海量数据的外部环境和不断提升的设备性能催生了新一轮的人工智能研究热潮,深度神经网络作为人工智能的一个重要分支,在图像识别、语音识别、智能驾驶、医疗健康等领域都取得了惊人的成果。然而研究表明神经网络十分容易受到对抗攻击从而发生分类错误,施加一个微小的扰动就会使网络在一个样本甚至整个数据集上失效。对抗攻击现象的存在严重制约了神经网络的应用范围,在安全性要求高的场景中必须确保网络具有足够的鲁棒性。为保障神经网络的安全性,研究对抗攻击现象以及对抗样本的生成问题显得至关重要。自发现对抗攻击现象以来,许多科研团队围绕这一现象展开研究,主要包括对抗攻击和对抗防御两部分,对抗攻击方法通过生成对抗扰动得到对抗样本,使神经网络发生分类错误,对抗防御方法则通过还原对抗样本或修正神经网络等措施使网络对添加了扰动的样本仍然能进行正确分类,这两部分研究都十分必要。研究对抗扰动生成问题一方面可以深入了解对抗攻击现象发生的原因,发现神经网络在鲁棒性方面存在的问题,另一方面为防御算法的研究提供了基础,促使更多防御算法的提出,从而构建更加健壮的神经网络。研究者从不同角度出发设计对抗扰动,有助于神经网络整体鲁棒性的提升。就攻击范围来讲,对抗扰动可以分为特定对抗扰动和通用对抗扰动两类,本文分别针对这两类扰动展开研究,提出两种攻击方法,一种是可自由指定区域的特定对抗扰动生成方法,另一种是基于迭代优化的通用对抗扰动生成方法。本文的主要工作如下:·在指定区域内生成特定对抗扰动:特定扰动是针对一个特定样本生成的对抗扰动,其评价指标主要基于扰动的l_p范数,目前已经可以得到范数很小的对抗扰动。然而仅通过数值指标来评价扰动对视觉的影响不够充分,应该进一步将人类视觉特性考虑进来。为此,本文根据人眼特性分析不同图像区域与扰动的强度和视觉效果之间的关系,以降低人眼感知度为目标提出一种特定对抗扰动生成方法,允许用户指定对抗扰动的尺寸和位置,并根据神经网络模型设计优化问题,将网络的参数连接关系作为约束条件,并将其转化为线性规划问题求解。该方法可以生成视觉欺骗性更强的对抗扰动。·通过迭代优化方法生成通用对抗扰动:通用对抗扰动可使神经网络对整个样本集失效,对人工智能系统的威胁性更高,生成也更为困难,现有方法生成的扰动范数很大,容易被人眼识别。本文提出基于迭代优化的方法,可大幅减小扰动范数。由于问题的优化变量极多且约束条件严格,求解难度极大。为此,首先对扰动图像降维从而降低问题复杂度,然后提出一种基于爬山搜索的方法寻找优化初始解,最后设计迭代优化算法,在每次迭代时分别在下降方向和步长上进行探测确定最佳方向和步长,保证优化算法持续运行。通过上述策略有效地解决了约束复杂性带来的问题,使通用扰动在达到高扰动率的同时具有良好的视觉欺骗效果。·设计对比实验证明本文攻击算法的有效性:为了更加直观、全面的展示算法效果,证明算法的现实意义和先进性,本文分别针对两种对抗扰动生成算法展开了大量实验。对于特定对抗扰动生成算法,通过实验验证在扰动量相同的情况下,在不同区域添加扰动对人眼的干扰性存在差异,并且通过合理设置对抗扰动的添加区域可以尽可能降低扰动对人眼视觉产生的影响。对于通用对抗扰动生成算法,通过实验验证在扰动率相同的条件下,本文算法相较于经典算法得到的扰动范数大幅下降,具有更好的视觉效果。