深度学习算法在图像分类等许多应用场景中取得令人瞩目的成绩。但是,研究表明含有恶意扰动的对抗样本可以欺骗甚至操纵这些复杂神经网络模型,从而使得它们输出错误的预测结果。为了应对这种威胁,本文重点研究对抗训练和预处理防御这两种提高神经网络模型鲁棒性的方法。对抗训练,即使用对抗样本训练神经网络模型,是一种有效的防御措施。经过对抗训练的神经网络模型往往具有很强的抵御对抗样本攻击的能力,但是在训练过程中生成对抗样本会大幅增加计算成本。此外,本文通过分析对抗训练的中间过程发现,使用过量的对抗攻击迭代生成训练样本还有可能导致灾难性过拟合,从而对训练模型的鲁棒性产生严重的负面影响。为了减轻过拟合并提高训练效率,本文提出动态高效对抗训练,简称为DEAT。该算法的第一轮训练为常规训练,从第二轮开始进行对抗训练,并在后续训练过程中根据预先设计的调整策略逐渐增加对抗攻击迭代次数。实验表明DEAT算法框架的可行性与优越性,但是手工设计的调整策略严重依赖于训练任务相关的先验知识,这严重限制算法的泛化能力。为此,本文进一步揭示神经网络模型的局部利普希茨常数与它关于输入样本的梯度量级之间的关系。在该理论的基础上,本文利用梯度量级估计对抗训练的效果,并确定DEAT算法框架中增加对抗攻击迭代的时机。该基于梯度量级的调整策略特别适合DEAT算法,而且还可以被应用到现有的各类对抗训练算法中,以提高它们的训练效率。在对比实验中,所有基于梯度量级的动态对抗训练不仅在训练效率上有大幅提高,而且在各项性能测试中也取得与原算法相当甚至更好的表现。此外,实验分析还表明维持训练对抗样本的质量是进行高效对抗训练的关键。在预处理防御方面,首先分析K-means预处理防御算法所能抵抗的最大扰动半径以及K-means聚类质心的数量对防御性能的影响。我们发现预处理防御对恶意扰动的总量比其含有的语义信息更敏感。另一方面,质心的数量越少,K-means聚类提供防御的效果越好,但是它会略微降低受保护模型在干净样本上的分类准确率。除此之外,将K-means预处理防御和中值滤波、特征压缩以及JPEG压缩结合在一起,我们提出一种可以大幅提高模型鲁棒性的集成预处理防御策略。实验结果还表明预处理算法的叠加顺序对最终集成防御的表现有显著影响,而K-means预处理在大多数情况下应作为第一道防御算法。