本文通过大规模系统的实证研究，探究了云端机器学习服务平台的漏洞和其普遍存在的在深度神经网络中的 “对抗攻击” 问题，发现先前的假设和结论在真实世界环境下不再一致，并指出了对未来研究方向的启示。

Apr, 2022

对机器学习模型的黑盒攻击是可能的，即使它们的结构不同。通过生成对抗性样本，并利用受害者模型标记合成训练集，攻击者可以训练出自己的替代模型，并将对抗性样本转移到受害者模型中实施攻击，该方法可以使用新的技术使攻击过程更加有效率，在 Amazon 和 Google 等公司的商业机器学习分类系统中展示了攻击的有效性。

May, 2016

我们提出了 FAIL 攻击模型，通过四个维度描述对手的知识和控制，用于考虑更多的较弱对手并设计了实用的 StingRay 计划攻击 4 种机器学习应用，该攻击既可以绕过两个现有的防御措施，也适用于广义的可传递性。

Mar, 2018

通过传输攻击和博弈论的视角，在新的威胁模型下提出了一种有效的防御方法，该方法在公共模型和多个数据集上进行了评估，并且在最强的传输攻击下相较于最好的对抗训练模型具有明显优势。

Oct, 2023

该研究旨在设计一种高效的基于转移学习的对抗检测器，并评估使用多个策略性放置的对抗检测器与单个对抗检测器相比在入侵检测系统中的有效性。通过将它们各自的决策相结合，我们证明结合多个检测器可以进一步提高对抗流量的可检测性。

Oct, 2022

在网络安全领域中，人工智能的快速发展引起了重大安全关注，深度学习模型在对抗性攻击中的脆弱性是主要问题之一，该研究的关键贡献是在网络攻击检测系统中经验性地测试黑盒对抗转移现象，并验证了任何深度学习模型都极易受到对抗攻击的影响，即使攻击者无法访问目标模型的内部细节，白盒对抗攻击相比黑盒对抗攻击具有更严重的影响。因此，有必要研究和探索对抗性防御技术以增强深度学习模型对对抗攻击的鲁棒性。

Apr, 2024

本文系统研究了影响对抗样本传递性的两类因素，包括网络结构、测试精度等模型特定因素和构建对抗样本的损失函数的局部光滑性。基于这些理解，提出了一种简单而有效的策略来增强传递性，称为方差降低攻击，因为它利用方差降低梯度来生成对抗样本，实验结果表明其有效性。

Feb, 2018

使用贝叶斯深度学习技术，以神经网络权重的后验分布进行抽样建立一个 surrogate，可以进一步提高黑盒攻击的可转移性，本文探究了提高攻击可转移性的训练方法， 将我们方法的表现与几种已有方法进行了比较，能够在 ImageNet 上获得 94% 的准确率。

Nov, 2020

本文提出了一种基于失真度量方法的新的迁移性攻击成功率评估工具，并针对随机选择源模型可能导致的问题，提出了一种称为 FiT 的新型选择机制。实验结果表明，FiT 对于多种攻击类型的源模型选择具有高效性。

Apr, 2023

该论文探讨了深度神经网络（DNNs）的对抗性脆弱性，并建立了一个基于转移的攻击基准（TA-Bench）来评估和比较 30 多种方法在 ImageNet 上的 25 个受害模型，从而提供了这些方法的有效性新见解和未来评估的指导。

Nov, 2023