本文通过白盒和黑盒攻击展示了当输入图像发生微小扰动时，现有的深度学习图像压缩系统容易受到攻击。为此，我们提出了一种新的压缩架构 factorAtn，它结合了注意力模型和因式熵模型，取得了更好的性能表现。

May, 2022

使用 JPEG 压缩作为分类管道中的预处理步骤，可以在对抗性攻击中起到作用，通过移除高频信号成分从而消除加性扰动。我们还提出了一种基于集合的技术，该技术可以快速构建一个性能良好的 DNN 集成，通过利用 JPEG 压缩来保护模型免受多种类型的对抗性攻击，而不需要了解模型。

May, 2017

通过基于简单图像转换函数的非训练型防御技术，研究了学习型图像压缩模型在面对对抗攻击时的稳健性，并提出了一种简单但有效的双向压缩算法，可方便地应用于现有的图像压缩模型，并且在保留对干净图像模型的原始失真率性能的同时，无需额外的训练或修改现有模型，更加实用。

Jan, 2024

研究深度神经网络在分类对抗图像时的安全风险，发现对于 Fast-Gradient-Sign 干扰强度较小的对抗图片，进行 JPG 压缩可以较大程度地逆转分类准确度下降效果，但随着干扰强度的增加，仅进行 JPG 重新压缩就不足以消除其效果。

Aug, 2016

通过综合考虑模型重塑和输入扰动，本研究首次探讨了实际模型优化的深度学习系统中的多因素对抗攻击问题，并开发了一种名为 “梯度抑制” 的防御技术，能够有效减轻对软硬件导向深度学习的对抗攻击。

Feb, 2018

通过引入语义感知扰动来生成有效和逼真的对抗性样本，该方法在复杂数据集（如 ImageNet 和 MSCOCO）上针对图像分类和图像字幕任务进行了有效应用，且经综合用户研究证明其较其他攻击更为逼真。

Apr, 2019

提出一种基于永续度量的方法，通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本，旨在打破相对有限的目前攻击的限制，并可将其通过多个网络扩展到多个任务。

Nov, 2018

利用自适应 JPEG 编码器来增强深度神经网络对抗性攻击的鲁棒性，不仅可以保持图像的视觉质量，而且无需更改分类器并且压缩图像可以被非定制的 JPEG 解码器解压。

Mar, 2018

本文探讨了针对文档和自然数据的对抗攻击方法，并通过对 ResNet50 和 EfficientNetB0 模型架构的对抗训练、JPEG input 压缩和灰度输入变换等方法的研究， 对文件图像分类任务中这些攻击的影响进行了评估。

Apr, 2023

本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020