在图像分类任务中，我们提出了两种 JSMA 的变体，可以使模型误将饱和的像素分类为指定的错误目标类别，无需指定目标类别以及是否只增加或减少像素强度，并且降低了分类时间，可应用于手写数字和自然场景的数据集中。

Aug, 2018

提出了两种算法（RJA 和 MMR）来生成高效的对抗样本并提高样本的不可察觉性，并通过广泛实验表明，RJA-MMR 在攻击性能、不可察觉性、流畅性和语法正确性等方面优于当前最先进的方法。

Mar, 2024

本文提出了一种名为 MHA 的技术，采用 Metropolis-Hastings 采样，并结合梯度指导的方法构建攻击模型，实验证明该模型在攻击能力上优于基准模型，采用该模型进行对抗训练也能提高模型的稳健性和性能。

Jul, 2020

该研究从最大化边界的角度研究了神经网络的对抗鲁棒性，并提出了 Max-Margin Adversarial（MMA）训练方法，以直接最大化边界来实现对抗鲁棒性，通过该方法在 MNIST 和 CIFAR10 数据集中实现了 robust 性

Dec, 2018

本研究提出了一个名为 MTAA 的多任务学习框架，可以同时识别攻击算法、受害模型和超参数三个签名，并使用不确定性加权损失来调整权重，从而提高该框架对于误报的处理能力。

Feb, 2023

本文提出了一种新型的 Max-Mahalanobis linear discriminant analysis (MM-LDA) 神经网络，结合了深度神经网络中的非线性变换和分类器的优化，这种方法在应对对抗攻击方面更具鲁棒性，并且在类别不平衡分类的表现也更加出色。

Feb, 2018

本文通过使用 GAN 生成无约束对抗样本并在潜空间中成功操纵潜向量以欺骗分类模型，提出了一个新的方法：Latent-HSJA，该方法在黑盒设置中只能访问分类模型的前 k 项决策，是对少量查询的分类模型强度评估的有效方法。

Aug, 2022

本文提出了一种名为 Meta Gradient Adversarial Attack（MGAA）的新型结构，采用元学习的思想，插入攻击方法以提高跨模型的传递性，通过缩小白盒和黑盒攻击之间的梯度方向差距来改善黑盒设置下的对抗样本的传递性。在 CIFAR10 和 ImageNet 数据集上的实验结果表明，本文所提出的结构在黑盒和白盒攻击设置方面胜过了现有的最先进方法。

Aug, 2021

本文采用 ADMM（Alternating Direction Method of Multipliers）的算子分裂优化方法来生成对抗样本，统一了 L0，L1，L2 和 L infinity 攻击的方法，与当前领先的攻击方法相比，实验结果表明本文的 ADMM-based methods 是迄今为止最强的，能够实现 100% 攻击成功率和最小扰动。

Apr, 2018

在黑盒硬标签文本对抗攻击中，提出了一种名为 HQA-Attack 的简单而有效的框架，可以在有限的查询预算下生成高质量的文本对抗样本，具有高语义相似性和低扰动率。

Feb, 2024