近年来,伴随着大数据技术的成熟和硬件设备计算能力的提升,深度神经网络也得到了快速发展。卷积神经网络是一种具有强大特征提取能力的深度神经网络,其在计算机视觉、语音识别和自然语言处理等方向都得到了广泛应用。但是,最近的研究表明卷积神经网络易受对抗样本攻击,这一现象首先在图像分类领域被提出,通过在干净的图片上添加人为设计的微小扰动,就可以让卷积神经网络误分类。根据对目标模型内部信息的了解程度,对抗攻击可以分为白盒和黑盒攻击,在现实的攻击场景中,目标模型的内部信息大多是未知的,因此研究对抗样本的黑盒攻击更具实际意义,本文从黑盒攻击的角度提出了两种对抗样本生成方法。本文首先提出一种基于Nesterov动量的对抗样本生成方法。Deepfool是一种基于分类决策函数梯度迭代生成对抗样本的攻击方法,利用对抗样本的迁移能力可以完成黑盒攻击。我们针对Deepfool攻击方法的缺陷做了改进,该算法在迭代过程中会陷入局部极值区域,这使得算法不能获得最优扰动,限制了对抗样本的黑盒攻击能力。受Nesterov动量优化方法的启发,我们将Nesterov动量融入算法迭代过程,突破局部极值区,稳定梯度的迭代方向,以生成最优扰动向量而获得更高攻击能力的对抗样本。其次不同于以往经典的依赖模型信息生成对抗扰动的方法,我们还提出一种基于颜色模型的语义对抗样本生成方法。该方法利用人类视觉和模型在识别物体时共同表现出的形状偏好特性,基于颜色模型的变换,在保持图片语义信息的同时扰动颜色通道来生成对抗样本。此类对抗样本在生成过程中不需要了解目标模型的结构和内部信息,是一种高效的黑盒攻击方法。该方法还进一步揭示卷积神经网络的局限性即模型在数据训练过程中不能很好地学习图像的语义特征,只是学习到了数据统计规律。本文分别依据Nesterov动量和颜色模型的扰动变换提出了两种类别的黑盒攻击方法,这两种方法在常见的卷积神经网络上可以实现有效的黑盒攻击。因此我们的方法具备现实参考意义,卷积神经网络在实际应用前,可采用本文提供的方法评估模型的鲁棒性。