深度神经网络易受对抗样本的影响。在图像分类领域，人类难以察觉的对抗扰动能将一个良好训练模型的预测改变至任何想要的标签。更令人担忧的是，一类被称为基于决策的黑盒对抗攻击方法只需要目标模型的预测标签就能生成对抗样本，给广泛部署的基于深度神经网络的应用的安全带来了严重的威胁，尤其是在敏感领域，例如金融服务、自动驾驶和人脸验证。研究深度神经网络在决策条件下的对抗鲁棒性能帮助我们更好地理解并抵御深度神经网络的脆弱性。然而，现有决策黑盒对抗攻击算法需要巨量的查询次数，在不同的网络结构和防御模型上适应性差。这给基于决策的深度神经网络对抗鲁棒性研究带来了极大的挑战。

本文通过实验发现对抗扰动的符号向量对提升决策黑盒对抗攻击算法的攻击成功率和查询效率有着关键性作用。受此启发，本文首先提出了不依赖于任何先验的符号翻转攻击，通过随机翻转对抗扰动的一小部分元素的符号加速决策黑盒对抗攻击算法的搜索过程。接着将图像和深度神经网络的独特特性融入到符号向量的调整策略上，提出了方形符号攻击。本文提出的两种决策黑盒对抗攻击算法简单高效。广泛的实验表明所提算法在性能上大幅度超越了现有算法，且在实际系统中具有良好的可行性。

本文对深度神经网络在决策条件下的对抗鲁棒性开展了评价。实验结果表明不同神经网络架构在决策条件下的对抗鲁棒性并没有显著区别，仅靠网络结构设计并不能有效提升深度神经网络在决策条件下的对抗鲁棒性。此外，决策条件下评价防御模型的对抗鲁棒性很有必要，是一种有效的健全性检查措施，可初步判断防御方法是否真正提升了模型的对抗鲁棒性。

本文的工作为基于决策的深度神经网络对抗鲁棒性研究提供了新的实验方法和评价基准。