近年来随着深度学习技术的发展和应用,深度学习模型的安全问题正受到更多关注,特别是能够误导深度神经网络模型的对抗样本,凭借着广存在、难察觉、危害大等特点得到了研究界的广泛关注,是目前阻碍深度学习技术得到进一步应用的主要障碍之一。本文以深度学习模型的安全问题为出发点,以对抗样本为核心,介绍和阐释了对抗样本的主要特征和构造原理,重点研究理论上的对抗样本生成问题和实际中的对抗样本应用问题,具体研究工作包括:1.提出了一种针对纠错输出编码模型的对抗样本生成方法。纠错输出编码模型是将纠错码应用于深度神经网络输出、使输出符合一定编码规则的一类神经网络模型。尽管理论上各类深度学习模型都会受到对抗样本攻击,但Verma等人在Neur IPS2019发表的研究表明纠错输出编码模型有着较强的抵御白盒对抗样本攻击的能力。为了进一步研究和评估这一现象,本文分析了已有对抗样本生成方法在纠错输出编码模型上难以取得高攻击成功率的原因,并针对纠错输出编码模型提出了一种新的白盒对抗样本生成方法,该方法采用一种类似贪心策略的手段来契合纠错输出编码模型的解码特点,从而提高了攻击成功率。本文在多个公开数据集上对所述方法进行了测试,同时与两种已有对抗样本生成方法进行了对比。不同于Verma等人的研究,实验结果显示纠错输出编码模型仍然容易受到来自对抗样本的攻击,且使用本文方法更易达到较高的攻击成功率。2.提出了一种基于雅可比矩阵的对抗样本生成方法。目前对抗样本生成方法或多或少受到三个问题的限制,即依赖softmax函数、收敛速度慢,以及缺少在输出空间中精确定位目标点的方法。针对这些问题,本文提出了一种新的白盒对抗样本生成方法。在该方法中,我们利用模型未激活的输出对输入的雅可比矩阵来构造对抗扰动,在此基础上推导得出了输出空间中的最优目标点,同时解决了上述三个问题。在MNIST、CIFAR-10、GTSRB和VOC2012等多个数据集上的实验表明,本文方法在大多数情况下在攻击成功率、耗费扰动量、运行速度三个方面上都优于已有方法。3.提出了一种应用对抗样本在物理场景中欺骗人脸活体检测系统的方法。由于活体检测系统天然地具有工作在物理环境中的特性,所以此前数字形式上的对抗样本攻击模型并不适用于攻击基于深度神经网络的人脸活体检测系统。目前关于对抗样本能否在物理场景中欺骗活体检测系统的问题仍然没有答案。针对这一疑问,本文分析并指出了在物理环境中对活体检测模型进行对抗样本攻击面临的特殊困难,并提出了一种利用Expectation Over Transformation框架构造对抗扰动的解决方案。实验结果显示,利用本文方法得到的伪造人脸图片可以在物理场景中欺骗活体检测系统,从而证实了对抗样本在物理场景中对活体检测系统的威胁,为基于深度学习模型的活体检测研究提出了新的挑战。