深度神经网络的关键问题之一是对抗性攻击和转移性，考虑到安全性和未来的发展，需要加强对抗性漏洞的防御。

Oct, 2023

本文首次对大规模数据集和大型模型进行了对抗样本的可迁移性的研究，同时也是首次研究了设计有目标的对抗样本在其目标标签之间的可转移性。通过新颖的集成方法，本文发现大量有目标的对抗样本可以成功地与其目标标签一起转移，并且这些使用集成方法生成的对抗样本可以成功地攻击黑匣子图像分类系统 Clarifai.com。

Nov, 2016

本文分析传递学习（knowledge transferability）与对抗可迁移性（adversarial transferability）之间的相互作用，并提出两种实用的对抗可迁移性度量，通过广泛的实验证明了对抗可迁移性与知识可迁移性之间的正相关性，为未来有效的知识转移学习和对抗迁移性分析提供了启示。

Jun, 2020

本文系统研究了影响对抗样本传递性的两类因素，包括网络结构、测试精度等模型特定因素和构建对抗样本的损失函数的局部光滑性。基于这些理解，提出了一种简单而有效的策略来增强传递性，称为方差降低攻击，因为它利用方差降低梯度来生成对抗样本，实验结果表明其有效性。

Feb, 2018

对机器学习模型的黑盒攻击是可能的，即使它们的结构不同。通过生成对抗性样本，并利用受害者模型标记合成训练集，攻击者可以训练出自己的替代模型，并将对抗性样本转移到受害者模型中实施攻击，该方法可以使用新的技术使攻击过程更加有效率，在 Amazon 和 Google 等公司的商业机器学习分类系统中展示了攻击的有效性。

May, 2016

本文提出了使用贝叶斯模型对深度神经网络的对抗样本进行攻击的方法，并通过实验验证了其在改善模型迁移性方面的有效性以及攻击效果，攻击成功率平均提升约 19%。

Feb, 2023

本文提出了一种训练方法来防止黑盒学习系统受到对抗性示例的攻击，该方法通过在输出类集中增加一个 NULL 标签并训练分类器将对抗性示例分类为 NULL 来阻止其可转让性。实验表明该方法能够有效抵御对抗性示例的攻击，同时在干净数据上保持准确度。

Mar, 2017

文章提出了利用历史攻击反馈信息来降低黑盒对抗攻击的查询成本，通过开发一个元学习框架来训练元 Perturbation 生成器，以产生有效的干扰，同时利用模型级对抗可迁移性来训练元生成器，以帮助攻击目标模型。这个框架可以与任何现成的基于查询攻击方法结合使用，以提高攻击性能。

Jan, 2023

通过对现有对抗性攻击的仔细研究，我们提出了一系列技巧来增强对抗性传递性，包括动量初始化、计划的步长、双重示例、基于频谱的输入变换和几种集成策略。在 ImageNet 数据集上的大量实验验证了我们提出的技巧的高效性，并表明结合它们可以进一步增强对抗性传递性。我们的工作提供了实用的见解和技术，以增强对抗性传递性，并通过简单的调整指导提高对现实世界应用的攻击性能。

Jan, 2024

本文提出了一种基于知识蒸馏的对抗性学习框架以更好地训练轻量化（学生）卷积神经网络，同时全面考虑了大型（教师）卷积神经网络中的概率分布和中间层表示。实验结果表明，该方法可以显著地提高学生网络在图像分类和物体检测任务 上的性能。

Oct, 2018