随着人工智能的蓬勃发展,深度神经网络在图像分类,自动驾驶,场景监控,医疗健康等领域都得到了广泛的应用。在深度神经网络取得巨大成功的同时,其安全性问题也越来越受人关注,当前大量研究表明神经网络易受对抗样本攻击,以图像识别为例,通过在原始图像上添加一些人眼不可识别的微小扰动就能让模型无法正确运作。在人工智能越来越频繁地运用在需要高安全性应用的时代,对抗样本的存在无疑会成为人工智能发展的一大阻碍,因此研究对抗样本对推进人工智能的发展有着非凡的意义。根据对目标模型内部信息的了解情况,可将对抗样本攻击分为白盒和黑盒攻击,白盒攻击由于充分了解模型的结构、训练数据集、内部参数等信息可以很容易地生成对抗样本,而黑盒攻击仅能获取模型的最终决策结果,相较于白盒,攻击难度较大,但是更符合实际攻击场景,更具有威胁性。黑盒攻击是本文的主要关注对象。当前黑盒攻击往往需要过多访问目标模型,过多的访问次数,不仅增大了被发现的几率,同时在一些需要付费才能访问的应用上也增加了攻击成本,因此黑盒攻击的一大关注点是如何快速攻击。针对快速有效地生成对抗样本的问题,本文基于爬山算法的局部贪心思想提出了一种对抗样本生成框架,然后在该框架的基础上通过引入自编码器等改进策略,提出了一种基于有效扰动的对抗样本生成算法EDGM,该算法基于启发式思想,充分利用自编码器能生成更具有原始数据特征扰动的优点,能快速地生成对抗样本。此外黑盒攻击生成的对抗样本视觉效果往往较差。针对生成具有更好视觉效果对抗样本的问题,本文在黑盒攻击方法BANA的基础上,提出使用EDGM算法来改善初始种群的质量,根据卷积神经网络工作模式使用区域交叉操作,以及结合对抗样本生成特点使用更具有导向性的变异操作,经过这些改动之后改进后的算法在一定访问次数下能生成具有更好视觉效果的对抗样本。本文针对黑盒攻击的不同攻击需求,提出了两种对抗样本生成方法,两种方法均能在常见的卷积神经网络上实现有效的攻击,即使是对于有防御方法加强的模型,两种方法均有一定的攻击性,同时本文还与Auto-ZOOM和Hop Skip Jump算法进行了对比实验,实验结果表明,本文提出的方法具有一定的优势。