以卷积神经网络为代表的深度学习相关方法蓬勃发展,在解决图像、语音等感知类问题上已取得了重大突破。深度学习相关方法发展至今,前后提出了AlexNet、VGG、GoogLeNet、ResNet和DenseNet等目前主流的深度学习模型,模型朝着网络层数更深、构建技巧更多的方向发展。这些研究成果真正推动了深度学习的发展,加速了深度学习相关研究成果的落地应用。然而事物的发展往往具有两面性,随着深度学习相关技术的普遍应用,其暴露出的安全风险日益凸显。近年来的一些研究成果正在表明深度学习方法在技术层面存在较大安全隐患,特别是模型中存在的对抗样本攻击问题对深度学习相关技术的应用形成了严峻的挑战,使得围绕对抗样本生成的对抗攻击等相关方向的研究成为目前深度学习安全领域的研究热点。对抗攻击是一种发生在深度学习模型推理阶段的攻击行为,以图像分类任务为例,通过在输入样本上添加恶意的扰动噪声后可使得模型对当前输入样本以高置信度输出错误的推理结果。现有的相关研究事实已经表明:大部分部署在生产生活中关键领域的深度学习系统均会遭受不同程度的对抗样本攻击,诸如自动驾驶系统、人脸识别系统和智能语音系统等常见应用。为了及时评估对抗攻击行为给深度学习模型带来的安全风险,促进工业界和学术界构建鲁棒、安全的深度学习系统。本文从图像分类任务角度入手,详细分析研究了近年来关于对抗攻击方法中的一些典型成果,并围绕对抗攻击技术原理进行了深入研究。针对生成通用对抗扰动的攻击方法研究现状,分别提出了生成高质量通用对抗扰动的UAP-AN攻击方法和生成高迁移攻击性通用对抗扰动的UAP-MAN攻击方法。在UAP-AN攻击方法中,构建了端到端的攻击网络将随机扰动转换为通用对抗扰动。为了生成高质量通用对抗扰动,设计了包含对抗损失项和内容损失项的优化目标函数,并首次使用图像结构性相似系数来度量对抗样本与真实样本之间的视觉感知差。UAP-MAN方法在UAP-AN攻击方法的基础上进行了优化,在攻击网络的训练阶段联合了多目标模型的对抗损失函数,优化攻击网络中的生成器,使生成的通用对抗扰动更具跨模型的迁移攻击能力。经过实验验证,UAP-AN攻击方法生成的通用对抗扰动在攻击成功率和生成的对抗样本质量上较同类方法均有提升;同时UAP-MAN攻击方法生成的通用对抗扰动较UAP-AN攻击方法更具跨模型的迁移攻击能力。