文 献 综 述 一 .研究背景、目的及意义 在过去的数年里，随着人们对神经网络研究的不断深入，学界涌现了越来越多的优秀深度学习模型，其应用范围也不断拓宽，包括医疗诊断、自动驾驶、智能合约和智慧法院等。

相较于传统机器学习模型，神经网络模型无论是准确率还是运行效率，都展现了强大的竞争力。

然而，在被广泛应用的同时，深度学习系统（DL system）也暴露出了很多问题，其中之一就是鲁棒性不足。

然而，众所周知的是，神经网络的调试比较困难，其鲁棒性缺陷的理论分析尚不完备。

在传统的软件测试领域，模糊测试是发现软件安全性漏洞的常用的手段。

然而神经网络和传统软件相比，在软件内在结构上有巨大的差距，也就是说，现成的Fuzz工具如AFL，无法直接应用于神经网络模型。

通常，自动化测试工具通过自动生成对抗样本，作为输入测试待测系统。

对抗样本，即Christian Szegedy等人提出的，在数据集中通过故意添加细微的干扰所形成的输入样本，目的是导致模型以高置信度给出一个错误的输出。

在DL测试的过程中，通过寻找对抗样本，让分类器做出错误的分类，来发现模型的缺陷并尝试进行弥补。

在许多安全要求极高的重点研究的领域中，如自动驾驶和智能司法，一次错误的判断可能给使用者带来重大损失以至生命危险。