随着人工智能的快速发展,已经有越来越多的基于深度学习的方法被提出并广泛地应用于生产实践中,而以对抗样本为代表的深度学习安全性问题也引起了越来越多的关注。当前的众多研究表明对正常的图像添加精心构造、人眼难以察觉的微小扰动,得到的对抗样本会使得深度学习图像分类模型做出错误的判断,并造成严重的安全问题,因此研究对抗样本以揭示模型的安全问题有着巨大的意义。根据敌手对被攻击模型的知晓程度,可以将对抗样本的生成分为白盒攻击、黑盒软标签攻击和黑盒硬标签攻击,其中白盒攻击方法已经比较成熟,本文重点关注黑盒场景下的图像对抗样本生成问题。当前的黑盒攻击方法需要对模型进行非常多次的访问,且生成的扰动较大,攻击结果不理想,因此本文在黑盒软标签场景和黑盒硬标签场景分别提出一种对抗样本生成方法以减少对模型的扰动和访问次数,具体如下:在黑盒软标签场景下,本文提出一种基于交叉熵算法的对抗样本生成方法CEMA,该算法利用自编码器降低对抗样本生成问题的搜索空间,并在低维空间利用交叉熵算法求解最优扰动,在MNIST、CIFAR10和Image Net数据集上的实验结果表明CEMA可以实现对三种数据集的有效攻击,对比实验结果表明,在l∞最大扰动限制小于4/255下,Image Net数据集上CEMA攻击成功率高于NES、SPSA和Auto ZOOM各9.6%、4.6%、4%。针对使用JPEG进行数据预处理增强的模型,限制最大访问为2500,CEMA攻击成功率高于NES、SPSA、Auto ZOOM各6.5%、9.1%、2.7%,针对使用convex进行网络增强的模型,CEMA攻击成功率高于NES、SPSA、Auto ZOOM各6.6%、5.1%、4.8%。在黑盒硬标签场景下,本文提出一种基于协方差矩阵自适应进化策略的对抗样本生成方法CMA-ESA,该方法使用二分搜索法搜索距离原始数据较近的对抗样本,从而提升初始解的质量,利用双线性插值降低问题的搜素维度,并使用自适应协方差矩阵对搜素空间上样本点的局部几何结构进行建模,利用CMA-ES算法求解具有攻击性的最小扰动。在CIFAR10和Image Net上的实验结果表明,限制最大访问次数为5000,CMA-ESA攻击成功率高于Opt、Boundary和HSJA各3.6%、40.5%、2.3%。在使用ALP进行对抗训练的模型上,CMA-ESA的攻击成功率也高于Opt和Boundary各7%以上。