近年来,深度学习在计算机视觉识别方面取得了很大的进展,尤其是在分类任务方面取得了显著的突破。深度神经网络的结构复杂性赋予了模型强表达能力,但同时也带来了可解释性不强的问题,易于受到对抗样本的干扰输出错误的结果。对抗样本是人为向输入样本中添加细微噪声形成的,对抗样本的提出引发了人们对深度学习安全问题的关注,如何有效地生成更自然的对抗样本受到了研究人员的广泛关注,研究对抗样本有助于促进深度学习安全领域的发展。对抗样本的生成依赖于攻击者对模型的了解程度,考虑到在实际场景中,攻击者可伪装成用户轻松地获取模型输出的标签信息。因此,可访问标签的黑盒攻击在各类对抗攻击中更具有现实意义。针对现有可访问标签的黑盒攻击生成的图像对抗样本的对抗扰动随查询量收敛较慢的问题,本文分别采用了边界梯度估计和边界搜索的策略,提出了两种生成黑盒对抗样本的方法:优化查询和扰动分布的黑盒攻击（Improved Black-Box Attack based on query and perturbation distribution,IBBA）和基于决策的自适应黑盒攻击（Decisionbased Adaptive Black-box Attack,DABA）。这两种算法只需要查询深度神经网络输出的top-1标签即可有效地生成对抗样本,具有收敛速度快的优势。IBBA以边界梯度估计策略为基础,从查询分布和扰动分布两个方面优化黑盒攻击算法,同时,该算法根据有目标攻击和无目标攻击的特点设计了不同的方法优化黑盒攻击算法。DABA以边界搜索策略为基础,根据扰动方向和扰动减小量的关系设计对抗样本生成策略,提出了根据决策边界几何特点自适应调整的扰动方向搜索策略,通过对扰动减小量的进一步分析,给出了自适应调整的生成对抗样本策略。在ImageNet数据集上的实验发现,相比于经典的可访问标签的黑盒攻击算法,IBBA无目标攻击算法在低查询量下生成的对抗样本具有较小的对抗扰动;DABA无目标攻击算法可以更快地收敛到较小的对抗扰动上;IBBA有目标攻击算法在不同查询量下生成的对抗扰动均比较小;DABA有目标攻击算法也可以有效地收敛到人眼不易察觉的对抗扰动上。综合来看,本文提出了两种优势互补的黑盒攻击算法,为未来探索更有效的黑盒对抗样本生成方法奠定了基础。