“对抗样本”是近几年出现在深度学习领域的新兴词汇,它指的是在数据集中通过故意添加细微的干扰所形成的输入样本,导致目标模型以高置信度给出一个错误的输出。研究对抗样本攻击方法对于认知深度神经网络缺陷具有重要理论和应用价值,并吸引了学术界的广泛关注。由于现有的大多数对抗攻击方法都是通过修改二维图像空间的部分像素实现攻击,其不能有效抵抗现实世界物体的3D物理特性（如旋转、平移和光照变化等）,从而造成攻击失败。为此,本文拟研究三维空间中的鲁棒对抗攻击,取得了以下研究成果:（1）提出了一种基于三维空间仿真变换的端到端对抗攻击方法:通过利用3D渲染过程对三维空间中的变换分布进行采样建模进而对3D模型纹理图像进行微弱修改,使得最终三维渲染器生成该模型的二维图片可以成功攻击一个深度神经网络分类器并误导其错分为任一指定类别。同时,针对现有3D模型数据集存在的数量不足、质量不佳等问题,本文利用3D建模软件3dsmax、meshlab等构建了一个专用的3D模型数据集,为本文的算法提供了数据基础。在自建的3D模型数据集上的实验结果表明,该方法在白盒模型上可以达到较高的攻击成功率,同时在相关的语义背景下同样也能保持对抗性。（2）提出了一种基于集成网络模型训练下的黑盒攻击方法:在有目标对抗攻击的情况下,针对对抗样本迁移性较差,对黑盒模型泛化能力不佳的问题,本文基于集成的思想通过组合多个不同网络模型的输出生成对抗样本,有效减轻了白盒攻击成功率和迁移性能之间的耦合,成功提高了对抗样本在黑盒模型上的迁移能力。在数据集上的实验结果表明,相对于集成前,该方法在黑盒模型上能够提升大约5%左右的攻击成功率。（3）提出了一种基于神经网络中间层扰动的攻击方法NNIP:由于上述方法都是通过多次在输入数据上增强扰动的强度,这影响到对抗样本的生成效率以及被感知程度。针对这一问题,本文基于第一个工作生成的对抗样本作为baseline,对其进行轻微改动。改动方法是利用对抗样本直接再次输入到神经网络中,针对神经网络中间层的输出结果采用本文提到的NNIP方法,产生新的对抗样本。实验结果表明,经过该方法获得的对抗样本,在有目标攻击下,对黑盒模型的攻击成功率大约提升了5%。