本文提出了一种名为PixelDefend的新方法，可以通过将恶意扰动图像移回训练数据中所看到的分布来净化这些图片，然后在经过未经修改的分类器时进行分类，从而大大提高了各种最先进攻击方法的弹性。

Oct, 2017

探讨了采用图像转换策略，如降低位深、JPEG 压缩、总变量最小化和图像镶嵌等方法，以防御对图像分类系统的对抗性攻击。在 ImageNet 上的实验表明，总变量最小化和图像拼接是非常有效的防御方法，在网络对转换后的图片进行训练时表现尤为突出。最好的防御方法可以消除各种主要攻击方法的 60% 的强度灰盒和 90% 的强度黑盒攻击。

Oct, 2017

本文综述了计算机视觉领域深度学习中的对抗攻击及其防御方法，包括攻击的设计、存在性和实际应用的评估，旨在提供更全面的研究方向展望及其实际意义。

Jan, 2018

本文通过研究表明，图像分类网络对于对抗性攻击的脆弱性与其性能之间是一种互相联系的关系，因为网络中最容易受攻击的输入图像方向也是它们用于实现其分类性能的方向。此外，这种关系对于构建既精确又具有抵抗对抗攻击能力的神经网络具有深远的影响。

Jul, 2018

本文对基于深度学习的人脸识别技术进行了研究，提出了一种通过定向权重扰动的方法进行CNN后门攻击的一般性方法，通过案例研究证明了攻击者能够显著提高他们提供的输入被CNN虚假接受的几率，并同时保留合法注册类别的误差率。

Dec, 2018

本论文探讨了ViTs和CNNs在面对各种对抗攻击时的鲁棒性及其背后的因素，提出了一种名为Patch-Fool的攻击框架，通过对单个patch进行一系列attention-aware优化技术的攻击来愚弄其self-attention机制，并发现在Patch-Fool攻击下，ViTs不一定比CNNs更具鲁棒性。

Mar, 2022

本文综述了最近在图像分类任务中的UAPs的进展，并将其分类为噪声攻击和生成器攻击，并提供了每个类别中代表性方法的全面概述，同时还评估了不同的损失函数在一致的培训框架内的各种攻击设置的有效性，最后提供了扰动的一些可视化及未来的潜在研究方向。

Jun, 2023

我们提出了一种新颖和全面的方法，以提高对卷积神经网络（CNNs）中对抗性示例的攻击强度和传递性的评估，以及验证计算机网络应用中是否存在传递性问题。我们的研究结果表明，即使在计算机网络应用中，对抗性示例对安全的威胁需要开发新的防御机制来增强深度学习技术的安全性。

Oct, 2023

通过对深度学习模型的不同层进行敌对性扰动攻击验证，研究表明浅层的通道组合对模型的干扰较大，在不同攻击类型中具有共享的易受攻击通道组合，而不同攻击对隐藏表示的影响存在差异且与卷积核大小呈正相关，以此为基础为未来应用开发高效的应对性防御机制奠定技术基础。

May, 2024

最近，基于深度学习的图像到图像（I2I）网络成为了图像超分辨率和去噪等I2I任务的首选。然而，I2I网络的后门漏洞尚未得到探索。为了填补这一研究空白，我们对I2I网络对后门攻击的易感性进行了全面调查。具体而言，我们提出了一种新颖的后门攻击技术，其中被攻击的I2I网络在干净输入图像上表现正常，但在包含触发器的恶意输入图像上输出对手的预定义图像。为了实现这种I2I后门攻击，我们提出了一种针对I2I网络的有针对性的通用对抗扰动（UAP）生成算法，生成的UAP被用作后门触发器。此外，在包含主任务和后门任务的后门训练过程中，采用多任务学习（MTL）和动态加权方法加速收敛速度。除了攻击I2I任务外，我们还扩展了我们的I2I后门攻击，以攻击包括图像分类和物体检测在内的下游任务。大量实验证明了I2I后门对最先进的I2I网络架构的有效性，以及对不同主流后门防御的鲁棒性。

Jul, 2024