使用 JPEG 压缩作为分类管道中的预处理步骤，可以在对抗性攻击中起到作用，通过移除高频信号成分从而消除加性扰动。我们还提出了一种基于集合的技术，该技术可以快速构建一个性能良好的 DNN 集成，通过利用 JPEG 压缩来保护模型免受多种类型的对抗性攻击，而不需要了解模型。

May, 2017

研究深度神经网络在分类对抗图像时的安全风险，发现对于 Fast-Gradient-Sign 干扰强度较小的对抗图片，进行 JPG 压缩可以较大程度地逆转分类准确度下降效果，但随着干扰强度的增加，仅进行 JPG 重新压缩就不足以消除其效果。

Aug, 2016

对利用学习型图像压缩器作为预处理模块的图像分类模型进行了具有增强传递性的对抗攻击方法的探索与实验。

Jan, 2024

本研究提出了一个名为 Shield 的防御框架，利用 JPEG 压缩和不同压缩级别生成多个被疫苗化的模型来加固深度神经网络模型并保护其免受外部攻击。实验结果表明，Shield 在抵御最新、最强攻击方面的表现优异，能够消除高达 94% 的黑箱攻击和 98% 的灰箱攻击。

Feb, 2018

本文通过白盒和黑盒攻击展示了当输入图像发生微小扰动时，现有的深度学习图像压缩系统容易受到攻击。为此，我们提出了一种新的压缩架构 factorAtn，它结合了注意力模型和因式熵模型，取得了更好的性能表现。

May, 2022

基于卷积自编码器的方法提高目标分类器对抗性攻击的鲁棒性，通过生成与输入图像相似的图像来恢复模型的准确性。

Dec, 2023

使用变分自编码器的防御策略抵御深度神经网络在图片分类任务中的对抗性攻击。这个防御系统具有灵活性、可学习分解表示以及基于像素块不需要针对不同尺寸的图片进行重新训练等特性，并在中度到严重的攻击情况下，明显胜过 JPEG 压缩及其最优参数，同时仍有提升空间。

Dec, 2018

该文章提出了一种直接部署到标准深度神经网络模型中的简单方法，通过引入两个经典图像处理技术，标量量化和平滑空间滤波，将图像中的扰动降低到最小，使用图像熵作为度量标准，可以有效地检测出对基于多种攻击技术的先进深度学习模型的 20,000 多个对抗样本，最终的实验结果表明，该检测方法可以取得 96.39％的高整体 F1 评分。

May, 2017

本文探讨了针对文档和自然数据的对抗攻击方法，并通过对 ResNet50 和 EfficientNetB0 模型架构的对抗训练、JPEG input 压缩和灰度输入变换等方法的研究， 对文件图像分类任务中这些攻击的影响进行了评估。

Apr, 2023

本文提出了一个有效的图像增强方法，通过深度图像恢复网络来将离散的对抗噪声样本转换回自然图像流形，从而提高对抗性的鲁棒性，同时提高图像质量和保持干净图像上的性能表现。

Jan, 2019