使用 JPEG 压缩作为分类管道中的预处理步骤，可以在对抗性攻击中起到作用，通过移除高频信号成分从而消除加性扰动。我们还提出了一种基于集合的技术，该技术可以快速构建一个性能良好的 DNN 集成，通过利用 JPEG 压缩来保护模型免受多种类型的对抗性攻击，而不需要了解模型。

May, 2017

基于高频信息增强策略，提出了一种针对对抗性样本的检测框架，可以在不修改现有检测模型的情况下，提高检测器的性能和降低部署成本。

May, 2023

本研究介绍了一种防御机制，名为防御蒸馏，用于减少对深度神经网络的对抗样本的影响，并通过理论和实验证明了该机制在培训深度神经网络时具有通用性和鲁棒性。

Nov, 2015

该文章提出了一种直接部署到标准深度神经网络模型中的简单方法，通过引入两个经典图像处理技术，标量量化和平滑空间滤波，将图像中的扰动降低到最小，使用图像熵作为度量标准，可以有效地检测出对基于多种攻击技术的先进深度学习模型的 20,000 多个对抗样本，最终的实验结果表明，该检测方法可以取得 96.39％的高整体 F1 评分。

May, 2017

该研究提出了一种新的策略，即特征压缩，用于检测对深度神经网络模型的对抗性攻击，通过减小搜索空间，该方法显著提高了攻击检测的准确性和少量误报率，并结合其他防御方法，可对抗最先进的攻击。

Apr, 2017

利用自适应 JPEG 编码器来增强深度神经网络对抗性攻击的鲁棒性，不仅可以保持图像的视觉质量，而且无需更改分类器并且压缩图像可以被非定制的 JPEG 解码器解压。

Mar, 2018

本研究介绍了新型攻击算法，证明了防御蒸馏并不能显著提升神经网络的强度，提供了高置信度的对抗性样本用于简单的可迁移性测试，该测试可以用于破解防御蒸馏。

Aug, 2016

探讨了采用图像转换策略，如降低位深、JPEG 压缩、总变量最小化和图像镶嵌等方法，以防御对图像分类系统的对抗性攻击。在 ImageNet 上的实验表明，总变量最小化和图像拼接是非常有效的防御方法，在网络对转换后的图片进行训练时表现尤为突出。最好的防御方法可以消除各种主要攻击方法的 60% 的强度灰盒和 90% 的强度黑盒攻击。

Oct, 2017

对利用学习型图像压缩器作为预处理模块的图像分类模型进行了具有增强传递性的对抗攻击方法的探索与实验。

Jan, 2024

本研究提出了一个名为 Shield 的防御框架，利用 JPEG 压缩和不同压缩级别生成多个被疫苗化的模型来加固深度神经网络模型并保护其免受外部攻击。实验结果表明，Shield 在抵御最新、最强攻击方面的表现优异，能够消除高达 94% 的黑箱攻击和 98% 的灰箱攻击。

Feb, 2018