近年来,随着计算资源以及数据规模的大幅增长,深度学习取得了前所未有的成功。在多个领域和多种任务上,如图像识别、语义分割、文本分类、语音识别、多模态学习等,深度学习都发挥了举足轻重的作用。然而最近的一些研究发现,对抗样本广泛存在于各种深度学习领域,给深度学习系统的现实应用带来了巨大的威胁,尤其是一些安全性敏感的深度学习系统,如自动驾驶、行人重识别、智慧医疗等。对抗样本是一些在自然图像上添加人为构建的微小扰动得到的人类难以察觉的输入样本,但其却能使深度学习模型失效,并给出不合逻辑的错误输出。对抗样本的存在表明现有的深度学习模型缺乏鲁棒性,具有潜在的脆弱性。而研究对抗样本的存在机理,发现深度模型更多的弱点并提高其鲁棒性成为了当前研究的一个热点。图像分类任务是对抗样本研究的一个主要领域。而其中无法获得要攻击的目标模型的任何信息的黑盒攻击设定是最具挑战且最受欢迎的一个方向,对抗样本迁移性的存在是能够实现黑盒攻击的一个主要因素。对抗样本的迁移性是指利用一个模型的相关信息生成的对抗样本也能成功欺骗另一个无关的模型,这对深度模型的安全性造成了严重的威胁。研究者们提出了很多对抗攻击方法以提高对抗样本的迁移性,从而提升对抗样本的黑盒攻击性能,如利用动量迭代、多样性输入等策略。在本文中,我们从一个新的角度出发,探索提高对抗样本迁移性的方法。本文受到模型训练中的正则化策略的启发,在频域构建正则化约束,以抑制对抗样本对白盒模型的过拟合。此外,本文在频域构建数据增强策略进一步增加输入特征的多样性,实现更好的黑盒攻击性能。具体内容如下:（1）提出了一种基于频域正则化的对抗攻击方法。本文发现了广泛存在于深度学习模型中的低频一致性,即深度模型对输入图像的低频分量学到了冗余的特征。为了抑制对抗样本对白盒模型的过拟合,本文设计了一种频域上的正则化方法,以抑制深度模型学到复杂的对抗扰动。在频域上约束输入样本的冗余特征可以帮助深度模型学到简单的对抗样本,从而获得对黑盒模型强大的可迁移特性。本文在与Image Net兼容的数据集上构建了大量实验,验证了本文提出的方法在生成可迁移对抗样本上的有效性。同时,大量的消融实验为本方法理论上的分析提供了实验验证。（2）提出了一种基于频域数据增强的对抗攻击方法。与一些现有的方法一致,本文尝试利用数据增强策略获取多样化的输入模式,以抑制对抗样本的过拟合。但与现有方法不同,本文提出在输入图像的频域实现数据增强。图像的频谱包含了很多空间域图像难以直接获得的丰富特征,在频域上实现多样性输入可以帮助深度模型获得更多以前未见的特征,从而增强对抗样本的可迁移性。本文在与Image Net兼容的数据集上构建了大量实验,验证了本文提出的方法在生成可迁移对抗样本上的有效性,证明了本方法相比现有方法的优势。