随着深度学习模型在人脸识别、安防监控、无人驾驶等安全敏感性任务中的广泛应用,围绕深度模型展开的攻防逐渐成为信息安全领域研究的热点。黑盒攻击作为现实世界中最为常用的攻击类型,在不知道模型具体结构、参数、使用的数据集等情况下,攻击者通过查询目标系统,充分利用反馈的输入输出对信息来训练替代模型并为之生成对抗样本,然后利用对抗样本的迁移性去攻击目标系统。本文提出了两类基于集成的黑盒攻击策略来阐述深度学习模型脆弱性的存在并有效证明了对抗样本的迁移性与集成替代模型差异性之间的关系。正因为对抗样本的存在,合理分析深度学习模型的脆弱性并设计出更加鲁棒的模型来对抗黑盒攻击成为迫切需要。传统基于单模型的对抗性训练防御算法在抵御黑盒攻击时性能十分有限,而基于多模型的集成对抗性训练却难以有效抵御强迁移性的对抗样本。为此,在原生的集成对抗性训练方法中融入对抗样本强度搜索策略,选出较优的对抗样本强度进行批量混合对抗性训练,并采用量化输入机制降低对抗样本空间维度,减缓对抗样本迁移性,真正实现不损失模型在测试集上精度的同时,保证抵御黑盒攻击的能力。本文在交通标识识别应用中验证了集成对抗性黑盒攻击策略、批量混合对抗性训练的有效性。另外,为了加快对抗样本的生成速率和集成对抗性训练过程,还尝试使用分布式框架实现深度神经网络的分布式训练。