该研究提出了新型生成模型，用于制造近似自然图像但又能欺骗先前训练好的模型的略微扰动的对抗性样本。通过在具有挑战性的高分辨率数据集上的实验，它证明了这种扰动具有高弄虚率和较小的扰动规模，并且比当前的迭代方法更快。

Dec, 2017

本文提出了一种使用类自编码器的网络生成对训练数据加入扰动的新方法，可以对受害分类器的行为（无论是有目的还是非有目的的）进行操纵并降低其泛化能力。通过实验验证，这种方法可以被应用到各种数据集中，并且具有很好的可迁移性。

May, 2019

本文提出了一种基于生成对抗网络的方法，通过优化骗过分类器的目标和增加多样性的目标训练生成器，从而模拟对抗性扰动的分布，生成多样的对抗性扰动，实现了在各种分类器上实现骗过率最大化，展示出了更好的通用性。

Dec, 2017

研究在未知扰动集合情况下，通过与攻击者的交互或访问攻击预测器来学习对抗性示例下的鲁棒性预测器问题，并考虑不同交互模型，对预测器假设类的 VC 和 Littlestone 维度进行样本复杂度上界，以及所需交互或成功攻击次数的上下界，无需对扰动集合进行任何假设。

Feb, 2021

本文针对常见数据污染问题，探讨了对抗训练在提高精度和校准性方面比简单高斯噪声数据增强更有效的现象，并提出了新的方法 —— 基于感知图像补丁相似度的对抗训练松弛，通过实验验证此方法可以优化原有的对抗训练基础模型，同时结合数据增强策略获得更好的性能。

Mar, 2021

提出一种更通用的框架，该框架可以推断基于输入图像和目标标签的目标条件扰动，通过学习攻击目标与图像中的语义关系。在 MNIST 和 CIFAR10 数据集的广泛实验中，该方法实现了超越单目标攻击模型的优异性能，并以小扰动范数获得高愚弄率。

Jun, 2020

本文提出了一种网络权重初始化的方法，使其能够在更高噪声水平下学习，同时评估了在 MNIST 和 CIFAR10 数据集上增强对抗噪声对学习范围的影响，并通过对简单多维伯努利分布的理论结果进行研究，提出了一些关于 MNIST 数据集可行扰动范围的见解。

Mar, 2020

理论框架揭示了扰动中包含了足够的类别特征以实现泛化，并且学习扰动的决策边界与标准样本的决策边界在大部分区域上相一致。

Feb, 2024

研究提出了 Learn2Perturb 方法，通过引入特征扰动来提高深度神经网络的鲁棒性，旨在改善对抗攻击的问题。通过在每个层次上引入新的扰动注入模块以扰动特征空间，同时在训练和推断阶段执行特征扰动， 本文证明该方法可以提高深度神经网络对对抗攻击的鲁棒性， 在 CIFAR-10 和 CIFAR-100 数据集上的实验结果表明，该方法可以使深度神经网络对各种攻击的成功率提高 4-7 个百分点，并明显优于目前已知的所有防御技术。

Mar, 2020

本文提出了一种对抗框架，由 Adversarial Distorter 和 Autoencoder 两个部分组成，利用编码器的隐层特征空间中的扰动提高异常检测中对特征的语义表示，实现了对图像和视频数据集上的异常检测的最新性能的提升。

Jul, 2022