本文提出了零阶优化的黑盒攻击方法，该方法不需要训练替代模型而直接估计目标 DNN 的梯度来生成对抗性例子，实验结果表明该攻击方法在 MNIST、CIFAR10 和 ImageNet 的数据集上与白盒攻击方法效果相当且明显优于现有的替代模型的黑盒攻击方法。

Aug, 2017

本文提出了一种针对黑盒模型的防御式操作，通过基于降噪平滑和零阶优化的方法，将自编码器与模型结合，并在此基础上设计了 ZO-AE-DS，该方法在图像分类和重建任务上表现出更好的准确性、可靠性和查询复杂度。

Mar, 2022

本篇文章提出了一种证明 ZO 预处理技术，使用仅基于模型查询的黑盒模型，通过提前将 RDUNet 附加到黑盒模型中来确保黑盒模型对高维数据集进行训练时的鲁棒性，进而提出了 DS 和 AE-RUDS 两种新的黑盒防御机制，并在四个分类数据集上进行了广泛实验，结果表明我们的提出的方法 ZO-RUDS 和 ZO-AE-RUDS 大幅度击败了 SOTA。

Apr, 2023

本文提出了零阶自然梯度下降（ZO-NGD）方法，以设计对抗性攻击，通过采用零阶梯度估计技术和二阶自然梯度下降方法，在黑盒攻击场景中提高查询效率，并在图像分类数据集上进行实证评估，证明 ZO-NGD 相对于现有攻击方法可以获得显著的模型查询复杂度降低。

Feb, 2020

采用交替方向乘数法 (ADMM) 作为基础框架，结合零阶优化 (ZO) 和贝叶斯优化 (BO) 等技术，提出了两种新的黑匣子对抗攻击方法 ZO-ADMM 和 BO-ADMM，用于各种扭曲度量和反馈设置，相较于现有攻击方法，该方法能够以较低的查询复杂度取得更高的攻击成功率。在图像分类数据集上进行的实证研究证明了该方法的有效性。

Jul, 2019

本文提出了一个基于 Hessian 矩阵的零阶优化算法 ZO-HessAware，用于黑盒对抗攻击，该算法的实验证明在结构化 Hessian 逼近的情况下，具有更好的零阶收敛率和查询复杂度。

Dec, 2018

本文探究了 DNN 的黑盒攻击方案，使用现有的白盒攻击方法产生的采样样本进行训练替代模型，并提出主动学习策略和多样性准则以优化其表现，实验证明该方法可以将查询数量减少超过 90% 并保持黑盒攻击成功率。

Sep, 2018

本研究介绍了一种名为 Adversarial Zoom Lens（AdvZL）的新型物理对抗攻击技术，使用变焦镜头对物理世界中的图像进行缩放，从而欺骗深度神经网络，同时不会改变目标对象的特征。通过数字环境和物理环境的实验证明了该方法的有效性，并提出了对抗训练的防御建议。还探讨了该方法对未来自动驾驶的威胁可能性以及类似所提出攻击的变种威胁思路。

Jun, 2022

本文提出了一个零样本敌对量化（ZAQ）框架，利用两级子空间分别描述数据分布的不同特征，通过生成对抗网络驱动生成器合成出优化量化模型的多样性数据示例，实现对全精度模型到其量化模型的有效差异估计和知识转移。在三个基本的视觉任务上进行了广泛实验，证实了 ZAQ 在零样本量化方面的卓越性，并验证了其主要组成部分的有效性。

Mar, 2021

该篇论文利用双自编码器 [dual-autoencoder] 和度量学习 [metric learning] 方法，通过资产级图谱特征 [asset-level graph features] 检测网络流量中的零日威胁 [zero-day threats]，在已知攻击类型的情况下实现多类分类 [multiclass classification]，可在潜在空间 [latent space] 中显示最近的已知攻击类别类，有望为威胁猎人节省时间。

Nov, 2022