现如今,深度学习已经在很多的领域得到了广泛应用,并且深度学习已经变成了人工智能领域的关键,然而,较为先进的神经网络都需要庞大的数据集进行训练以及较长的训练周期,这就使得攻击者可以在训练集进行投毒攻击,从而破坏模型性能。因此,研究投毒攻击技术可以在提高攻击成功率同时增强其隐藏性,造成更大的威胁。投毒攻击是针对深层网络的一种对抗性攻击,投毒攻击中的后门攻击是一种不同类型的攻击,攻击者选择一个特定的触发器,基于该触发器开发一些有毒数据,并且攻击人员将带有隐藏触发器的中毒样本混淆到训练样本集中,通过少量的中毒样本来操纵训练器中数据的分布,使得测试样本错误分类以达到改变模型正确分类的行为和降低模型精确度的目的。经过训练的深度学习模型将在常规的干净数据上产生正确的结果,仅在隐藏的触发器被激活时,才会在含有触发器的中毒样本上错误分类,因此受害者并不会意识到模型被破坏了。而现有触发器的弊端是:样本无关性,即无论采用什么触发模式,不同有毒样本都包含相同触发器。一个流行的例子是:不同样本的投毒攻击采用的触发器可以都是交通标志上的一个小贴纸,分类模型会错误将“停止标志”、“限速标志”以及“禁停标志”等错误分类。因此,触发器成为了影响投毒攻击成功率的关键因素,本文基于对触发器的结构以及嵌入方式研究,首次将图像隐写技术与深度卷积对抗网络（Deep Convolution Generative Adversarial Networks,DCGAN）结合,对视觉分类模型进行投毒攻击,并在此基础上实现了动态触发器,通过实验验证了这两种方法的可行性。实验结果表明,相比于传统方法,本文提出的嵌入类别特性触发器的投毒攻击和生成动态组合触发器的投毒攻击在攻击成功率上均可达到56%左右。针对投毒攻击中触发器固定性以及单一性改变的任务,本文的主要研究内容及成果分为以下两个部分:第一部分提出一种嵌入类别特性触发器的投毒攻击方法。根据干净训练样本的灰度共生矩阵生成图像纹理特征图,利用图像隐写技术将目标标签字符转换成二进制代码作为触发器嵌入纹理特征图中,然后将带有触发器的纹理特征图和干净样本拼接成中毒样本,再将其作为输入图像通过DCGAN生成大量带有触发器的“假图”。训练样本集中将原中毒样本以及DCGAN生成的“假图”混合起来,最终达到投毒者注入少量的中毒样本但拥有较高的攻击成功率的效果,并保证了触发器的有效性、可持续性和隐藏性。实验结果表明该方式避免了样本无关性的弊端,并且可以使得该投毒攻击方式能逃过现有的某些防御方式同时拥有较高的攻击成功率。第二部分提出了一种生成动态组合触发器的投毒攻击方法。利用目标检测获取ROI区域,并对ROI区域进行分割,分割成预定个数的不同位置的子图像,再将子图像作为生成器的输入生成对应的虚假子图像作为中毒样本的子触发器,利用子触发器图像和干净样本之间的局部相似性对每个子触发器进行嵌入,所有的子触发器共同组成中毒样本的触发器,以此来实现触发器的特异性。动态组合触发器同时满足了触发器的多样性、特异性、健壮性以及隐藏性等。实验证明了同一个触发器放在特定的测试样本上可以实现错误分类,但是放在其他随意的测试样本上达不到预期的攻击效果。