随着人工智能技术的发展,各种基于人工智能的产品和服务逐渐在产业界落地应用,人工智能技术的崛起主要依托于深度学习模型在机器学习任务中取得的突破性进展。但是最近的研究表明,深度学习模型易受到对抗攻击的威胁,对抗攻击的研究已成为人工智能安全领域的一个热点。研究对抗攻击对于评估机器学习算法的完整性和安全性、评估模型的鲁棒性以及促进防御算法的产生都有着积极意义。在对抗攻击中,基于决策的黑盒攻击需要对模型进行有限的查询获得标签,在不能获得其他信息的条件下进行攻击,是最具挑战性的问题之一。该类攻击一直存在查询次数高和攻击成功率低的问题,从评估防御机制的角度来看,查询预算较小有助于节省评估公共平台的鲁棒性的成本,因此,本课题研究如何进一步提高基于决策的黑盒攻击的性能,具体研究内容如下。首先,在简述对抗样本的概念及其产生原因的基础上,分析基于决策的黑盒攻击方法的主要思路,并回顾了最新的基于决策的黑盒攻击方法的特点及其应用场景,通过分析与总结,提出了优化黑盒攻击的思路和技术路线。其次,针对基于优化的攻击方法查询次数高、攻击时间长和对高维数据集攻击效果不好的问题,提出了基于随机坐标选择法的改进策略,并在CIFAR-10数据集和Image Net数据集上进行对比实验。改进方法在高维度的数据集下表现较好,并可以收敛到一个更小的扰动,且缩短了攻击的时间。然后,针对进化攻击方法收敛时的扰动较大且攻击成功率较低的问题,提出了基于离散余弦变换的低频扰动改进策略并在CIFAR-10数据集上进行验证。在相同的查询次数限制下,改进后的方法收敛速度更快,另一方面,改进后的方法可以找到更小的扰动且有效地提高了攻击成功率,尤其是对于几百次的查询次数限制,改进后的方法更有效。最后,本文基于以上的研究内容,设计并实现了一个图像识别对抗攻击系统。通过大量的定性与定量实验验证了攻击方法的有效性。实验结果表明改进后的攻击方法在提高查询效率和攻击成功率的同时,可以找到更小的扰动,生成质量更好的对抗样本,提高了基于决策的黑盒攻击的性能。