输入变换等方法的研究， 对文件图像分类任务中这些攻击的影响进行了评估。

Apr, 2023

通过引入语义感知扰动来生成有效和逼真的对抗性样本，该方法在复杂数据集（如 ImageNet 和 MSCOCO）上针对图像分类和图像字幕任务进行了有效应用，且经综合用户研究证明其较其他攻击更为逼真。

Apr, 2019

通过梯度方法可以发现虚假的区域，该文认为这些区域不是弱点而是优势，提出了一种通过检测这些区域的方法来成功检测出对抗攻击的方法，在攻击者完全了解检测机制的情况下，实现了前所未有的准确性。

Oct, 2019

本文通过白盒和黑盒攻击展示了当输入图像发生微小扰动时，现有的深度学习图像压缩系统容易受到攻击。为此，我们提出了一种新的压缩架构 factorAtn，它结合了注意力模型和因式熵模型，取得了更好的性能表现。

May, 2022

本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020