本研究使用对抗扰动来增强 Deepfake 图像，欺骗普通 Deepfake 检测器。我们使用 Fast Gradient Sign Method 和 Carlini 和 Wagner L2 范数攻击在黑盒和白盒设置中创建对抗性扰动。我们还探讨了两种深度伪造检测器的改进：1. 李普希茨正则化；2. 深度图像先验（DIP）。

Mar, 2020

本文研究了卷积神经网络的隐藏变量作为感知相似度度量的有效性，发现自学习的感知相似度度量（LPIPS）容易受到对抗样本的攻击，但无限家族随机变换的自增强技术可以使度量鲁棒性提高，同时保持对人类判断的预测能力，并发现自增强度量空间中的 “感知凸性” 现象，即相似图像的凸组合保留外观，离散测地线产生有意义的帧插值和纹理变形。

Jun, 2019

通过对抗训练的深层特征，我们提出了一种新的强鲁棒学习感知图像块相似度（R-LPIPS）度量，通过全面的实验，我们证明了 R-LPIPS 相比于经典的 LPIPS 度量的优越性。

Jul, 2023

通过对敌对学习及攻击的深入探究，我们发现在敌对性训练的模型中，用微小的随机噪声扰动部分攻击样本能够破坏其误导性预测，为此我们提出了一种有效的防御方法，是通过制造更加有效的防御扰动方法，利用敌对训练降低了地面真实的局部 Lipschitzness，同时攻击所有类别，将误导的预测转换为正确的预测，这种方法在经验实验证明有效。

Jun, 2021

本文提出了一种有效的 Robust Adversarial Perturbation（R-AP）方法，通过攻击 Region Proposal Network（RPN）的普遍组件，来通用地降低深度自学习物体检测器和实例分割算法的性能，并在 MS COCO 2014 数据集上进行实验，结果表明该方法具有很高的有效性。

Sep, 2018

研究表明采用对抗性图像扰动（AIP）可以在不影响图像质量的情况下有效地混淆识别系统，但未知对策时 AIP 效果不确定，因此引入了博弈论框架来研究用户和识别器之间的交互，并推导出用户的最优策略以确保识别率上限是独立于识别器的对策选择的。

Mar, 2017

论文提出了一种名为 ILPD 的新方法，通过单一阶段的优化过程，鼓励中间层扰动同时具有有效的对抗方向和巨大的幅度，以构建对抗性样本。实验结果表明，该方法在攻击各种受害者模型方面的性能大大优于现有技术，其中在 ImageNet 上平均提高了 10.07％，在 CIFAR-10 上平均提高了 3.88％。

Apr, 2023

本研究通过使用交叉熵符号等简单方法，生成有效的区域性对抗扰动，这些局部攻击可能比非本地对抗例子需要更少的扰动，从而潜在地破坏了在 $L_p$ 范数下具有稳健性的防御。

Jul, 2020

本文研究对抗机器学习中的 $RP_2$ 攻击，并提出一种名为 BlurNet 的防御方法，该方法通过低通滤波来减少噪声，并采用正则化策略将其融入网络训练过程中，进而显著提高抵御攻击的能力。

Aug, 2019

本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020