本文提出了一种既能处理不同的扰动模型，对超参数选择具有鲁棒性，又不需要对抗起始点，且仅需几步轻量级的迭代即可收敛的快速最小范数攻击方法（FMN），并通过广泛的实验表明 FMN 在收敛速度和计算时间方面明显优于现有的攻击方法，同时报告了相当或更小的扰动尺寸。

Feb, 2021

本文提出了一种基于黑盒技术的新型对抗样本攻击方法，针对原始图像最小化 l0 距离。实验证明，该攻击方法优于或与现有技术相当。同时，我们可引入部件约束来提高分类器对稀疏和不可察觉的对抗性操纵的鲁棒性。

Sep, 2019

本文研究对抗样本攻击机器学习模型并提出一种新的攻击方法，证明最先进的对抗训练方法无法同时获得对 $\ell_2$ 和 $\ell_\infty$ 范数的健壮性，提出可能的解决方案及其局限性。

May, 2019

本文研究计算机视觉任务中对抗样本的影响，提出一种基于梯度的对抗攻击方法，通过将对抗扰动的方向和范数分离，能够在较少迭代次数（仅 100 次）内达到与当前最先进攻击方法在 L2 范数上相当的结果，进而达到对于白盒梯度攻击的鲁棒性。

Nov, 2018

在神经网络的研究中，我们开发了一种新的梯度基础的对抗攻击方法，相较于已有的攻击方法，它更可靠，可以适应广泛的对抗标准，并且在提高效率的同时，不需要进行超参数调整，这将对神经网络的鲁棒性评估做出有益的贡献。

Jul, 2019

提出了一种使用单独的学习类条件数据分布来执行分析合成的新型鲁棒性分类模型，其在 MNIST 数据集上对 L0，L2 和 L 无穷小扰动都具备最先进的鲁棒性，攻击结果在正常类和对抗类之间呈现明显的感知边界。

May, 2018

研究了基于优化问题的对抗攻击，使用双重变量来最小化对抗性噪声与规则化惩罚，针对非光滑 $p$- 范数进行极值点下降攻击，实验表明，比当前最先进的攻击方法在 MNIST、CIFAR-10 和受限制的 ImageNet 数据集上都优异表现。

Jun, 2021

本研究证明了通过 $L_p$-norms 计算的输入相似性不仅不必要，而且是不充分的，对创造和防御对抗性样本都有影响。研究提出并探讨了替代相似性度量的策略，以刺激未来对该领域的研究。

Feb, 2018

利用形式验证技术构建对抗样本，证明这些样本是最小扭曲的，从而增加了对抗性训练的鲁棒性。

Sep, 2017

研究通过实验结果证明，通过放宽对 L-infinity 约束条件，深度神经网络的弹性网络（EAD）可以构建可传递的对抗样本，这些样本具有最小的视觉失真度。这些结果对于通过最小化 L-infinity 距离来评价对抗性攻击的视觉失真度的有效性提出了质疑，并进一步展示了 EAD 的强大能力。

Oct, 2017