探讨了采用图像转换策略，如降低位深、JPEG 压缩、总变量最小化和图像镶嵌等方法，以防御对图像分类系统的对抗性攻击。在 ImageNet 上的实验表明，总变量最小化和图像拼接是非常有效的防御方法，在网络对转换后的图片进行训练时表现尤为突出。最好的防御方法可以消除各种主要攻击方法的 60% 的强度灰盒和 90% 的强度黑盒攻击。

Oct, 2017

本论文提出了一种基于数据增强的解决方案，以防止敌对方从共享的梯度中恢复训练数据，文中使用创新的搜索方法发现数据增强策略，并使用两个新的度量指标来评估策略的影响，实验结果表明该方法能够高效地击败现有的重建攻击，对模型性能影响微不足道。

Nov, 2020

提出了一种可学习的数据变换方法，将数据嵌入语义空间，以检测异常值，此方法在时间序列和表格数据方面表现优异。

Mar, 2021

提出了一种新的基于降维的隐私保护方法，该方法可生成经过降维的数据以执行机器学习任务，并防止强敌从中重构原始数据。在三个不同的人脸图像数据集上进行实验，结果显示当将维数降低到七时，可以分别实现 79％、80％和 73％的准确率，并且重构后的图像肉眼不可识别。

Feb, 2019

通过考虑简化的攻击特征空间模型来设计鲁棒的人工智能模型，可以在检测 PDF 格式恶意软件时提高效果。在研究中发现，仅依靠特征空间模型的效果有限，但增加保留特征可以显著提高性能。此外，当面临各种恶意软件的攻击时，特征空间模型具有更广泛的鲁棒性。

Aug, 2017

本文研究了机器学习在安全敏感应用中的应用，提出了一种基于梯度的方法来评估分类算法在对抗攻击下的安全性，并针对 PDF 文件中的恶意软件检测任务进行了实验，同时提出了一些相应的反制措施。

Aug, 2017

ML 在安全性方面存在漏洞，提出威胁模型并对攻击进行分类，探究了模型准确性与抗敌对操作的关系。

Nov, 2016

本文分析了 375 个生成的对抗补丁，并计算了其主成分，结果表明这些成分的线性组合可以成功地欺骗目标检测器。

Jun, 2023

通过研究变换式集成防御在图像分类中的有效性和原因，本文设计两种自适应攻击方法，揭示了对抗样本传递性的存在，变换式集成防御的鲁棒性收益受到限制，而这种限制主要来自于不可逆变换而非模型集成。

Sep, 2020

本文研究了通过对图像的基函数表示进行操作来防御深度学习中的对抗攻击的效果，发现 JPEG 压缩和低通滤波有较高的防御效果，并提出了一种新的基于白盒攻击的数学推导方法。

Mar, 2018