随着深度学习理论知识的不断扩大及硬件计算资源的发展,深度神经网络得到了广泛的应用和研究。然而,由于深度神经网络自身存在不可解释性等技术上的不足,使得其行为难以解释和控制,导致其容易受到对抗样本的攻击而失效。充分研究对抗攻击方法有助于挖掘深度神经网络易失效的原因,促进对抗攻击防御方法的完善和深度神经网络安全性方面研究的发展,提升深度神经网络鲁棒性。目前对抗攻击方法的研究大多集中在图像分类任务中,目标检测中相关研究进展较缓,主要原因在于目标检测任务需要同时对多个目标进行分类和定位,其攻击难度更大,同时,目标检测作为计算机视觉的一个重要方向,有着越来越多的应用,其安全性十分重要。因此,本文的研究集中于目标检测神经网络的对抗攻击方法研究。神经网络中的对抗攻击方法主要被分为两大类,一类是黑盒对抗攻击方法,另一类是白盒对抗攻击方法。目前目标检测领域的对抗攻击方法主要存在以下两方面问题:一方面,对黑盒对抗攻击方法的研究较少,无法仅利用模型的决策结果实现有效的攻击;另一方面,现有的白盒对抗攻击方法生成对抗样本速度慢,应用场景较为局限。针对目标检测领域对抗攻击方法存在的问题,本文开展了如下研究:首先,对目标检测领域现有的黑盒对抗攻击方法和白盒对抗攻击方法的攻击策略进行分析。目标检测黑盒对抗攻击方法主要为基于梯度估计和基于迁移的攻击方法,其优点是不需要了解过多的模型内部信息即可对模型进行攻击,然而基于决策结果的对抗攻击方法在目标检测领域还没有相关的研究,在面对只为用户提供最终决策结果的工业界应用的目标检测模型时,无法实现有效的攻击;目标检测白盒对抗攻击方法大多为全局扰动的对抗攻击方法,优点是攻击成功率高,然而其生成对抗样本需要消耗较多的时间,在面对实时检测任务时不适用。其次,针对现有的目标检测黑盒对抗攻击方法无法仅利用决策结果进行攻击的问题,本文提出基于决策结果的目标检测对抗攻击方法,该方法从使目标检测模型定位出错的角度进行攻击,不需要使用模型的内部信息和输出的置信度信息,仅利用目标检测模型输出的边界框位置信息,沿着对抗边界执行迭代搜索寻找对抗样本从而实现高效攻击。实验结果表明所提出的攻击方法使典型目标检测器Faster R-CNN在VOC2012数据集上的m AR从0.636降至0.131,m AP从0.801降至0.071,有效降低目标检测模型的检测能力,成功实现面向目标检测任务的黑盒攻击。最后,针对目标检测白盒对抗攻击方法应用场景较局限的问题,本文提出对抗补丁位置可变的目标检测对抗攻击方法,该方法从使目标检测模型分类错误的角度来进行攻击,通过优化目标检测模型的损失函数,来训练更新对抗补丁,将最终生成的对抗补丁添加在图像中目标物体上的任意位置,即可快速地生成对抗样本实现对抗攻击。在INRIA数据集上利用YOLOv3典型目标检测模型进行大量实验,证明所提出的对抗攻击方法的有效性,且攻击效果不受对抗补丁位置的影响,同时可以设置目标错误类别实现有目标攻击,平均攻击成功率为0.71。