近年来,深度神经网络在计算机视觉领域取得了巨大的成功。但是研究表明,深度神经网络极易遭受到对抗样本的攻击,以致深度神经网络的识别、检测、分割等能力失效。对抗样本是在真实样本上添加精心设计的微小噪声所形成的,其所包含的对抗噪声可以被人眼忽略,但却可以轻易地使深度神经网络失效。因此,对抗样本引发了学术界与工业界对于深度神经网络的实际应用的安全关切。由对抗样本共延伸出了两个研究领域,即对抗攻击与对抗防御。对抗攻击旨在设计更强大的对抗样本生成算法,以提高对抗样本的攻击性能;对抗防御旨在研究出更好的防御手段或者模型,以帮助深度神经网络抵抗对抗样本的攻击。对抗攻击与对抗防御实际上是相互促进、相互提升的。无论是哪一个方向的研究成果,都能帮助人们更好的了解对抗样本,更好的防御对抗样本的攻击。本文的研究重点为对抗攻击,以对抗攻击中的迭代式快速梯度符号法(I-FGSM)为对象进行研究。对抗攻击分为白盒攻击与黑盒攻击,如果知道目标模型的结构与参数,则为白盒攻击;否则为黑盒攻击。I-FGSM目前可以取得接近100%的白盒攻击成功率,但其黑盒攻击性能严重不足。而黑盒攻击的实际意义大于白盒攻击,因为黑盒攻击意味着不需要知道目标模型的结构与参数。本文着重分析了I-FGSM攻击算法黑盒攻击性能不足的原因,并提出基于批量梯度的快速梯度符号法(Mb-MI-FGSM)等解决方案。通过我们的实验数据可以发现,Mb-MI-FGSM攻击算法在保持了白盒攻击成功率接近100%的同时,极大的提高了黑盒攻击性能。本文的贡献共有如下几点:(1)在对抗样本生成的迭代更新方法(I-FGSM系列算法)中引入了批量的概念;(2)提出了一种攻击性能更强的对抗样本生成方法,即基于批量梯度的快速梯度符号法(Mb-MI-FGSM)。该方法使用了神经网络损失函数对批量输入中的每一个样本的偏导数的均值,来指导对抗样本的生成,帮助对抗样本跳出局部极小值点以获得更强的攻击性能;(3)分析了基于批量梯度的快速梯度符号法(Mb-MI-FGSM)中的自集成行为并得出来一个结论,单个模型与并行随机层的结合可以达到(甚至超越)多个模型集成的效果。