近些年来,随着人工智能技术飞跃发展,人工智能应用已经部署到了人类生产生活中的方方面面,其作为新一轮工业革命的重要引擎,极大的推动了社会生产力的发展,提高了人类的工作效率,丰富了人类的生活。然而,研究表明人工智能容易受到对抗样本的攻击。这是一种在原始样本上加入特定扰动而使得模型出错的特殊样本。这种攻击从刚开始只能在限制条件下发动的学术研究到如今已经发展成可以影响生产生活秩序的重大威胁。对抗样本已经成为了人工智能走向全面落地所必须逾越的鸿沟。根据攻击者已知信息,对抗攻击可以分为白盒攻击和黑盒攻击,白盒攻击中,攻击者掌握了被攻击模型全部信息,此类攻击相对简单,但其实际攻击场景具有很大局限性。黑盒攻击中,攻击者无法获取模型的内部信息,但根据能否访问模型输出,可以分为访问攻击和迁移攻击,访问攻击通过大量的访问查询以构建一个近似的替代模型或通过估计对抗样本的梯度来实现攻击,这种攻击需要大量访问次数,其异常流量很容易被监测到,因此具备一定局限性。当前,对抗攻击领域最具威胁及研究价值的是迁移攻击,该种攻击无需知晓目标模型的网络结构和参数,也无需访问目标模型的输出,具备零访问攻击的特性,因而容易混淆进正常样本的处理流程中从而对人工智能系统发动攻击。但同时,鉴于迁移攻击没有目标模型的任何信息,其攻击难度也是最大的,此类攻击的目的就是要找到一种通用且鲁棒的对抗样本,可以对大部分模型都具备攻击能力。迁移攻击可以分为基于梯度迭代与基于生成模型两种攻击方法,两种方法各有利弊,基于梯度迭代的方法对于小样本数据集有较大优势,产生速度较快,另外其可操作性强,攻击者可以选择梯度信息流的任意角度发动攻击,但此类方法面对大样本数据集具有耗时较长的问题,且面对难易样本具有梯度迭代方式选择困难的问题。基于生成模型的攻击方法其通过生成器学习对抗扰动分布,而非针对单张对抗样本进行处理,因此可以有效解决梯度迭代抉择困难的问题,同时,其端到端的生成方式使得对抗样本的产生时间大大减少。但是,基于生成模型的攻击方法研究较少,其目前的迁移性能较差。总体来说,基于梯度迭代的方法研究要明显多于基于生成模型的方法,但两者的迁移攻击性能都亟待提升。本文将围绕提高图像对抗样本的迁移性,在基于梯度迭代和基于生成模型两种攻击方式下分别展开研究,取得的主要研究成果如下:1.针对现有梯度迭代攻击方法中迭代关系受限而导致迁移能力较差的问题,本文提出了一种宽松化梯度迭代框架和基于输入dropout的对抗攻击算法。该梯度迭代框架,对步长、迭代轮次和最大扰动量三者关系进行了重新定义,打破了三者固定的迭代范式,从而有效发掘了现有攻击算法的潜力,此外针对防御模型对步长敏感的问题,提出了基于输入dropout的数据增强方法,可以有效防止对抗样本随着迭代步长增加容易在防御模型上过拟合的问题。实验结果表明,该方法对集成对抗训练模型的攻击成功率平均达到96.2%,达到了当时业界领先水平。2.针对现有数据增强框架无法兼容某些大尺度变换的数据增强方法的问题,本文提出了一种基于噪声数据增强的框架。该框架将只针对对抗扰动进行数据增强变换,从而可以防止干净样本被破坏的问题,从而可以兼容尺度更大的变换,本文还配套提出了基于随机擦除的攻击方法,在此框架下采用随机擦除可以有效防止对抗样本过拟合。此外,该框架可以和传统数据增强框架结合以发挥更大性能。实验结果表明,该方法可以有效提高对抗样本的迁移性。该方法比DI-FGSM平均高出了4.2%,在与DI-TI-MI-FGSM结合下平均攻击成功率可以提升3.9%,在与SI-NI-TI-FGSM结合下平均攻击成功率可以提升5.7%。该方法在沿用文第二章所提宽松迭代框架下,对集成对抗训练模型的攻击成功率平均可以达到93.8%。3.针对目前基于生成模型的攻击方法随着迭代轮次增强容易陷入过拟合的问题,本文提出了一种基于数据增强与生成对抗网络相结合的攻击算法。该算法将数据增强作为一种防御机制引入到生成模型的训练当中,一方面多样化的数据增强方法将丰富目标模型回传的梯度流信息以增加模型的多样性,另一方面数据增强的引入使得生成器具备了抵御各种变换的能力以增强对抗样本的鲁棒性。实验结果表明,该算法实现了迁移攻击能力与迭代轮次的近似正相关,相比经典算法而言,攻击性能有了大幅提升,并对防御模型有较好攻击能力。该方法最好可以在对抗训练模型上实现平均56.7%的攻击成功率,相比Adv GAN提升了31.1%。