本文提出了一种新的对抗攻击方法，通过扰动表示样式的抽象特征，包括可解释和不可解释的风格，诸如鲜艳色彩和锐利轮廓等，通过优化程序注入难以察觉的风格变化，实现深度神经网络模型误分类，我们展示了该方法产生的对抗样本比现有的非受限制攻击更加自然，并支持现有的像素空间的对抗攻击检测和防御技术难以在风格相关特征空间中保证模型的鲁棒性。

Apr, 2020

本研究通过对鲁棒性模型的分析，发现相对于输入层抗攻击性较强的特征层是高度容易受到小幅度形变攻击的。在此基础上，我们提出了一种名为 LAT 的新技术，通过对已经进行对抗性训练的模型进行微调，以保证其特征层的鲁棒性。研究表明此方法对 MNIST、CIFAR-10 和 CIFAR-100 数据集的前沿对抗准确度有轻微提升。

May, 2019

提出了一种基于 GAN 网络的对抗生成方法 AdvGAN++，利用潜在特征作为先验，在 MNIST 和 CIFAR-10 数据集上生成了更高攻击成功率和视觉上更真实的对抗样本。

Aug, 2019

基于感知色彩空间和空间变换的对抗例子生成方法具有高置信度和有利的近似感知距离结果。

Oct, 2023

本文提出了一种实用的针对深度神经网络的对抗攻击方法，通过语义意义感知的结构化扰动来操纵图像的语义属性，以此生成针对黑盒分类器的对抗扰动，并提出了两种无监督的语义操作方法，通过在潜在空间中扰动单个或多个潜在因素，并在真实图像数据上进行大量实验，证明了其能力的强大性，同时也论证了普适于所有图像的语义对抗样本的存在。

Jan, 2020

本文提出了一种名为 LVAT 的新的规则化方法，将扰动注入潜在空间以生成理解性更强的对抗样本，并在图像分类任务的超视觉和半监督学习情景中使用 SVHN 和 CIFAR-10 数据集验证其性能，证明其优于其他现有方法及 VAT。

Nov, 2020

本文提出了一种利用变分自编码器来生成语义潜空间中的对抗样本的方法，并通过提出一个新的评估指标来解决评估挑战。同时研究了潜空间中的对抗样本与像素空间中对抗样本的可转移性，并证明了前者优于后者。

May, 2023

本文研究了生成式对抗网络中的潜在向量空间中数据分布模型，提出了一个简单的高斯先验模型，用于规范图像向潜在空间的映射，这样生成的图像更加平滑和稳定，同时维持多样性和减少生成图像中的伪像。

Sep, 2020

本文提出了一种基于黑盒技术的新型对抗样本攻击方法，针对原始图像最小化 l0 距离。实验证明，该攻击方法优于或与现有技术相当。同时，我们可引入部件约束来提高分类器对稀疏和不可察觉的对抗性操纵的鲁棒性。

Sep, 2019

本文针对深度神经网络生成对抗样本的问题展开了研究，提出了针对 3D 物理性质改变的对抗样本生成方法，并通过在 2D 输入图像前增加可渲染模块的方式，成功地将对抗扰动提升到物理空间，检验了所设计的方法的有效性。

Nov, 2017