研究通过实验结果证明，通过放宽对 L-infinity 约束条件，深度神经网络的弹性网络（EAD）可以构建可传递的对抗样本，这些样本具有最小的视觉失真度。这些结果对于通过最小化 L-infinity 距离来评价对抗性攻击的视觉失真度的有效性提出了质疑，并进一步展示了 EAD 的强大能力。

Oct, 2017

本文采用 ADMM（Alternating Direction Method of Multipliers）的算子分裂优化方法来生成对抗样本，统一了 L0，L1，L2 和 L infinity 攻击的方法，与当前领先的攻击方法相比，实验结果表明本文的 ADMM-based methods 是迄今为止最强的，能够实现 100% 攻击成功率和最小扰动。

Apr, 2018

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018

本文提出了一种针对图像分类器集合的迭代式对抗攻击方法，通过此方法，在 CAAD 2018 针对性对抗攻击竞赛中获得第五名，该方法提高了黑匣子对抗攻击的成功率。

Nov, 2018

本文介绍了一种新的端到端框架来检测深度神经网络中可能存在的对抗样本，采用神经元覆盖率引导测试来分析 DNN 的密集层激活模式，以实现实时检测，能够覆盖各种类型的 DNN 架构，包括 LSTM，防御了最先进的攻击，同时提供确保无法轻易绕过的白盒自适应攻击。

Nov, 2019

本文提出了一种名为 “deep defense” 的训练方法来解决深度神经网络易受到对抗样本攻击的问题，通过将对抗扰动的正则化器与分类目标相结合，得到的模型能够直接且准确地学习抵御潜在的攻击，实验证明该方法在不同数据集上对比对抗 / Parseval 正则化方法有更好的效果。

Feb, 2018

该研究提出了一种新的对抗样本攻击方法，考虑到人类感知系统并最大化制作的对抗样本的噪声容忍度，实验结果证明了该技术的有效性。

Jan, 2018

本文提出了 Adversarial Lightness Attack (ALA) 方法，通过非限制性编码生成高质量图像的无限制对抗样本，该方法在 ImageNet（图像分类）和 Places-365（场景分类）数据集上实现了强大的可转移性和高质量图像的生成。

Jan, 2022

通过分析正常和对抗攻击样本的深度神经网络表示之间的差异，研究了对抗攻击的鲁棒性和现有防御机制的普适性，并揭示了 L2 和 Linfinity 范数之间的显著差异。

Aug, 2023

研究使用半定松弛来提高神经网络对于小的对抗扰动的鲁棒性，并且证明了其相比于其他防御方法更加有效。

Jan, 2018