近年来,人工智能的兴起带领全球走向一个新的时代,而深度学习作为众多人工智能相关技术中最具代表性、最具潜力的一个分支,受到了学术界和工业界的双重关注。然而,深度学习技术想要真正的完成工业化应用,必须解决一些安全问题。深度学习的不可解释性使得其容易遭受各种攻击,其中最令人担忧的就是对抗样本。对抗样本是一类对深度学习模型具有欺骗作用的样本,关于它的研究一般围绕攻击和防御两个方面进行。本文从攻击的角度,就传统方法的两点不足进行讨论,并分别提出算法予以解决,主要工作包括:（1）现有的大多数方法在工作过程中都需要目标的查询权限。但是在现实场景中,攻击者会因为查询过多而容易被发现,这个问题在黑盒设置下尤为明显。为了解决这个问题,本文提出无目标攻击模型（Attack Withouta Target Model,AWTM）。AWTM在生成对抗样本时没有指定任何目标模型,因此不需要查询目标。实验结果表明,它在MNIST数据集中达到了 81.78%的最大攻击成功率,在CIFAR-10数据集中达到了 87.99%。此外,它具有较低的时间成本,因为它是基于生成对抗网络的方法。（2）现有的研究主要通过减少假反例来防御对抗攻击,这被归类为Type Ⅱ。然而,最新的研究表明传统的防御方法不能防止由TypeⅠ对抗攻击产生的假正例。因此,针对Type Ⅰ对抗攻击的对抗训练是有必要的。目前仅有的两种Type Ⅰ攻击方法效率都不高,用它们参与对抗训练将花费大量时间。为了提高对抗训练的效率,本文提出了一种快速的Type Ⅰ攻击方法,称为感知梯度符号法（Perceptual Gradient Sign Method,PGSM）。通过引入感知损失,PGSM综合考虑样本空间和特征空间中的距离信息,对样本进行更新迭代。在保证快速的同时,它在Fashion-MNIST数据集上取得了 83%的攻击成功率,在ImageNet-15数据集上取得了 61.3%的攻击成功率。本文还进一步从新的角度讨论了对抗攻击的分类,以及它们之间的联系。实验表明TypeⅠ攻击可能基于多种分布,对它的防御策略也需要多种方法的结合。