深度学习在图像识别领域具有广泛的应用,然而最近的研究表明其极易受到对抗样本攻击,导致性能严重下降。对抗样本的一个重要特点是跨模型迁移性,即针对已知模型生成的对抗样本能以极大概率欺骗另一个未知模型。因此,在无法访问目标系统时攻击者可以利用该特性在替代模型上制作对抗样本来进行恶意攻击。探索对抗样本的迁移性特点以及生成具有更强迁移能力的对抗样本不仅能衡量模型的鲁棒性,也能对模型的安全防御给予针对性指导。此外,在对抗黑灰产的商业防识别场景中,高迁移性的对抗样本也发挥了良好的作用。本文分别从特征空间和模型梯度两个方向对对抗样本的迁移特点进行了研究,并提出了新的提高对抗样本迁移能力的对抗样本生成方法。首先,本文分析了传统对抗样本生成方法的缺陷,这些方法将替代模型视为单个组件,仅使用输出层信息,忽略了深度学习模型的内部体系结构特征。为了更好地利用中间层信息,我们从迁移学习领域的工作得到启发,即不同架构的深度学习模型的中间特征表示是相似的。因此,我们猜测中间特征的扰动是可以迁移的,实验表明对抗样本的迁移能力与特征空间扰动的大小成正相关。进而提出基于特征空间扰动的对抗样本生成方法,即最大化原始样本和对抗样本之间在中间特征层的均方误差。在Image Net数据集上的对比实验结果表明,相较之前的方法,提高了平均6%左右的黑盒攻击成功率。其次,本文研究了深度学习模型的梯度破碎现象对对抗样本的迁移性的影响,发现其会限制对抗样本的迁移性。为了解决上述问题,提出了基于自集成梯度的对抗样本生成方法,通过同时攻击多个经过精度保持变换的原始图像副本以获得集成梯度,取代梯度破碎现象造成的噪声梯度,从而提高对抗样本的迁移性。Image Net数据集上的大量对比实验表明,该方法极大地提高了对抗样本的迁移性,以10%到30%的黑盒攻击成功率超过当前最优方法。