深度神经网络的发展使得人脸识别技术取得显著进展，但是深度学习模型容易受到对抗样本的攻击。对抗样本是指故意添加细微的扰动所形成的输入样本，它会使模型判断错误。人脸识别模型同样易受对抗样本攻击，研究人脸识别模型在对抗攻击下的脆弱性有助于人们更好的了解对抗样本，从而获得鲁棒性高的模型。本文在黑盒场景下，研究人脸识别对抗攻击算法。
　　针对黑盒攻击成功率低的问题，提出了基于Dropout的梯度符号法。该算法引入Dropout操作，每轮迭代中每个像素点对应的扰动以一定概率被置空，提升了对抗样本的迁移性，提高了黑盒攻击的成功率。在ImageNet数据集上进行大量实验，结果显示基于Dropout的梯度符号法的黑盒攻击性能优于基于数据增强的梯度符号法，黑盒攻击成功率平均提高4.88%。
　　为了兼顾对抗样本的对抗性和平滑性，设计了向量距离和像素平滑度调和目标函数。在对抗扰动训练生成的过程中，考虑了图片间向量距离和相邻像素的平滑度。在LFW数据集上进行大量实验，使用ArcFace和SphereFace作为替代模型分别生成对抗样本，攻击FaceNet，结果显示攻击成功率均高于62.60%。
　　针对对抗样本易受图片背景干扰的问题，提出了人脸核心区域限制机制。人脸核心区域限制机制将对抗扰动的生成范围限制在人脸核心区域，该区域使用人脸五官关键点计算而得，是无图片背景干扰和注意力集中的人脸图片子区域。在LFW数据集上进行大量实验，实验显示使用人脸核心区域限制生成的对抗样本与无区域限制生成的对抗样本相比，攻击成功率平均提高2.88%。