深度学习一直都是人工智能领域的一个重要分支。近年来,深度学习被广泛用于解决各种问题,而且已经在诸多的计算机视觉任务中取得了最新的,甚至识别能力超过人类的水平,其中包括智能识别、无人驾驶、图像分割等领域。然而最近的研究表明,深度神经网络的性能会因对抗样本的存在而大幅降低。攻击者通过在待识别的图像中添加精心设计的微小扰动,误导分类器做出错误预测。另一方面,在数字空间生成的扰动被应用在现实空间中被证实攻击依然有效。因此,对深度学习背景下对抗样本问题的研究,不仅有助于发现深度学习模型训练过程中可能存在的潜在问题,也有利于促进深度学习理论的学习研究,具有重要的意义。本文针对深度学习对抗样本问题,以车载视觉系统为研究对象,在其识别道路交通标志过程中提出了基于二维码的物理补丁攻击方法及其防御方法,对深度神经网络和对抗样本进行深入地理论研究和实验分析。具体的研究工作如下:(1)面向车载视觉系统的补丁攻击:针对系统识别的过程,本文对对物理空间中的整张道路交通标志提出了基于二维码的物理补丁攻击算法,该方法在生成攻击补丁的过程中,只需修改二维码补丁内的像素区域,需要计算的面积更小,生成的速度更快。实验表明,经过精心设计得到的攻击补丁能够在数字空间和真实的物理空间中攻击成功;而且试验中以现实生活中常见的二维码作为攻击补丁,具有很高的迷惑性,不易被察觉,而且生成二维码对抗样本的成本低,实施攻击更符合现实场景。(2)针对道路交通标志使用二维码补丁进行局部扰动,通过优化算法设计并实现了这种攻击算法,实验表明在数字空间和物理空间中攻击成功率都很高,对目前基于深度神经网络的车载视觉系统在识别道路交通标志上构成了威胁。针对这种威胁,本文采用了一种基于知识蒸馏和对抗样本的集成的防御方法,实验中将多个教师模型蒸馏得到小模型,为了保持较高的准确率,再对这些小模型继续集成。实验结果表明,该方法可以有效防御这类攻击行为。本文主要研究对象是深度学习大背景下的物理世界对抗样本问题,并以车载视觉系统识别道路交通标志为对象进行实验,从而验证了补丁攻击的危害和本文防御方法的有效性。许多研究人员针对深度神经网络的对抗学习完成了重要的工作,但仍存在较多问题,在今后的学习研究中,针对对抗样本形成的原因和对抗样本的应用可能会成为新的研究热点。