研究表明，神经网络在各种机器学习任务中表现出色，但仍然容易受到对抗性扰动的攻击。这篇论文探讨了对抗性攻击中人可识别特征的识别，并揭示了在无目标攻击和有目标攻击中出现的两种不同效应。通过提取像素级注释的特征，论文证明了这些特征能够破坏目标模型，并指出不同攻击算法在多个模型上平均后的扰动具有显著的相似性。该研究为更深入地理解对抗性攻击的机制及神经网络的防御策略提供了洞察。

Sep, 2023

该研究提出了一种基于类别和层次深度特征分布建模和利用的新型对抗攻击方法，其可实现针对未受保护的 ImageNet 模型的最先进的有针对性的黑盒转移攻击结果，并且具有攻击过程可解释性和可解释性的优先级。

Apr, 2020

本文以 Fast Gradient Sign Method 为基础，对面部图像数据集进行扰动，测试不同黑盒攻击算法的鲁棒性，并重点研究修改单个最佳像素或所有像素的攻击方法。研究结果表明，所有像素攻击方法能使分类器置信度平均下降至 84％，且 81.6％的误分类率，但这些图像始终可以被人类识别。该研究可为防御性对抗攻击、自适应噪声降低技术等方面的 DNNs 训练和研究提供宝贵的参考。

Jan, 2020

研究表明，即使没有内部知识，对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的，这暴露了深度神经网络的弱点，为设计安全的网络提供了检验。

Dec, 2016

利用目标样本的样式和内容信息以及其类边界信息创建对抗性扰动，将其应用于多任务目标并进行深度监督，提取多尺度特征知识以创建最大分离对手，随后提出最大间隔对抗训练方法，最小化源图像与其对手之间的距离，并最大化对手和目标图像之间的距离，证明与最先进的防御相比，我们提出的对抗训练方法表现出强大的鲁棒性，对自然出现的损坏和数据分布变化具有良好的泛化能力，并保留了模型在干净样本上的准确性。

Jul, 2020

本文探讨在可对抗的变形情况下检测对抗攻击，并提出一种名为 defense perturbation 的新方法来检测具有相同输入变换与可靠的对抗攻击。同时介绍了多网络对抗例子，这种对抗例子可以同时欺骗多个网络。

Jan, 2021

本研究发现卷积神经网络（CNN）的颜色不变性问题，并提出了一种称为 Color Channel Perturbation（CCP）攻击的方法来破坏 CNN 的鲁棒性。针对 CCP 攻击，本研究在 CIFAR10、Caltech256 和 TinyImageNet 数据集上对 VGG、ResNet 和 DenseNet 进行了实验，并提出了一种主要防御机制，通过增强训练数据集来应对此问题。实验结果表明，在 CCP 攻击下，CNN 模型的表现会显著下降，本研究提出的解决方案在 CNN 鲁棒性方面取得了最新的性能，并通过 https://github.com/jayendrakantipudi/Color-Channel-Perturbation-Attack 公开了相应代码。

Dec, 2020

本文通过研究表明，图像分类网络对于对抗性攻击的脆弱性与其性能之间是一种互相联系的关系，因为网络中最容易受攻击的输入图像方向也是它们用于实现其分类性能的方向。此外，这种关系对于构建既精确又具有抵抗对抗攻击能力的神经网络具有深远的影响。

Jul, 2018

针对深度神经网络易受对抗性攻击的问题，本文提出了一种基于特征重构的防御方法，具体来说，通过将每个类别的特征强制限制在一个凸多面体内，使得网络学习到的决策区域更加独特和远离各个类别的边界，提高了网络的鲁棒性，同时在干净图像的分类性能上不会退化。

Apr, 2019

该研究讨论在深度神经网络（DNN）图像分类器范围内的黑盒传递目标对抗攻击威胁模型，提出的方法通过扰动特征层级上的表示来模仿其他类别，使用灵活的攻击框架显示出 ImageNet DNNs 之间的最新目标传输性能，并说明其优越性，相比于其他黑盒传输方法，成功率提高了 10 倍，该方法胜过现有的攻击策略，并在有限的黑盒模型查询情况下同时展示了该方法的扩展性。

Apr, 2020