本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020

通过在深度神经网络中限制输入维数或参数维度，采用离散化方法可以显著提高不同数据集上的对抗攻击鲁棒性，2bit 离散化可在最大程度上提高对抗攻击抵抗力而只损失 1-2% 的精度。

Feb, 2019

通过研究和比较多种神经网络，本文发现随着图片识别准确度的提高，对抗性攻击虽然越来越容易使模型改变分类决策，但同时攻击的特征也越来越远离与人类视觉识别相关的特征，即使人工以同样方式造成的影响。而通过神经协调器网络的训练，可以使神经网络更加接近人类视觉识别应有模式，从而提高对抗性攻击下的鲁棒性。

Jun, 2023

本文提出了一种名为 “deep defense” 的训练方法来解决深度神经网络易受到对抗样本攻击的问题，通过将对抗扰动的正则化器与分类目标相结合，得到的模型能够直接且准确地学习抵御潜在的攻击，实验证明该方法在不同数据集上对比对抗 / Parseval 正则化方法有更好的效果。

Feb, 2018

本文介绍了一种新的基于掩码的防御策略（MAD），使用此方法可提高深度神经网络模型对低强度的输入扰动的防御能力，相比现有的防御技术该方法不需要任何附加去噪结构或对模型设计的改变，并且实验证明该方法可以对多种对抗性攻击的深度神经网络模型的防御能力提高 20% 至 90% 的分类精度。

Apr, 2022

通过分析 Saliency Maps 和 Gradient-weighted Class Activation Maps 的方式，研究 Adversarial algorithms 如何影响神经网络的关注点，防止了一些防御成功而留下另一些迎接攻击的漏洞。

Jun, 2021

本文介绍了一种利用深度学习神经网络中 Bayesian 不确定性估计和密度估计的方法，可以实现对于对抗样本的检测，具有很好的泛化性能，并在标准分类任务上取得了 85-93% 的 ROC-AUC 表现。

Mar, 2017

本文探讨像素离散化这种预处理防御方法在对抗攻击下的表现。通过实验，得出此方法只适用于简单数据集而在更复杂的数据集像 ImageNet 上的效果不佳，并分析了其原因及其他预处理防御方法的不足。

May, 2018

该研究使用一个基于样本性质筛选的简化训练方法，在保持分类结果鲁棒性不变的情况下，将医学图像和自动驾驶等领域的深度神经网络训练时间减少到原来的三分之一。

Mar, 2023

该论文提出了一种基于生成对抗网络 (GAN) 框架下的新防御机制来对抗黑盒攻击，在经验上表现良好并能与利用梯度下降的集成对抗训练和对抗训练等最先进的方法媲美。

May, 2019