深度神经网络在计算机视觉领域等诸多任务上已取得远超传统方法的性能。然而最近研究表明机器学习模型,尤其是深度神经网络容易遭受对抗样本的攻击。因此,对抗样本的存在,给现有深度神经网络在安全敏感任务上的应用带来了巨大挑战。目前图像领域对抗样本的生成,主要是通过在原始图像上叠加人眼难以察觉的微小扰动而得到,以下简称微小扰动对抗样本。这些微小扰动用以确保生成对抗样本的自然真实性,但同时限制了其迁移能力,这使得在黑盒攻击场景下,该方法所产生的对抗样本攻击能力偏弱,特别是当目标模型具有一定防御机制的情况下。针对这一情况,本文提出了结构模式和结构保持扰动的概念,并且基于这些概念,本文提出了一种基于结构保持的对抗攻击,称为结构保持攻击(Structure-Preserving Attack,缩写为SPA),以产生强攻击能力和高迁移能力的对抗样本。SPA试图产生和原始图像保持相同结构的结构化对抗扰动。具体地,该方法限定图像中位于同一结构的像素只能被施加以相同量的扰动,从而产生结构保持、自然的对抗样本。通过考虑图像的内在结构,SPA放松了传统攻击中的微小扰动限制,因而产生的对抗样本具有更强的迁移能力,进而在黑盒攻击场景下更有效。本文在MNIST和CIFAR10数据集上进行实验,验证了所提方法的有效性。实验结果表明,SPA具有较强的白盒攻击能力和迁移能力,无论目标模型是否具有有效的防御机制。进一步地,通过将SPA和两种基线白盒攻击,投影下降攻击(Project Gradient Descent,PGD)和CW(Carlini&Wagner)相结合,SPA的攻击能力能够进一步得到加强,同时不损失SPA的迁移能力。此外,基于SPA对抗训练的模型同样不能抵御SPA对抗攻击自身,这进一步证明了SPA的强攻击能力。最后,本文从空间弹性和扰动弹性的角度分析了SPA和基线攻击的攻击能力与攻击空间之间的关系。本文展示,牺牲部分空间弹性以获得更大的扰动弹性,来增强攻击能力是值得的。