随着机器学习领域关键技术的突破,基于机器学习的系统被广泛部署于多种应用场景中。然而,一些最新的研究指出,机器学习模型的训练数据易被污染:攻击者通过将精心设计的中毒数据注入目标模型的训练集,可使机器学习模型的性能大幅下降,甚至可在系统中创建隐蔽的后门。本文研究了机器学习模型训练数据所面临的安全性问题,即中毒攻击和后门攻击,其均可通过训练数据中毒的方式来实施。本文具体的研究内容和贡献如下:1)本文针对自适应指纹认证系统提出一种基于线性漂移的中毒攻击方法。与面向其他生物特征识别系统的中毒攻击相比,指纹的特征表示更为复杂,因此构造中毒样本实施攻击的难度更大。提出的方法通过对目标受害者指纹模板的细节表示矩阵进行线性变换来构造一系列中毒样本,然后将这些中毒指纹样本提交给指纹认证系统实施中毒攻击。利用目标认证系统的模板自更新机制,系统中用户存储的初始指纹模板将会中毒且不再可用。该方法每轮攻击时构造的有毒样本与当前存储模板极其接近,因而所实施的中毒攻击非常隐蔽。2)本文针对深度学习模型提出两种新型的后门攻击方法:多触发和多负载后门攻击。不同于已有的后门攻击每次只能用单个后门攻击单个目标类别,本文提出的多负载后门攻击方法可以用不同强度的同一后门攻击多个目标类别,而在所提出的多触发后门攻击方法中,仅当所有后门都存在时才会触发后门攻击,单个后门则不会触发攻击。与现有后门攻击方法相比,提出的两种后门攻击方法可在注入更少或相同比例后门实例的情况下取得更佳或相似的性能。在面对当前先进的后门防御方法（如聚类激活和神经清洗）时,所提出的两种攻击方法依然是有效和鲁棒的,很难被检测到。3)本文针对基于深度神经网络模型的人脸识别系统提出了隐蔽的后门攻击方法。与现有攻击利用显眼的面部饰品作为后门攻击的触发器不同,提出的方法可根据被攻击的物体（即人脸）的特征来针对性地构造隐蔽的后门信号。本文首次利用面部生理特征作为嵌入后门的载体,将后门信号分别隐藏在人脸的眉毛和胡须中。提出的方法可对先进的人脸识别模型实现高攻击成功率,而几乎不影响目标模型的正常使用。此外,生成的后门人脸图像在视觉上看起来很自然,其中添加的后门极其隐蔽,几乎不会被人察觉。所提出的方法可在严苛的身份认证场景中实施,如不能佩戴眼镜或饰品的安检场合。