通过图像转换模拟在周边视觉中模糊图像并降低颜色饱和度，研究表明，相比于原始图像，使用该转换的深度神经网络对于敌对攻击以及其他非敌对损坏具有更强的鲁棒性，对扰动数据的准确性高出 25%。

Aug, 2023

本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020

该研究介绍了一种通用的攻击算法，RP2，用于在不同的物理条件下产生强大的视觉对抗扰动，以及一种用于评估物理对抗性的两阶段评估方法，通过黑白贴纸形式的扰动对真实的红绿灯进行攻击，在实验室测试和场地测试结果分别达到 100% 和 84.8% 的目标分类器的误分率。

Jul, 2017

研究表明，即使没有内部知识，对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的，这暴露了深度神经网络的弱点，为设计安全的网络提供了检验。

Dec, 2016

结合特征可视化和输入修改的简单防御方法，能够应用于各种预训练模型，可对付对神经网络造成的敌对攻击。本文在 ImageNet 数据集上以 VGG19 为例，通过新的评估指标验证了该防御方法的有效性。

Mar, 2020

该文章提出了一种直接部署到标准深度神经网络模型中的简单方法，通过引入两个经典图像处理技术，标量量化和平滑空间滤波，将图像中的扰动降低到最小，使用图像熵作为度量标准，可以有效地检测出对基于多种攻击技术的先进深度学习模型的 20,000 多个对抗样本，最终的实验结果表明，该检测方法可以取得 96.39％的高整体 F1 评分。

May, 2017

本文提出了一种名为 “deep defense” 的训练方法来解决深度神经网络易受到对抗样本攻击的问题，通过将对抗扰动的正则化器与分类目标相结合，得到的模型能够直接且准确地学习抵御潜在的攻击，实验证明该方法在不同数据集上对比对抗 / Parseval 正则化方法有更好的效果。

Feb, 2018

本文提出了一种名为 PixelDefend 的新方法，可以通过将恶意扰动图像移回训练数据中所看到的分布来净化这些图片，然后在经过未经修改的分类器时进行分类，从而大大提高了各种最先进攻击方法的弹性。

Oct, 2017

在对具备鲁棒性的深度学习模型进行卷积滤波器分析的研究中，发现经过对抗训练的模型形成了多样性更大、稀疏性更小且更正交的卷积滤波器，且具有更高的分类精度，需要更深层网络结构来实现，此方法也被成功地应用于 CIFAR-10 数据集中。

Apr, 2022

通过对敌对学习及攻击的深入探究，我们发现在敌对性训练的模型中，用微小的随机噪声扰动部分攻击样本能够破坏其误导性预测，为此我们提出了一种有效的防御方法，是通过制造更加有效的防御扰动方法，利用敌对训练降低了地面真实的局部 Lipschitzness，同时攻击所有类别，将误导的预测转换为正确的预测，这种方法在经验实验证明有效。

Jun, 2021