模糊逻辑因其更贴近人的模糊信息表达方式以及解决非线性问题的优势,而被广泛应用于商业、金融、模式识别等领域。而在安全相关的应用中,有可能出现恶意的攻击者,有目的地修改测试数据来误导模型,该过程称为逃避攻击。逃避攻击降低了系统的准确性与可靠性,威胁到个人隐私与财产。然而,目前十分缺乏在对抗性环境下针对模糊系统安全性的讨论。决策树具有高度可解释性的优势,并且被应用在许多与安全紧密相关的系统中。因此,本文研究了一种被广泛应用的模糊系统:模糊决策树。结合模糊逻辑的特点,本文旨在研究清晰和模糊决策树(CDT和FDT)在逃避攻击下的鲁棒性,探讨数据模糊化对决策树模型鲁棒性的影响。由于现有针对机器学习模型的攻击方法依赖模型的梯度信息,难以应用于攻击清晰和模糊决策树。本文提出一种通用于攻击CDT和FDT的方法,基于量化改变一个特征对DT决策的影响,迭代地选择出最相关的特征子集后对样本进行攻击。文中比较了我们提出的攻击方法,现有的针对清晰决策树的攻击方法PPNT,以及基于替代模型的黑盒攻击方法,进而评估提出的攻击方法的有效性。最后讨论了CDT和FDT在多种攻击方法下的鲁棒性差异。实验结果表明,对数据进行模糊化处理和使用较少个数的模糊隶属度函数能够提高决策树在对抗环境下的安全性。本文首次提出一种攻击FDT的方法,开辟了研究模糊系统在对抗环境中的鲁棒性的道路,为深入讨论在对抗环境中研究模糊系统的安全性奠定基础,促进对抗学习和模糊系统的发展。同时发现数据模糊化对机器学习模型的鲁棒性的提升,为设计针对机器学习模型的防御方法提供新思路。