深度卷积神经网络模型已经成为图像分类应用的基石,在生物认证、智慧医疗、自动驾驶等场景中发挥重要作用。近年来,对抗样本揭示了卷积分类模型的脆弱性,向模型的安全性提出了严峻挑战。攻击者通过在原图像素上添加扰动生成对抗样本,令模型错误地判断图像类别,但对于人类视觉系统而言,对抗样本和原图的类别一致。然而,由于神经网络工作机理的高复杂性和不透明性,至今无法提出一步到位的方法使模型产生免疫。因此,以增强模型安全性为终极目标,一方面需要更多的对抗样本生成方法的研究,以从不同角度揭示模型的脆弱性,另一方面需要研究解释模型脆弱性的方法,为模型设计者从结构上增强模型的抗攻击性提供有益参考。根据对抗扰动添加区域的设定,现有攻击可分为全局扰动攻击和局部扰动攻击。由于允许修改的区域较小,局部扰动攻击更好地保持了整体的图像质量,但现有方案被修改的区域呈现为明显的人为噪声,易被人工检测者判定为异常,导致攻击失败。因此,如何提高隐蔽性是需要解决的重要问题。进一步地,面对大量以不同思路提出的攻击方法,如何从攻击过程中总结出共性,也即找到一种解释模型脆弱性的方法,具有重要的研究意义。本文针对上述难点展开研究,主要工作总结如下。为了实现高隐蔽性的局部扰动攻击,本文提出一种基于深度特征对齐的隐蔽边框攻击方法。首先,该方法选择在像素量极少的图像边缘区域添加扰动,不易引起注意。进一步地,为了避免修改后的边框被人工检测者察觉,本方法在对抗样本构造的过程中借助辅助的卷积网络模型分别提取原边框和对抗边框的深层特征,将二者差异作为损失函数约束扰动,最终在保证攻击精度的前提下使得修改的区域不易被察觉,隐蔽性相较修改类似区域的局部攻击方法有显著提升。所提攻击方法在保持对抗样本与原始图像具备平均98.1%的结构相似度的同时,能够达到98.8%的定向攻击成功率。并且相关实验表明,在面对防御方案时,所提攻击相比现有方法具备更强的鲁棒性。为了从模型结构的角度给出模型脆弱性的解释,本文提出一种基于卷积神经网络特征图激活差异的模型脆弱性解释方法。通过分析卷积模型的组成结构和工作流程,本文认为卷积模型的脆弱性与前向传播过程中无法主动核验特征图激活状态的合理性有关,这一猜想在进行正常图像与对抗样本激活模式的统计学分析后得到证实。为了更完整更精确地刻画激活模式的差异,本方法将激活模式的提取转化为对抗样本检测问题,设计一个全连接网络作为对抗样本检测模型,隐式地提取对抗样本和正常图像的激活模式。检测模型在主流分类模型和对抗攻击上具有较高的准确率和较低的时延,既验证了所提脆弱性解释方法的合理性,又可直接用于现有分类模型的安全防护。