对抗攻击是指将精心设计的噪声叠加到一个被正确分类的干净样本上,使神经网络做出错误分类。基于硬标签的对抗攻击方法通过向目标神经网络发送查询,仅利用硬标签信息,便可以生成对抗样本,实现攻击目标。由于现实世界中,攻击者并不知道神经网络输出的概率分布,往往只能得到硬标签,所以评估神经网络对基于硬标签的黑盒攻击下的鲁棒性更加符合实际。基于硬标签的黑盒对抗攻击方法主要分为两大研究方向:（1）对处于决策边界的对抗图像进行梯度估计来生成对抗样本,达到高查询利用率、快速减少失真的目的。这种方法亦被称为边界攻击方法,仅利用硬标签信息便可使攻击成功率达到100%;（2）重点攻击影响神经网络决策的部分重要像素,极大降低待攻击的维度数量。本学位论文正是围绕基于硬标签的对抗攻击的这两大方向展开研究,具体工作如下:（1）提出了一种基于拉丁超立方体采样的边界攻击方法LHS-BA。本方法采用拉丁超立方体采样方法采样随机噪声,后利用目标模型输出的硬标签估计梯度方向,进而生成对抗样本,达到高查询利用率、快速减少失真的目的。LHS-BA具有以下优点:（i）通过高效估计梯度进一步节约查询次数:通过拉丁超立方体采样方法获取的噪声集合是均匀散布的,因而噪声样本可以有效代表抽样空间,提高了估计梯度的准确度;（ii）实验结果表明,通过LHS-BA生成的对抗样本具有更低的样本失真,实现了更好的攻击效果。（2）提出了一种特定于大尺寸图像的黑盒对抗攻击SLIA。SLIA算法专门针对如Image Net的大尺寸图像数据集,重点攻击影响神经网络决策的部分重要像素,通过利用更少的模型查询数量生成对抗样本。SLIA具有以下优点:（i）显著降低查询复杂度:仅对图像的低频子带进行梯度估计并对其扰动,将待优化的维度数量降低到原来的1/4;（ii）进行非目标攻击初始化时,SLIA用随机采样的均匀噪声替代原始图像的低频子带,可使在使神经网络分类错误的情况下,保留原始样本的更多细节;（iii）通过在Image Net数据集上进行广泛实验,证明了提出的SLIA在失真减少方面表现最佳,有更好的攻击效果。