研究了基于 $l_1$ 投影的梯度下降算法，提出一种自适应算法 $l_1$-APGD 用于攻击和对抗训练，通过 $l_1$-AutoAttack 可以可靠地评估 $l_1$-ball 和 $[0,1]^d$ 威胁模型下的对抗容忍度。

Mar, 2021

本文提出了一种基于黑盒技术的新型对抗样本攻击方法，针对原始图像最小化 l0 距离。实验证明，该攻击方法优于或与现有技术相当。同时，我们可引入部件约束来提高分类器对稀疏和不可察觉的对抗性操纵的鲁棒性。

Sep, 2019

通过对局部化数据分布的理解，提出了一种基于几何形态的简单分类器 Box-NN，并在 MNIST 和 Fashion-MNIST 数据集上取得了对于稀疏攻击的认证稳健性方面的最新研究成果。

May, 2024

在这项研究中，我们提出了一个新的 l0 范数攻击方法，称为 sigma-zero，该方法利用了 l0 范数的一种特殊的可微近似来优化梯度，以及一个自适应的投影算子来动态调整损失最小化和扰动稀疏性之间的权衡。通过对 MNIST、CIFAR10 和 ImageNet 数据集进行广泛评估，包括稳健和非稳健模型，在不需要耗时的超参数调整的情况下，sigma-zero 发现了最小的 l0 范数对抗性示例，且在成功率、扰动大小和可扩展性方面优于所有其他竞争的稀疏攻击。

Feb, 2024

神经网络在输入上的微小扰动会导致错误分类，本文针对截断分类器的 l0 有界对抗攻击进行理论性能分析，证明了一个独立于分布的二分类设置的 l0 有界对抗扰动的新型泛化界限。

Feb, 2024

本文提出了一种新的基于 $l_p$-norms 的白盒对抗攻击方法，通过最小化扰动的大小来改变特定输入的类别，这个方法具有几何直观性，是一种性能优越的攻击方法，比专门针对一个 $l_p$-norm 的攻击方法具有更好的鲁棒性，并且可以解决梯度掩盖的问题。

Jul, 2019

本文提供了一种新的算法，用于逼近离散傅里叶变换的近似稀疏信号，该信号被最坏情况下的 $L_0$ 噪声污染，即信号的一定数量的坐标被任意破坏。我们的技术推广到了各种线性变换，如离散余弦变换、正弦变换、Hadamard 变换及其高维模拟。我们利用该算法成功防御了图像分类领域中著名的 $L_0$ 对抗者，对 MNIST、Fashion-MNIST 数据集上的基于 Jacobian 的显著性地图攻击 (JSMA)、Carlini Wagner (CW)$L_0$ 攻击以及在 ImageNet 数据集上的对抗性补丁的实验结果进行了讨论。

Dec, 2018

该研究聚焦于通过对抗性训练对抗机器学习和统计模型中的对抗攻击进行防御，通过研究广义线性模型中对抗性训练估计器的渐近行为，揭示其在 $\ell_\infty$- 扰动下的极限分布，在真实参数为 0 时对 0 处有正概率的特性，进一步提出了自适应对抗性训练，该方法能够提升对 $\ell_\infty$- 扰动下的对抗性训练的性能，并进行了数值实验来展示其对稀疏恢复能力的验证和与传统对抗性训练的实际表现的对比。

Jan, 2024

研究了基于优化问题的对抗攻击，使用双重变量来最小化对抗性噪声与规则化惩罚，针对非光滑 $p$- 范数进行极值点下降攻击，实验表明，比当前最先进的攻击方法在 MNIST、CIFAR-10 和受限制的 ImageNet 数据集上都优异表现。

Jun, 2021

本研究提出了一种基于 PGD-based 的方法，该方法融合多种扰动模型来提高深度学习系统的鲁棒性，并在 MNIST 和 CIFAR10 数据集上进行了测试。

Sep, 2019