深度神经网络由于其强大的表达能力,在图像,文本和语音等领域均取得了优异的成绩,并且受到了广泛的关注,因此其安全问题也显得尤为重要。迄今越来越多的研究证明深度神经网络的确存在脆弱性,即其输出结果容易受到对抗样本的误导,这些对抗样本是通过在原始输入上添加特定的扰动得到的。与图像领域中的对像素点添加细小的噪声不同,文本领域中的对抗样本可以理解为,通过对原始文本中的某些词语进行难以察觉的修改从而导致文本分类器作出错误预测。目前已提出的文本对抗样本生成算法大都在白盒条件下对模型实现对抗攻击,并且大多方法应用于英文语境。但是,显然黑盒条件下的攻击更接近现实的攻击场景。此外,由于中文的表意文字和英文的表音文字在结构上存在巨大的差异,针对中文语境下的研究也同样具有深远的意义。基于以上问题,本文进行了主要包括以下三个方面的工作:(1)在黑盒场景下,提出了一种基于多种关键词语修改策略的中文文本对抗样本生成方法。在文本对抗样本的生成过程中,首先要解决如下两个问题:如何在原始文本中确定需要修改的词语的位置,以及如何对这些词语进行修改才能在尽量不影响人类理解的同时还能导致分类器做出错误预测。基于上述分析,本文方法先利用句子独立性设计关键词语贡献值计算方法,来有效定位重要词语位置。并根据中文文本结构和语言特性设计出汉字拆分替换的关键词语修改策略,同时还将汉字交换和字符插入两种修改策略应用于中文对抗样本。(2)验证中文对抗样本生成算法的有效性。在两个情感分析数据集和一个垃圾邮件数据集中,对一个长短期记忆网络(Long Short-Term Memory,LSTM)实施对抗攻击,并通过LSTM模型分类准确率的降低程度来反映对抗样本的有效性。随后,经过讨论将最大的词语修改个数限制为15。实验结果表明由携程,京东和trec06c数据集中的文本所生成的对抗样本,最多能分别使LSTM模型的准确率下降46.36%,47.41%和50.51%,这可以证实本文方法能够对文本分类器实施有效攻击。(3)对生成的文本对抗样本进行全面地讨论和分析。首先,分析被攻击模型提取到的关键词语分布与正负样本中的高频词语分布之间的关系,并讨论不同的分布情况对对抗样本攻击性的影响。之后,基于对可读性和词移距离分布两方面的评估结果表明本文生成的文本对抗样本具有较高质量。此外,详细探讨在对抗样本生成过程中涉及到多种分词方式和多种文本长度时,对抗样本所具有的攻击效果,以说明本文方法具有良好的鲁棒性。最后,使用由LSTM模型生成的对抗样本对具有相同任务的不同分类模型进行对抗性攻击,以验证该方法的迁移性。其中,包括Text CNN,DPCNN,百度AI情感分析开放平台和腾讯云情感分析服务在内的文本分类器,在受到LSTM模型生成的文本对抗样本攻击时,识别准确率均有所下降。该结果可以证明本文生成的对抗样本可以迁移到具有不同结构且使用不同数据集进行预训练的模型中去。