本研究旨在通过特征去噪的方式提高卷积神经网络在对抗攻击下的鲁棒性，实验结果表明这种方法对提高白盒和黑盒攻击下的分类准确率具有一定效果。

Dec, 2018

本文介绍了一种在各种威胁模型下生成鲁棒分类器的方法，该方法利用了随机生成建模的最新进展，并利用条件分布采样。通过在被攻击的图像上添加高斯独立同分布噪声，然后进行预训练扩散过程，该方法表现出了可观的鲁棒性。该鲁棒性在 CIFAR-10 数据集上经过了广泛的实验验证，表明我们的方法在各种威胁模型下优于主要的防御方法。

Jul, 2022

通过将输入图像分成多个块，对每个块进行去噪并重构图像来提高深度神经网络对抗攻击的鲁棒性，在灰盒测试方案下，该方法比现有技术提高了 19.7% 的准确度，并且在黑盒测试方案下具有可比拟的表现，在白盒测试方案下取得 34.4% 的准确率，这是最近研究中没有出现的。

Feb, 2018

通过发现深度神经网络模型仍能保持预测能力，即使有意删除其对人类视觉系统至关重要的稳健特征，我们识别出了一种名为 “自然去噪扩散攻击（NDD）” 的新型攻击。该攻击能够以低成本并且与模型无关、可转换为对抗性攻击，并利用扩散模型中的自然攻击能力。我们构建了一个大规模数据集 “自然去噪扩散攻击（NDDA）数据集”，来系统评估最新的文本 - 图像扩散模型的自然攻击能力的风险。我们通过回答 6 个研究问题来评估自然攻击能力，并通过用户研究证实了 NDD 攻击的有效性，发现 NDD 攻击能够实现 88% 的检测率，同时对 93% 的被试者具有隐蔽性。我们还发现，扩散模型嵌入的非稳健特征对于自然攻击能力起到了贡献作用。为了证明攻击的模型无关性和可转换性，我们对一辆自动驾驶汽车进行了 NDD 攻击，发现 73% 的物理打印的攻击能够被识别为停止标志。希望我们的研究和数据集能够帮助社区意识到扩散模型的风险，并促进更多关于强大深度神经网络模型的研究。

Aug, 2023

本文提出了一种新颖的净化方法，即导向扩散模型净化（GDMP），旨在帮助保护深度神经网络分类器免受对抗攻击的影响。在各种数据集上进行的广泛实验表明，所提出的 GDMP 将由对抗攻击引起的扰动降至浅层范围，从而显着提高了分类的正确性，并提高了 5％的鲁棒性。

May, 2022

本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020

通过分析正常和对抗攻击样本的深度神经网络表示之间的差异，研究了对抗攻击的鲁棒性和现有防御机制的普适性，并揭示了 L2 和 Linfinity 范数之间的显著差异。

Aug, 2023

通过研究和比较多种神经网络，本文发现随着图片识别准确度的提高，对抗性攻击虽然越来越容易使模型改变分类决策，但同时攻击的特征也越来越远离与人类视觉识别相关的特征，即使人工以同样方式造成的影响。而通过神经协调器网络的训练，可以使神经网络更加接近人类视觉识别应有模式，从而提高对抗性攻击下的鲁棒性。

Jun, 2023

本研究探讨了单图 Deepfake 检测器对最新生成方法之一，去噪扩散模型（DDM）的攻击的脆弱性，并在 FaceForensics ++ 数据集上进行了测试，结果表明单个去噪扩散步骤可以显著降低所有经过测试检测器的准确性而不引入明显的视觉变化

Jul, 2023

本文通过对不同应用的合成和真实世界数据集中的各种去噪方法进行比较，旨在调查现有去噪技术的适用性，并从数量度量、视觉效果、人工评分和计算成本等四个不同角度对其进行评估，我们实验的结果显示，除了 DNN 模型表现出的物体检测和许多关键点检测方面的性能令人印象深刻以外，传统去噪器显示出代表性的有效性和效率以及同样良好的去噪表现，我们也讨论了现有技术的缺点和可能的扩展。

Apr, 2023