本文提出了一种网络权重初始化的方法，使其能够在更高噪声水平下学习，同时评估了在 MNIST 和 CIFAR10 数据集上增强对抗噪声对学习范围的影响，并通过对简单多维伯努利分布的理论结果进行研究，提出了一些关于 MNIST 数据集可行扰动范围的见解。

Mar, 2020

该研究提出了新型生成模型，用于制造近似自然图像但又能欺骗先前训练好的模型的略微扰动的对抗性样本。通过在具有挑战性的高分辨率数据集上的实验，它证明了这种扰动具有高弄虚率和较小的扰动规模，并且比当前的迭代方法更快。

Dec, 2017

理论框架揭示了扰动中包含了足够的类别特征以实现泛化，并且学习扰动的决策边界与标准样本的决策边界在大部分区域上相一致。

Feb, 2024

本文提出了特征纯化原则，表明在神经网络训练期间，小密集混合物的积累是存在对抗性示例的一个原因，并且对抗性训练的一个目标是通过去除这些混合物来净化神经网络的隐藏权重。

May, 2020

该研究讨论在深度神经网络（DNN）图像分类器范围内的黑盒传递目标对抗攻击威胁模型，提出的方法通过扰动特征层级上的表示来模仿其他类别，使用灵活的攻击框架显示出 ImageNet DNNs 之间的最新目标传输性能，并说明其优越性，相比于其他黑盒传输方法，成功率提高了 10 倍，该方法胜过现有的攻击策略，并在有限的黑盒模型查询情况下同时展示了该方法的扩展性。

Apr, 2020

本研究旨在通过从数据中学习扰动集，以便对鲁棒性进行训练和评估，从而缩小实际世界中的扰动和通常研究的更窄定义的集合之间的差距。使用条件生成器定义扰动集，并使用理想特性来衡量学习的扰动集的质量，理论上证明了条件变分自动编码器自然满足这些标准。最后，使用学习的扰动集来训练模型，使其对敌对图像污染和敌对光线变化具有实证和可证明的鲁棒性，并提高非敌对数据的泛化。

Jul, 2020

本研究使用对抗扰动来增强 Deepfake 图像，欺骗普通 Deepfake 检测器。我们使用 Fast Gradient Sign Method 和 Carlini 和 Wagner L2 范数攻击在黑盒和白盒设置中创建对抗性扰动。我们还探讨了两种深度伪造检测器的改进：1. 李普希茨正则化；2. 深度图像先验（DIP）。

Mar, 2020

本研究旨在通过特征去噪的方式提高卷积神经网络在对抗攻击下的鲁棒性，实验结果表明这种方法对提高白盒和黑盒攻击下的分类准确率具有一定效果。

Dec, 2018

通过对深度学习模型的不同层进行敌对性扰动攻击验证，研究表明浅层的通道组合对模型的干扰较大，在不同攻击类型中具有共享的易受攻击通道组合，而不同攻击对隐藏表示的影响存在差异且与卷积核大小呈正相关，以此为基础为未来应用开发高效的应对性防御机制奠定技术基础。

May, 2024

研究表明，神经网络在各种机器学习任务中表现出色，但仍然容易受到对抗性扰动的攻击。这篇论文探讨了对抗性攻击中人可识别特征的识别，并揭示了在无目标攻击和有目标攻击中出现的两种不同效应。通过提取像素级注释的特征，论文证明了这些特征能够破坏目标模型，并指出不同攻击算法在多个模型上平均后的扰动具有显著的相似性。该研究为更深入地理解对抗性攻击的机制及神经网络的防御策略提供了洞察。

Sep, 2023