研究表明，神经网络在各种机器学习任务中表现出色，但仍然容易受到对抗性扰动的攻击。这篇论文探讨了对抗性攻击中人可识别特征的识别，并揭示了在无目标攻击和有目标攻击中出现的两种不同效应。通过提取像素级注释的特征，论文证明了这些特征能够破坏目标模型，并指出不同攻击算法在多个模型上平均后的扰动具有显著的相似性。该研究为更深入地理解对抗性攻击的机制及神经网络的防御策略提供了洞察。

Sep, 2023

本研究探讨了实时视频分类系统中对抗性干扰的可能性与必要条件，发现在考虑时序结构的情况下，利用生成对抗网络可以产生能够导致高达 80% 有针对性活动误分类的对抗样本，对其他活动几乎没有影响，并且同一扰动可以适用于视频剪辑中的每一帧。

Jul, 2018

本论文提出了一种通过量化预训练神经网络的局部中间响应和辅助 softmax 层的置信度得出输入的对抗样本的测试时间对抗样本例探测器，并通过非迭代输入样本剪辑来减弱非相关特征，从而提高了 15 种对抗扰动水平下的平均性能，其中快速梯度符号法（FGSM）提高了 55.33％，而基本迭代法（BIM）和投影梯度法（PGD）分别提高了 6.3％。

Nov, 2022

本文介绍了一种可以进行视频分类器对抗攻击的方法，该方法利用了时间信息中的闪烁扰动，并展示了普适对抗扰动和实现对多目标模型的攻击转移能力。

Feb, 2020

本研究旨在通过特征去噪的方式提高卷积神经网络在对抗攻击下的鲁棒性，实验结果表明这种方法对提高白盒和黑盒攻击下的分类准确率具有一定效果。

Dec, 2018

本文提出了一种基于视频序列的对抗攻击和防御方法，通过考虑时间运动并生成轻量级扰动，有效提高了深度跟踪算法的鲁棒性，结果表明该方法不仅能消除对抗攻击带来的大幅性能下降，同时在未受到攻击时也能获得额外的性能增益。

Jul, 2020

本文提出了一种新的深度神经网络防御机制，该机制通过对 DNN 特征域中最易受到对抗性噪声攻击的预训练的卷积特征进行可训练的特征重建，将这些 DNN 滤波器激活转换成鲁棒性更高的特征，从而有效地保护免受通用扰动的攻击。通过重建至多 6 个 DNN 层中顶部 50% 的易受攻击的激活并保留所有剩余的激活状态，无需其他修改，我们的防御在 ImageNet 上经过一个通用对抗攻击的训练即可对抗其他类型的通用攻击。

Jun, 2019

本研究提出了一种基于生成对抗网络（GAN）框架的方法，通过联合训练高级别类别损失和低级别特征损失，获得生成对抗图像和视频，并成功解决了对目标检测模型的对抗攻击中存在的二合一问题：低的迁移能力和高的计算成本。

Nov, 2018

本文提出了一种新的数据独立方法，可生成用于对象识别训练的多个 CNN 的图像无关扰动，这些扰动显示出令人惊讶的可转移性和印迹性能，并没有要求攻击者访问训练数据。

Jul, 2017

本文研究了自动驾驶多模态感知系统在受到对抗性攻击时的鲁棒性问题，揭示了通过添加物理对抗性物体来隐藏不同车辆的可能性，并提出使用特征去噪的对抗性训练方法可以显著提高系统鲁棒性。

Jan, 2021