本文提出了一种名为PixelDefend的新方法，可以通过将恶意扰动图像移回训练数据中所看到的分布来净化这些图片，然后在经过未经修改的分类器时进行分类，从而大大提高了各种最先进攻击方法的弹性。

Oct, 2017

针对CNN在面对对抗性攻击时容易被操控的问题，提出了一种基于像素偏转和小波去噪的算法，该算法通过改变图像像素值使其符合自然图像统计规律从而增强模型的鲁棒性，且不需要额外的重新训练或修改CNN。

Jan, 2018

本文探讨像素离散化这种预处理防御方法在对抗攻击下的表现。通过实验，得出此方法只适用于简单数据集而在更复杂的数据集像ImageNet上的效果不佳，并分析了其原因及其他预处理防御方法的不足。

May, 2018

深度学习领域的对抗攻击和防御是目前研究的活跃领域。本文针对防御方法进行分类，提出了不同的分类方法：通过增加特征向量的类内紧凑性和类间分隔性来提高对抗鲁棒性，减小或移除非鲁棒图像特征来提高对抗鲁棒性。通过这种重新构架话题的方式，提供了新的视角，深入探讨使网络变得更加强健的潜在因素，启发了更多的解决方案。此外，文献中有一些关于对抗防御成本问题和鲁棒性与准确性之间的权衡的论述，但我们提出的分类方法可以解决这些问题。本文提出了几项挑战，以此推动深度学习研究的进一步发展。

Oct, 2019

我们提出了一种方法，生成了对人类眼睛不可见的物理对抗样本。我们使用改变照射目标物体的光的方式，而不是通过贴纸或彩色物体来生成对抗样本，我们探究了如何使用红外光或者LED对图像实现攻击目标，实验中所得到的结果表明该方法具有较高的准确度。

Nov, 2020

本文研究了采用对抗攻击中的晕影来嵌入有意误导信息，制造自然的对抗样本，并通过物理模型下的径向各向同性和径向异向性嵌入有效的晕影区域，达到更高迁移性和更好的图像质量，攻击4 种不同的卷积神经网络。

May, 2021

本文研究使用Vision Transformers架构在对抗训练中对抗外部攻击的鲁棒性问题，并使用ImageNet数据集的子集进行严格的消融研究，找到了一种改进后的训练方法，可以在不使用强数据增强的情况下提高模型的性能和识别鲁棒性。

Sep, 2022

我们扩展了现有的研究，在多摄像头设置中评估了多摄像头设置相对于物理对抗样本的鲁棒性，并提出了一种名为Transcender-MC的新型攻击方法，该方法在训练过程中融入了在线3D渲染和透视投影。比起现有方法，这种攻击方法在成功攻击多摄像头设置方面效果提高了11％。我们的发现为具有多个摄像头的物体检测的弹性提供了宝贵的见解，并促使人们开发相应的防御机制。

Nov, 2023

通过将鲁棒的判别分类器重新解释为基于能量的模型，我们提出了对对抗训练动态的新视角；通过对对抗训练过程中的能量景观进行分析，我们揭示了非目标攻击在模型视角下生成的对抗性图像比原始数据更加集中（能量更低），而有目标攻击则恰恰相反；基于我们的分析，我们提出了一种新的理论和实践结果，展示了如何通过解释对抗训练能量动力学来获得更好的理解：（1）对抗训练动态由三个阶段控制，并且在第三阶段发生鲁棒过拟合，自然能量与对抗能量之间出现剧烈的分歧；（2）通过将TRADES（TRadeoff-inspired Adversarial DEfense via Surrogate-loss minimization）的损失重新定义为能量的形式，我们显示TRADES通过将自然能量与对抗能量对齐的方式隐式减轻了过拟合问题；（3）我们经验性地表明，所有最新的鲁棒分类器都在平滑能量景观，我们通过基于基于能量的模型对理解对抗训练和加权损失函数的多个研究进行了统一。在严谨的证据的驱动下，我们提出了一种加权能量对抗训练（WEAT）的新型样本加权方案，其鲁棒性能在多个基准测试上与最先进的方法相匹配，在CIFAR-10和SVHN上进一步超越，在CIFAR-100和Tiny-ImageNet上也取得了优异的性能。我们进一步展示了鲁棒分类器的生成能力的强度和质量各不相同，并提供了一种简单的方法来提高这种能力，在没有进行生成建模训练的情况下，利用鲁棒分类器获得了显著的Inception Score（IS）和FID。我们的结果复现代码可在此链接获得：[http URL]。

Jul, 2024

本研究解决卷积神经网络（CNN）在面对微小图像扰动时的脆弱性，尤其是非均匀照明攻击所带来的挑战。通过引入一种新的非均匀照明攻击技术，研究显示CNN模型在NUI攻击下分类准确率显著下降，而通过将NUI攻击图像纳入训练集的防御策略，能够有效提升CNN模型的性能与鲁棒性。

Sep, 2024