最近研究表明,深度学习易受对抗样本的攻击。这给安全关键型的应用场景提出了安全挑战,例如车牌识别系统等。因此,本文将基于卷积神经网络(Convolutional Neural Network,CNN)的车牌识别系统为研究背景,对其展开安全性研究。本文主要工作如下:(1)我们提出了污点攻击算法,通过固定扰动量(污点的颜色),以扰动位置为优化变量,在车牌图片中搜索最佳扰动位置,使得生成的对抗样本欺骗基于CNN的车牌字符分类器。为此,我们提出了基于遗传算法的生成污点型对抗样本的方法,其具有无需CNN内部参数和求得全局最优或近似全局最优解的特点。实验表明,利用我们提出的算法生成的污点型对抗样本具有很高的伪装性,其最高攻击成功率可以达到93%以上。(2)我们提出了针对污点攻击的辅助生成对抗网络(Generative Adversarial Network,GAN)修复对抗样本的防御方法。辅助GAN的生成器是类似于U-net的自编码器,其能够将对抗样本修复成正常样本,且生成样本能够被目标模型正确识别。因此,我们在以往的生成器损失函数中加入了类似于C&W攻击算法的损失。但与攻击不同,我们的损失是让目标模型正确分类。实验结果表明,辅助GAN修复算法能够完美地将对抗样本修复成与正常样本无异的图片,并且最高能够以100%的准确率被目标模型正确分类。本文对卷积神经网络车牌识别系统的安全性做了深入研究,提出了污点形式的攻击算法及其相应的辅助GAN修复方法,为进一步研究车牌识别系统的安全性提供了一定理论和实验基础。