本文研究深度神经网络中的对抗样本问题，提出了一种新的扰动方法：利用空间变换生成对抗性样本以增强样本的感知逼真度，证明这种方法在现有防御系统方面更加具有挑战性，并通过可视化技术研究神经网络对不同类型对抗样本的感知。

Jan, 2018

本文针对深度神经网络生成对抗样本的问题展开了研究，提出了针对 3D 物理性质改变的对抗样本生成方法，并通过在 2D 输入图像前增加可渲染模块的方式，成功地将对抗扰动提升到物理空间，检验了所设计的方法的有效性。

Nov, 2017

本文提出了一种新类的对抗样本 ——“语义对抗样本”，即通过对图像进行任意扰动来欺骗模型，但修改后的图像在语义上代表的仍是原始图像，通过构建约束优化问题和基于人类认知系统的形状偏置特性的对抗变换，生成对抗图像的颜色转移极大影响了 Deep neural networks 模型精度。

Mar, 2018

通过以人类色彩知觉为基础的感知色距离来减小图像干扰，以提高对抗性和视觉不可察觉性，在对比 $L_p$ 距离的基础上，创造出两种以感知色距离为基础（PerC-C&W 和 PerC-AL）的图像干扰方式，并证明这种方法在稳健性和可转移性方面优于传统方式。

Nov, 2019

本文提出了一种基于黑盒技术的新型对抗样本攻击方法，针对原始图像最小化 l0 距离。实验证明，该攻击方法优于或与现有技术相当。同时，我们可引入部件约束来提高分类器对稀疏和不可察觉的对抗性操纵的鲁棒性。

Sep, 2019

本研究提出了一种结构保持转换（SPT）方法生成自然且多样化的对抗样本，它允许在保持对人的分类器至关重要的结构模式的同时，让对抗样本呈现可感知的偏差，具有极高的可迁移性。在 MNIST 和 Fashion-MNIST 数据集上的实证结果表明，本研究的对抗样本可以轻松地绕过强有力的对抗训练，并且可以在攻击其他目标模型时有着自然的表现，并且攻击成功率有所下降或没有下降。

Sep, 2018

通过使用生成对抗网络在潜在空间中注入对抗性扰动，避免了基于边缘的先验条件并确保了与基于像素的对抗性攻击方法相比视觉上真实的高度，实现了在 MNIST，CIFAR10，Fashion-MNIST，CIFAR100 和 Stanford Dogs 数据集上生成对抗攻击的有效性。

Apr, 2023

通过引入感知度量标准，提出一种新的对抗攻击威胁模型，探究不同攻击样式之间的融合以及在此基础上进行对抗训练，从而实现在保持感知扭曲度不变的情况下取得更高的误分类率。

Feb, 2019

本文提出一种基于图像语义的黑盒对抗攻击方法 ColorFool，可以生成无限制扰动并通过颜色选择实现隐藏，相较于其他五种方法在场景和对象分类任务中对三种深度神经网络的对抗攻击中表现出更高的成功率，对防御框架表现更强，具有更强的传递性。

Nov, 2019

通过引入语义感知扰动来生成有效和逼真的对抗性样本，该方法在复杂数据集（如 ImageNet 和 MSCOCO）上针对图像分类和图像字幕任务进行了有效应用，且经综合用户研究证明其较其他攻击更为逼真。

Apr, 2019