随着研究人员对深度学习网络的深入研究,发现深度神经网络中对抗样本的存在严重威胁了其安全性。图像对抗样本让人们不再信任模型的决定,也对深度学习的应用产生了巨大的质疑。因此,图像对抗样本的研究具有重要的科学意义和社会价值。由于用户在现实中很难知道应用程序的具体参数,因此黑盒对抗样本更为普遍。如今,基于迁移的对抗性攻击生成算法生成黑盒对抗性样本时,大部分对抗性样本是通过“模仿”目标数据集或目标模型生成的。为此,本文主要研究了基于访问的黑盒对抗样本生成与防御算法。该方法直接以目标模型为切入点,深入研究黑盒情况下的攻防算法。以下是本文的主要创新点:1.本文提出了一种基于局部平均有限差分的黑盒攻击算法,该算法采用双边有限差分法估计目标模型损失函数的梯度。为解决传统的双边有限差分法需要大量的迭代运算才能估计出目标值问题,本文提出了两方面优化:（1）在梯度估计过程中提出局部平均有限差分算法,其中以神经网络的倒数第二层logits层的信息作为有限差分法估计的数据来源,在对RGB图像内像素点在进行有限差分估计梯度时,用某局部内所有像素点值相加除以个数得到的平均值代替小矩阵的每个值进行有限差分,进而在每个方框内得范围仅需要有限差分一次,大大降低了计算消耗,实验表明,与目前流行的黑盒攻击算法相比,对目标模型的访问次数大大减少。（2）为加快梯度收敛速度,快速生成扰动,本文提出了复用梯度算法,该算法可以迭代生成具有迁移的对抗样本。算法是利用深度神经网络对梯度方向变化敏感的特性来生成对抗样本。在使用复用梯度算法构建对抗样本时,通过三个不同方向的梯度来确定生成的扰动的梯度方向。实验表明,使用该方法生成对抗样本可以大大减少迭代次数,并且生成的样本具有一定的迁移能力。2.本文提出了一种分步式防御算法,既可以防御白盒对抗性攻击,又可以防御黑盒对抗性攻击。该算法一般分为三个阶段。第一阶段对图像进行随机数据增强,第二阶段为每个随机噪声样本分两步生成两个对抗样本,第三阶段通过提出的损失函数优化目标模型。实验表明,它不仅可以有效防御单步和迭代白盒攻击,并且可以防御当今大多数的黑盒攻击。