针对深度学习系统中的对抗样本存在的挑战，提出了一种基于频率的对抗样本理解方法，并分析了在频率约束下训练鲁棒性模型的性质及其准确性与鲁棒性之间的权衡关系。

Oct, 2021

系统地控制扰动的频率分量，通过对 NeurIPS 2017 竞赛中排名靠前的防御提交的评估，我们在黑盒和白盒转移设置下实验证明，只有保留低频分量时，才会出现性能提高，事实上，基于对抗训练的防御模型对于低频扰动的漏洞与未经防护的模型相当，这种漏洞暗示了高频对抗扰动是高阶失真测量标准引人质疑的。

Feb, 2019

该研究介绍了一种新颖的对抗性攻击方法 - WaveTransform，能够分别（或同时）创建低频和高频子带对应的对抗性噪音，通过对小波分解频带进行分析并构建对抗例子来攻击多个 CNN 模型，并被证明对抗性攻击的强度和转移能力都非常高。

Oct, 2020

通过利用深度神经网络对图像高频分量的扰动的脆弱性，我们提出了一种新方法来生成可转移的有针对性对抗样本，该方法通过训练条件生成器生成针对性的对抗扰动，并将其添加到图像的低频分量中，实验证明我们的方法显著优于现有的方法，将有针对性攻击成功率提高了 3.2% 至 15.5%。

Oct, 2023

本文提出了一种基于低频领域的对抗攻击方法，能够有效地减少模型查询次数，即使模型和防御策略未知，也能规避图像转换的防御策略，并展示了使用该技术欺骗 Google Cloud Vision 平台模型查询次数极低的成果。

Sep, 2018

深度神经网络容易受到对抗攻击，本研究通过频率分解的特征融合方法和跨频率元优化方法，提高对正常训练模型和防御模型的攻击传递能力。

May, 2024

该研究针对深度神经网络在对抗样本上的脆弱性，提出了一种名为频率偏好控制模块的插件，它能够自适应地重新配置中间特征表示的低频和高频成分，以更好地利用频率进行鲁棒学习。实证研究表明，这种模块可以轻松地与任何对抗训练框架相结合，在不同体系结构和数据集上进一步提高模型的鲁棒性。此外，还进行了实验，以检验鲁棒模型的频率偏差如何影响对抗训练过程及其最终的鲁棒性，并揭示了有趣的见解。

Jul, 2023

本研究在深度神经网络安全领域提出了一种方法，即通过频率正则化和随机权重平均方法，提高 Adversarial Training 的鲁棒性，实现对 PGD-20、C&W、Autoattack 等方式的攻击具有更加强大的抵抗能力。

Dec, 2022

本文提出了一种基于离散余弦变换（DCT）的频率对抗攻击方法，以欺骗面部伪造检测器。通过引入融合模块来捕获对手在频率域中显着的区域，我们的方法比空间域中的现有对抗攻击更为难以察觉，并且不会降低原始图像的视觉质量。在实验中，我们发现该方法有效地欺骗了空间域和最先进的频率域检测器，并增强了面部伪造检测器之间的可靠性。

Mar, 2022

本文研究了透明的卷积神经网络中，输入频率分量的分布与模型学习的推理过程之间的关系，量化了不同频率分量对模型预测的贡献，并发现模型容易受到高频特征的攻击。研究表明，如果模型与低频成分有更强的联系，则模型更具鲁棒性，这也解释了为什么对抗训练模型更加稳健。

May, 2020