随着机器学习算法在自动驾驶、入侵检测、工业互联网领域的广泛使用，针对机器学习的对抗性攻击日益频繁。针对目前图像语义对抗样本生成方法存在扰动范围不可控或对原样本改动过大的问题，该文分析了神经网络对抗样本的生成方法与防御方法，改进了语义对抗样本的生成方式，提出颜色扰动与物体检测的双语义对抗样本生成方法。仿真结果表明，在经过ComDefend和特征压缩防御处理后，相较于传统FGSM,BIM,PGD,DeepFool和C&W 5种攻击方法，该文所提出的对抗样本生成方法的攻击成功率明显提高，样本真实性相较于传统方法大幅提升，并且仿真结果表明该方法具有更好的鲁棒性。

• 单位
  天津大学; 中国民航大学