通过对深度学习模型的不同层进行敌对性扰动攻击验证，研究表明浅层的通道组合对模型的干扰较大，在不同攻击类型中具有共享的易受攻击通道组合，而不同攻击对隐藏表示的影响存在差异且与卷积核大小呈正相关，以此为基础为未来应用开发高效的应对性防御机制奠定技术基础。

May, 2024

这篇论文提出了一种新的前馈卷积神经网络模型，通过引入随机加性噪音来增强网络对抗噪音的鲁棒性，其模型仅基于每个像素的均值和方差来简化计算，训练效果优于其他方法，特别是对于更难的分类任务或更强的对抗性噪声。

Nov, 2015

本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020

针对 CNN 在面对对抗性攻击时容易被操控的问题，提出了一种基于像素偏转和小波去噪的算法，该算法通过改变图像像素值使其符合自然图像统计规律从而增强模型的鲁棒性，且不需要额外的重新训练或修改 CNN。

Jan, 2018

本文提出一种基于图像语义的黑盒对抗攻击方法 ColorFool，可以生成无限制扰动并通过颜色选择实现隐藏，相较于其他五种方法在场景和对象分类任务中对三种深度神经网络的对抗攻击中表现出更高的成功率，对防御框架表现更强，具有更强的传递性。

Nov, 2019

利用目标样本的样式和内容信息以及其类边界信息创建对抗性扰动，将其应用于多任务目标并进行深度监督，提取多尺度特征知识以创建最大分离对手，随后提出最大间隔对抗训练方法，最小化源图像与其对手之间的距离，并最大化对手和目标图像之间的距离，证明与最先进的防御相比，我们提出的对抗训练方法表现出强大的鲁棒性，对自然出现的损坏和数据分布变化具有良好的泛化能力，并保留了模型在干净样本上的准确性。

Jul, 2020

研究表明，即使没有内部知识，对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的，这暴露了深度神经网络的弱点，为设计安全的网络提供了检验。

Dec, 2016

本文提出了一种新的数据独立方法，可生成用于对象识别训练的多个 CNN 的图像无关扰动，这些扰动显示出令人惊讶的可转移性和印迹性能，并没有要求攻击者访问训练数据。

Jul, 2017

本文探讨在可对抗的变形情况下检测对抗攻击，并提出一种名为 defense perturbation 的新方法来检测具有相同输入变换与可靠的对抗攻击。同时介绍了多网络对抗例子，这种对抗例子可以同时欺骗多个网络。

Jan, 2021

本文提出了一种利用微小的扰动来攻击神经网络的方法，只需要改变其中一个像素，将微分进化算法引入黑盒攻击，生成有效的对抗样本，并探索其在评估网络健壮性方面的应用。

Oct, 2017