多标签图像分类（MLIC）广泛应用于场景理解、多目标识别、视觉问答等领域。虽然基于深度卷积神经网络（CNN）在图像分类中表现出了能够媲美人眼识别率的精度和性能,但基于CNN的分类模型已经被证明非常容易受到对抗样本的攻击。因此,对于MLIC系统的安全性研究成为一个亟待解决的问题。本文结合现实场景中多标签图像分类器的应用情况,对多标签图像攻击算法开展了研究。其主要内容包括:1、本文提出在多标签图像对抗攻击中,除了在单标签图像分类中引入的目标攻击和非目标攻击之外,还有一种针对多标签图像的新型攻击,即针对目标标签的非目标攻击。结合实际的应用场景给出了多标签图像指定目标标签非目标攻击的定义。2、提出多标签图像指定目标标签非目标攻击（UTLA）的算法模型,利用梯度迭代方法实现多标签图像的攻击算法。针对多标签图像标签之间存在共现关系,提出利用梯度类别响应图Grad-CAM裁剪扰动范围,减少攻击扰动对共现标签的影响,有效提高对指定类别标签的攻击成功率。3、针对实际应用场景中分类网络模型未知的黑盒情况,提出利用CNN模型之间的迁移性,通过替代模型融合的方式,训练融合替代模型生成对抗样本,将白盒条件下的ULTA扩展到了黑盒模型。并且与较为通用的黑盒攻击算法——边界决策攻击算法进行实验对比,验证了我们提出融合替代模型黑盒攻击算法在已知数据集的条件下有较好的攻击性能。4、针对黑盒攻击算法查询次数过多的瓶颈问题,探讨了在黑盒对抗攻击中如何减少对黑盒模型的查询次数,提高攻击的时间效率。提出了采用融合替代模型生成初始对抗样本,减少初始对抗样本需要查询次数的优化算法模型,并将其与其他常用黑盒攻击算法进行实验对比,验证了算法的有效性。