该研究提出了一种新型 Lp 范数扰动有效的对抗攻击方法，旨在减少 L0 范数失真，通过设计优化方案和引入对抗阈值概念，实现了更好的对抗稳健性和视觉不可感知性。

Jul, 2024

本文提出了一种新的基于 $l_p$-norms 的白盒对抗攻击方法，通过最小化扰动的大小来改变特定输入的类别，这个方法具有几何直观性，是一种性能优越的攻击方法，比专门针对一个 $l_p$-norm 的攻击方法具有更好的鲁棒性，并且可以解决梯度掩盖的问题。

Jul, 2019

该论文提出使用 SSIM 替代 $L_p$ 范数来衡量对抗性样本在图像分类中的感知质量，并表明这种方法比之前的方法更好，以及该方法可以用于评估防御方案的性能。

Feb, 2021

本文研究深度神经网络中的对抗样本问题，提出了一种新的扰动方法：利用空间变换生成对抗性样本以增强样本的感知逼真度，证明这种方法在现有防御系统方面更加具有挑战性，并通过可视化技术研究神经网络对不同类型对抗样本的感知。

Jan, 2018

本研究通过使用交叉熵符号等简单方法，生成有效的区域性对抗扰动，这些局部攻击可能比非本地对抗例子需要更少的扰动，从而潜在地破坏了在 $L_p$ 范数下具有稳健性的防御。

Jul, 2020

本研究系统地研究了感知相似度测量方法在面临不可察觉的对抗扰动时的鲁棒性，发现广泛采用的 LPIPS 指标也容易受到空间变换的对抗扰动的攻击，这表明对抗性样本的问题需要被深入探究。

May, 2023

提出了一个基于神经网络中间层激活的 k - 最近邻（kNN）的防御机制来对抗对手样本，该方案在 MNIST 和 CIFAR-10 上的 l2 扰动上超过了最先进的防御措施，我们的模型在 MNIST 上是 3.07，CIFAR-10 为 2.3。此外，我们提出了一种简单的可辨认下界，该下界是在 Lipschitz 网络学习的表示的基础上，用 1-NN 实现的，我们的模型提供与其他具有类似准确度的 MNIST 的方案相当的平均下界。

Jun, 2019

本文研究计算机视觉任务中对抗样本的影响，提出一种基于梯度的对抗攻击方法，通过将对抗扰动的方向和范数分离，能够在较少迭代次数（仅 100 次）内达到与当前最先进攻击方法在 L2 范数上相当的结果，进而达到对于白盒梯度攻击的鲁棒性。

Nov, 2018

研究通过实验结果证明，通过放宽对 L-infinity 约束条件，深度神经网络的弹性网络（EAD）可以构建可传递的对抗样本，这些样本具有最小的视觉失真度。这些结果对于通过最小化 L-infinity 距离来评价对抗性攻击的视觉失真度的有效性提出了质疑，并进一步展示了 EAD 的强大能力。

Oct, 2017

提出了一种使用单独的学习类条件数据分布来执行分析合成的新型鲁棒性分类模型，其在 MNIST 数据集上对 L0，L2 和 L 无穷小扰动都具备最先进的鲁棒性，攻击结果在正常类和对抗类之间呈现明显的感知边界。

May, 2018