通过对现有对抗性攻击的仔细研究，我们提出了一系列技巧来增强对抗性传递性，包括动量初始化、计划的步长、双重示例、基于频谱的输入变换和几种集成策略。在 ImageNet 数据集上的大量实验验证了我们提出的技巧的高效性，并表明结合它们可以进一步增强对抗性传递性。我们的工作提供了实用的见解和技术，以增强对抗性传递性，并通过简单的调整指导提高对现实世界应用的攻击性能。

Jan, 2024

该研究旨在提高对抗转移性能，在理论和实验的基础上设计了一种称为 Admix 的输入变换攻击方法，该方法能够利用附加图像集合进行攻击并优于现有方法。

Jan, 2021

采用梯度修正的方法，可进一步提高对抗性转移性，通过对多个转换引入的无用梯度进行修正，我们的方法在 ImageNet 数据集上可以实现 82.07％的平均转移成功率，在单模型设置下胜过其他最先进的方法的平均 6.0％，并且我们已将所提出的方法应用于由阿里巴巴组织的 CVPR 2021 ImageNet 无限制对抗攻击比赛中，攻击成功率在 1558 支队伍中排名第二。

May, 2021

本文提出了一种新方法，即 Backward Propagation Attack（BPA），以增强与输入图像相关的梯度和损失函数之间的关联性，从而生成更具有传递性的对抗性样本，这在提高对真实世界应用的攻击中有很大的潜力。

Jun, 2023

本文提出了一种基于块打乱学习的深度伪造检测方法，通过巧妙引入块内外的随机重排，增强了检测器的鲁棒性及语义连结建模能力，结合 CNN 模型实现面部伪造检测，在通用性与鲁棒性的表现方面都获得了良好的效果。

Feb, 2022

利用多样化的输入模式来生成对抗样本，实现更好的对抗样本传递性，评估该方法在不同防御方法下的对抗成功率，并在 NIPS 2017 对抗比赛中获得了 73.0% 的平均成功率，从而提高了对抗攻击的基准线。

Mar, 2018

给定深度神经网络（DNN）对抗性示例的严重性脆弱性，迫切需要一种有效的对抗性攻击来识别 DNN 在安全敏感应用中的缺陷。本文提出了一种基于输入变换的攻击方法，称为 Structure Invariant Attack（SIA），通过对每个图像块应用随机图像变换来产生一组多样化的图像，从而改善了传递性。其在 CNN 和 Transformer 模型上展示了较现有方法更好的传递性。

Sep, 2023

本文提出了一种名为自适应图片转换学习器（AITL）的新型结构，该结构将不同的图片转换操作集成到统一的框架中，进一步提高对抗样本的可转移性，实验表明该方法在 ImageNet 上的攻击成功率显著提高。

Nov, 2021

本文提出了一种翻译不变攻击方法，该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例，并表明该方法通常适用于任何梯度攻击方法。作者在 ImageNet 数据集上广泛实验验证了该方法的有效性，并证明该攻击技术的存在不安全性。

Apr, 2019

黑盒对抗生成框架通过增强输入的多样性和自适应步长来生成可转移的对抗样本，具有超过现有基准的表现。

Jan, 2024