深度神经网络的关键问题之一是对抗性攻击和转移性，考虑到安全性和未来的发展，需要加强对抗性漏洞的防御。

Oct, 2023

本文提出了一种翻译不变攻击方法，该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例，并表明该方法通常适用于任何梯度攻击方法。作者在 ImageNet 数据集上广泛实验验证了该方法的有效性，并证明该攻击技术的存在不安全性。

Apr, 2019

通过对现有对抗性攻击的仔细研究，我们提出了一系列技巧来增强对抗性传递性，包括动量初始化、计划的步长、双重示例、基于频谱的输入变换和几种集成策略。在 ImageNet 数据集上的大量实验验证了我们提出的技巧的高效性，并表明结合它们可以进一步增强对抗性传递性。我们的工作提供了实用的见解和技术，以增强对抗性传递性，并通过简单的调整指导提高对现实世界应用的攻击性能。

Jan, 2024

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018

本文首次对大规模数据集和大型模型进行了对抗样本的可迁移性的研究，同时也是首次研究了设计有目标的对抗样本在其目标标签之间的可转移性。通过新颖的集成方法，本文发现大量有目标的对抗样本可以成功地与其目标标签一起转移，并且这些使用集成方法生成的对抗样本可以成功地攻击黑匣子图像分类系统 Clarifai.com。

Nov, 2016

本研究首次证明存在领域不变的对抗性攻击，提出了一个用于在不同领域中高度转移的攻击框架，核心是一个可生成网络，具有相对论监督信号，能够实现领域不变的扰动。该方法在白盒和黑盒情况下均创新了欺骗率的最佳性能，并且尽管它是一个无实例特定扰动的函数，但优于传统上更强的实例特定攻击方法。

May, 2019

在攻击模型的黑盒情况下，特别是在有防御机制的情况下，传统的对抗攻击往往会表现出弱的可迁移性。本文提出了一种新的名为方差调整的方法来改善梯度攻击的可迁移性，并在标准 ImageNet 数据集上证明了该方法的有效性，成功率平均提高了 85.1％。

Mar, 2021

本文研究对抗攻击在神经网络领域中的应用，通过数学证明，探索了加入噪声的输入转换与转移对抗性样本的关系。

Jun, 2022

本文提出测量对抗样本空间维度的新方法，发现对抗性子空间在很大的维度上相互重叠并且共享在不同模型之间，通过探究模型决策边界的相似性和转移攻击的局限性，本文表明可能存在抵抗传输攻击的防御方法。

Apr, 2017

本研究提出一种称为 StyLess 的对抗攻击方法，通过使用包含不同风格特征的样式化网络，以及利用自适应实例标准化来编码不同的风格特征，从而生成具有可转移性的扰动，以此提高对抗样本的攻击传递能力，并在与其他攻击技术结合时优于现有的攻击方法。

Apr, 2023