：警告：已弃用

我不再包含最新的论文，但该列表对于初学者来说仍然是一个很好的参考。

令人惊叹的对抗机器学习：

一份精心整理的优秀对抗机器学习资源列表，灵感来源于 awesome-computer-vision。

目录

• 博客
• 论文
• 演讲

博客

• 在ImageNet上攻破线性分类器，A. Karpathy 等。
• 破坏事物很容易，N. Papernot & I. Goodfellow 等。
• 用对抗样本攻击机器学习，N. Papernot、I. Goodfellow、S. Huang、Y. Duan、P. Abbeel、J. Clark。
• 鲁棒的对抗样本，Anish Athalye。
• 对抗样本简要介绍，A. Madry 等。
• 训练鲁棒分类器（第1部分），A. Madry 等。
• 对抗机器学习阅读清单，N. Carlini。
• 评估对抗样本防御措施的建议，N. Carlini。

论文

通用

• 神经网络的有趣特性，C. Szegedy 等，arXiv 2014年。
• 解释与利用对抗样本，I. Goodfellow 等，ICLR 2015年。
• 为对抗样本研究制定游戏规则的动机，J. Gilmer 等，arXiv 2018年。
• 狂野模式：对抗机器学习兴起十年之后，B. Biggio，模式识别 2018年。

攻击

图像分类

• DeepFool：一种简单而准确的欺骗深度神经网络的方法，S. Moosavi-Dezfooli 等，CVPR 2016年。
• 深度学习在对抗环境中的局限性，N. Papernot 等，ESSP 2016年。
• 机器学习中的迁移性：从现象到使用对抗样本的黑盒攻击，N. Papernot 等，arXiv 2016年。
• 物理世界中的对抗样本，A. Kurakin 等，ICLR研讨会 2017年。
• 深入研究可迁移的对抗样本和黑盒攻击 Liu等，ICLR 2017年。
• 迈向评估神经网络的鲁棒性 N. Carlini 等，SSP 2017年。
• 使用对抗样本对深度学习系统进行实用的黑盒攻击，N. Papernot 等，Asia CCS 2017年。
• 隐私与机器学习：两个意想不到的盟友？，I. Goodfellow 等。

强化学习

• 对神经网络策略的对抗攻击，S. Huang 等，ICLR研讨会 2017年。
• 深度强化学习智能体的对抗攻击战术，Y. Lin 等，IJCAI 2017年。
• 深入研究对深度策略的对抗攻击，J. Kos 等，ICLR研讨会 2017年。

分割与目标检测

• 语义分割和目标检测的对抗样本，C. Xie，ICCV 2017年。

VAE-GAN

• 生成模型的对抗样本，J. Kos 等，arXiv 2017年。

语音识别

• 音频对抗样本：针对语音转文本的定向攻击，N. Carlini 等，arXiv 2018年。

问答系统

• 用于评估阅读理解系统的对抗样本，R. Jia 等，EMNLP 2017年。

防御

对抗训练

• 大规模的对抗机器学习，A. Kurakin 等，ICLR 2017年。
• 集成对抗训练：攻击与防御，F. Tramèr 等，arXiv 2017年。

防御蒸馏

• 蒸馏作为抵御深度神经网络对抗扰动的防御措施，N. Papernot 等，SSP 2016年。
• 扩展防御蒸馏，N. Papernot 等，arXiv 2017年。

生成模型

• PixelDefend：利用生成模型理解和防御对抗样本，Y. Song 等，ICLR 2018年。
• 通过视觉预见检测神经网络策略上的对抗攻击，Y. Lin 等，NIPS研讨会 2017年。

正则化

• 使用虚拟对抗训练进行分布平滑，T. Miyato 等，ICLR 2016年。
• 半监督文本分类的对抗训练方法，T. Miyato 等，ICLR 2017年。

其他

• 深度神经网络很容易被欺骗：对无法识别的图像给出高置信度预测，A. Nguyen 等，CVPR 2015年。

演讲

• 统计模型能理解世界吗？, I. Goodfellow, 2015
• 遭受攻击的分类器, 大卫·埃文斯, 2017
• 机器学习中的对抗样本, 尼古拉斯·帕佩诺, 2017
• 污染行为恶意软件聚类, Biggio. B, Rieck. K, Ariu. D, Wressnegger. C, Corona. I. Giacinto, G. Roli. F, 2014
• 在对抗性环境中进行数据聚类是否安全？, BBiggio. B, Pillai. I, Rota Bulò. S, Ariu. D, Pelillo. M, Roli. F, 2015
• 污染完全链接层次聚类, Biggio. B, Rota Bulò. S, Pillai. I, Mura. M, Zemene Mequanint. E, Pelillo. M, Roli. F, 2014
• 特征选择能否抵御训练数据投毒？, Xiao. H, Biggio. B, Brown. G, Fumera. G, Eckert. C, Roli. F, 2015
• 针对规避攻击的对抗性特征选择, Zhang. F, Chan. PPK, Biggio. B, Yeung. DS, Roli. F, 2016

许可证

许可证

在法律允许的最大范围内，Yen-Chen Lin 已放弃本作品的所有版权及相关或邻接权利。

awesome-adversarial-machine-learning 快速上手指南

项目说明：awesome-adversarial-machine-learning 并非一个可直接安装运行的软件库或框架，而是一个精选资源列表。它汇集了对抗性机器学习（Adversarial Machine Learning）领域的经典博客、学术论文和技术演讲。本指南旨在帮助开发者高效利用该列表进行学习和研究。

注意：根据原作者声明，该项目已不再持续更新最新的论文，但其收录的经典文献仍是入门该领域的绝佳参考。

1. 环境准备

由于本项目本质是文档索引，无需特定的系统环境或运行时依赖。但为了深入实践列表中提到的算法（如 DeepFool, FGSM, 对抗训练等），建议开发者准备以下基础环境：

• 操作系统：Linux, macOS 或 Windows
• 编程语言：Python 3.6+
• 深度学习框架（任选其一，视具体论文实现而定）：
  • PyTorch
  • TensorFlow / Keras
  • JAX
• 辅助工具库：
  • numpy, scipy, matplotlib
  • cleverhans (经典的对抗样本库，列表中多篇论文与此相关)
  • foolbox (另一个流行的对抗攻击库)

推荐安装基础科学计算环境：

pip install numpy scipy matplotlib jupyter

若需复现列表中的经典攻击与防御代码，推荐安装 cleverhans：

# 使用国内镜像源加速安装
pip install cleverhans -i https://pypi.tuna.tsinghua.edu.cn/simple

2. 获取与浏览资源

本项目没有传统的“安装”步骤，获取方式即为克隆仓库或直接在线浏览。

方式一：在线浏览（推荐） 直接访问 GitHub 仓库页面查看分类整理的链接： https://github.com/yenchenlin/awesome-adversarial-machine-learning

方式二：克隆到本地 方便离线查阅或作为个人知识库备份。

git clone https://github.com/yenchenlin/awesome-adversarial-machine-learning.git
cd awesome-adversarial-machine-learning

注：若 GitHub 访问缓慢，可使用国内镜像源（如 Gitee 上的同步仓库，如有）或通过代理加速。

3. 基本使用与研究路径

本项目的“使用”即是指引你阅读其中的资源并复现相关算法。以下是基于该列表内容的推荐学习路径：

第一步：建立概念认知 (Blogs)

先阅读列表中的 Blogs 部分，快速理解对抗样本的基本原理。

• 推荐阅读：
  • Breaking Linear Classifiers on ImageNet (Andrej Karpathy)
  • A Brief Introduction to Adversarial Examples (Aleksander Madry)

第二步：研读核心论文 (Papers)

根据研究方向选择 Papers 中的经典文献。

• 入门必读（通用理论）：

  • Intriguing properties of neural networks (Szegedy et al., 2014) - 发现了对抗样本现象。
  • Explaining and Harnessing Adversarial Examples (Goodfellow et al., 2015) - 提出了著名的 FGSM 攻击方法。

• 实战复现（攻击算法）： 若你想动手写代码实现攻击，可从 Attack -> Image Classification 分类入手：

  • DeepFool: 一种简单且准确的欺骗深度神经网络的方法。
  • Adversarial Examples In The Physical World: 研究物理世界中的对抗攻击。

• 防御研究（防御算法）： 若关注模型安全性，参考 Defence 分类：

  • Adversarial Training At Scale: 对抗训练的大规模应用。
  • Defensive Distillation: 利用蒸馏技术进行防御。

第三步：代码复现示例

列表本身不提供统一代码，但你可以结合 cleverhans 库复现列表中提到的 FGSM 攻击（源自 Goodfellow 的论文）。以下是一个基于 PyTorch 和 CleverHans 的最小化复现逻辑示例：

# 这是一个概念示例，展示如何利用相关库复现论文思路
import torch
from cleverhans.torch import fgsm

# 假设你已经加载了模型 (model) 和输入数据 (x)，以及真实标签 (y)
# x 需要设置为 requires_grad=True 以便计算梯度
x = torch.randn(1, 3, 224, 224, requires_grad=True)
y = torch.tensor([1]) 

# 定义损失函数
loss_fn = torch.nn.CrossEntropyLoss()

# 前向传播
logits = model(x)
loss = loss_fn(logits, y)

# 反向传播计算梯度
loss.backward()

# 使用 FGSM 生成对抗样本 (epsilon 为扰动强度)
# 对应论文: Explaining and Harnessing Adversarial Examples
x_adv = fgsm(model, x, eps=0.3, clip_min=0.0, clip_max=1.0)

# 测试对抗样本的效果
adv_logits = model(x_adv)
print(f"Original prediction: {logits.argmax()}")
print(f"Adversarial prediction: {adv_logits.argmax()}")

第四步：拓展视野 (Talks)

观看 Talks 部分的视频演讲，了解领域大牛（如 Ian Goodfellow, Nicolas Papernot）对对抗性机器学习的深度见解和未来展望。

---

提示：由于该列表涵盖范围广泛，建议针对具体感兴趣的子领域（如强化学习对抗、语音识别对抗等）深入挖掘对应的论文链接，并在 arXiv 或会议官网获取最新代码实现。