本文研究深度神经网络中的对抗样本问题，提出了一种新的扰动方法：利用空间变换生成对抗性样本以增强样本的感知逼真度，证明这种方法在现有防御系统方面更加具有挑战性，并通过可视化技术研究神经网络对不同类型对抗样本的感知。

Jan, 2018

本文提出一种名为 StrAttack 的结构化攻击模型，通过滑动掩模来提取关键的空间结构并具有更好的可解释性，该模型能够实现与现有攻击方法相同水平的 Lp 范数失真的强组稀疏化。实验证明 StrAttack 在 MNIST、CIFAR-10 和 ImageNet 数据集上的攻击效果是有效的。

Aug, 2018

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018

基于感知色彩空间和空间变换的对抗例子生成方法具有高置信度和有利的近似感知距离结果。

Oct, 2023

通过引入语义感知扰动来生成有效和逼真的对抗性样本，该方法在复杂数据集（如 ImageNet 和 MSCOCO）上针对图像分类和图像字幕任务进行了有效应用，且经综合用户研究证明其较其他攻击更为逼真。

Apr, 2019

给定深度神经网络（DNN）对抗性示例的严重性脆弱性，迫切需要一种有效的对抗性攻击来识别 DNN 在安全敏感应用中的缺陷。本文提出了一种基于输入变换的攻击方法，称为 Structure Invariant Attack（SIA），通过对每个图像块应用随机图像变换来产生一组多样化的图像，从而改善了传递性。其在 CNN 和 Transformer 模型上展示了较现有方法更好的传递性。

Sep, 2023

本研究提出一种称为 StyLess 的对抗攻击方法，通过使用包含不同风格特征的样式化网络，以及利用自适应实例标准化来编码不同的风格特征，从而生成具有可转移性的扰动，以此提高对抗样本的攻击传递能力，并在与其他攻击技术结合时优于现有的攻击方法。

Apr, 2023

通过学习选择最佳的变换组合以提高对抗传递能力的一种新方法，名为 Learning to Transform (L2T)，在实验中展现出优于现有方法的性能，并证实其有效性和实用意义。

May, 2024

利用多样化的输入模式来生成对抗样本，实现更好的对抗样本传递性，评估该方法在不同防御方法下的对抗成功率，并在 NIPS 2017 对抗比赛中获得了 73.0% 的平均成功率，从而提高了对抗攻击的基准线。

Mar, 2018

本文系统研究了影响对抗样本传递性的两类因素，包括网络结构、测试精度等模型特定因素和构建对抗样本的损失函数的局部光滑性。基于这些理解，提出了一种简单而有效的策略来增强传递性，称为方差降低攻击，因为它利用方差降低梯度来生成对抗样本，实验结果表明其有效性。

Feb, 2018