通过利用深度神经网络对图像高频分量的扰动的脆弱性，我们提出了一种新方法来生成可转移的有针对性对抗样本，该方法通过训练条件生成器生成针对性的对抗扰动，并将其添加到图像的低频分量中，实验证明我们的方法显著优于现有的方法，将有针对性攻击成功率提高了 3.2% 至 15.5%。

Oct, 2023

系统地控制扰动的频率分量，通过对 NeurIPS 2017 竞赛中排名靠前的防御提交的评估，我们在黑盒和白盒转移设置下实验证明，只有保留低频分量时，才会出现性能提高，事实上，基于对抗训练的防御模型对于低频扰动的漏洞与未经防护的模型相当，这种漏洞暗示了高频对抗扰动是高阶失真测量标准引人质疑的。

Feb, 2019

通过对频域内对抗扰动的详细频率分析，我们的研究表明低频带的高频部分中存在显著的对抗扰动，并基于此提出了一种基于不同频率带组合的黑盒对抗攻击算法，可显著提高攻击效率。实验结果显示平均攻击成功率达到 99％，超过使用单一频率段的攻击。此外，我们引入了归一化扰动可见性指数，为评估连续和离散扰动的 $L_2$ 范数的局限性提供了解决方案。

Apr, 2024

通过在特征表示上进行对抗攻击，使用语义相似性对分类器进行攻击，同时使用低频率约束，保证对抗样本和原始样本的感官相似性和跨数据集泛化。

Mar, 2022

本文讨论了黑盒子设置下图像分类的对抗性样本问题，并针对 Boundary Attacks 提出了一种基于偏差抽样的新方法，该方法通过图像频率、区域掩码和代理梯度三种偏差来提高攻击效率，并在 ImageNet 数据集上进行了深入评估。最终表明，这些偏差的结合能够显著提高黑盒攻击的效率，并在对 Google Cloud Vision API、以及强防御模型的攻击中都表现出色。

Dec, 2018

本文介绍了一个基于连续数值置信度分数的、高效构建黑盒中敌对图像的简单迭代算法，并且该算法同样适用于有目标和无目标攻击。作者使用少于 20 行的 PyTorch 代码在 Google Cloud Vision API 中展示了该算法的高效和有效性。

May, 2019

研究表明，即使没有内部知识，对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的，这暴露了深度神经网络的弱点，为设计安全的网络提供了检验。

Dec, 2016

该研究提出了新型生成模型，用于制造近似自然图像但又能欺骗先前训练好的模型的略微扰动的对抗性样本。通过在具有挑战性的高分辨率数据集上的实验，它证明了这种扰动具有高弄虚率和较小的扰动规模，并且比当前的迭代方法更快。

Dec, 2017

本文提出了一种名为 “无需输入” 的攻击方法，用于深度神经网络的对抗攻击，该方法不需要进行大量的查询，可以通过任意图像添加可以感知的扰动来生成对抗性图像。该方法通过灰度图像的初始化和局部扰动与平铺技术来显着降低了查询复杂度，并成功击败了 Clarifai 食品检测 API 和百度动物识别 API。

Sep, 2018

本文提出了一种基于黑盒技术的新型对抗样本攻击方法，针对原始图像最小化 l0 距离。实验证明，该攻击方法优于或与现有技术相当。同时，我们可引入部件约束来提高分类器对稀疏和不可察觉的对抗性操纵的鲁棒性。

Sep, 2019