随着移动互联网和大数据时代的到来,以深度学习为代表的人工智能技术发展如火如荼。但已有研究表明,深度神经网络容易遭受到对抗样本攻击,这严重威胁了人工智能系统的安全可用性。通常对抗样本由原始图像上加入精心设计的对抗噪声得到,其噪声构造表示为带有噪声感知损失约束的攻击优化问题,并用噪声的?范数表示感知损失。然而,?范数仅度量噪声的大小而忽视其空间分布,使得对抗样本构造过程中不会显式地考虑图像的内容与空间结构,导致了对抗样本部分区域中存在明显可见的噪点,攻击隐蔽性差。本文基于攻击视角,从对抗样本攻击的破坏性和隐蔽性两方面需求出发,研究面向深度神经网络的高隐蔽性对抗样本攻击技术,该攻击技术的基本思想是根据人眼对图像中颜色信号变化的敏感度差异,自适应地调整不同区域的对抗噪声的大小,以增强对抗样本攻击的隐蔽性。具体的,本文提出了两种实现噪声隐蔽性的攻击技术:第一种称为基于噪声空间约束的高隐蔽性对抗样本攻击Spa Adv,基本原理是给攻击优化问题施加一个额外的噪声空间约束,将对抗噪声限制在图像中的复杂区域,利用复杂区域中丰富的图像信息来掩盖噪声,降低由加噪声带来的感知损失。第二种方法称为基于图像恰可察失真的高隐蔽性对抗样本攻击JNDAdv,基本原理是通过对人眼视觉系统的感知冗余建模,设计一种更符合人眼感知的噪声度量指标JND,并用JND替代?范数进行噪声求解,从而更针对性地减小由噪声引入的感知损失。两种攻击方法的噪声约束粒度不同,Spa Adv在整张图像中搜索得到非连通的复杂区域作为噪声的空间约束,而JNDAdv可以实现逐像素的噪声约束,相对来说,后者更加细粒度。综上,本文突破了图像复杂区域的噪声掩盖效应建模、符合人眼感知的噪声可察性度量建模等关键技术,实现了针对深度神经网络模型的高隐蔽性的对抗样本攻击。最后实验从对抗样本展示、量化指标评估和主观实验三个方面进行,在多个数据集上验证了机制的有效性。