该研究提出了一种新型 Lp 范数扰动有效的对抗攻击方法，旨在减少 L0 范数失真，通过设计优化方案和引入对抗阈值概念，实现了更好的对抗稳健性和视觉不可感知性。

Jul, 2024

本文提出了一种新的基于 $l_p$-norms 的白盒对抗攻击方法，通过最小化扰动的大小来改变特定输入的类别，这个方法具有几何直观性，是一种性能优越的攻击方法，比专门针对一个 $l_p$-norm 的攻击方法具有更好的鲁棒性，并且可以解决梯度掩盖的问题。

Jul, 2019

研究了基于优化问题的对抗攻击，使用双重变量来最小化对抗性噪声与规则化惩罚，针对非光滑 $p$- 范数进行极值点下降攻击，实验表明，比当前最先进的攻击方法在 MNIST、CIFAR-10 和受限制的 ImageNet 数据集上都优异表现。

Jun, 2021

本文介绍了对抗性样本攻击中的两种方法：PGD 方法和 C&W 方法，针对集成模型的攻击，主张使用改进型 PGD 方法达到更高的攻击效率。

Jun, 2019

本文提出了一种基于黑盒技术的新型对抗样本攻击方法，针对原始图像最小化 l0 距离。实验证明，该攻击方法优于或与现有技术相当。同时，我们可引入部件约束来提高分类器对稀疏和不可察觉的对抗性操纵的鲁棒性。

Sep, 2019

研究通过实验结果证明，通过放宽对 L-infinity 约束条件，深度神经网络的弹性网络（EAD）可以构建可传递的对抗样本，这些样本具有最小的视觉失真度。这些结果对于通过最小化 L-infinity 距离来评价对抗性攻击的视觉失真度的有效性提出了质疑，并进一步展示了 EAD 的强大能力。

Oct, 2017

本研究使用对抗扰动来增强 Deepfake 图像，欺骗普通 Deepfake 检测器。我们使用 Fast Gradient Sign Method 和 Carlini 和 Wagner L2 范数攻击在黑盒和白盒设置中创建对抗性扰动。我们还探讨了两种深度伪造检测器的改进：1. 李普希茨正则化；2. 深度图像先验（DIP）。

Mar, 2020

本研究通过使用交叉熵符号等简单方法，生成有效的区域性对抗扰动，这些局部攻击可能比非本地对抗例子需要更少的扰动，从而潜在地破坏了在 $L_p$ 范数下具有稳健性的防御。

Jul, 2020

通过梯度方法可以发现虚假的区域，该文认为这些区域不是弱点而是优势，提出了一种通过检测这些区域的方法来成功检测出对抗攻击的方法，在攻击者完全了解检测机制的情况下，实现了前所未有的准确性。

Oct, 2019

本文提出一种名为 StrAttack 的结构化攻击模型，通过滑动掩模来提取关键的空间结构并具有更好的可解释性，该模型能够实现与现有攻击方法相同水平的 Lp 范数失真的强组稀疏化。实验证明 StrAttack 在 MNIST、CIFAR-10 和 ImageNet 数据集上的攻击效果是有效的。

Aug, 2018