深度学习是人工智能领域的一个热门话题,它在许多领域都取得了巨大的成功,如图像识别、语义分割、自然语言处理等。然而,有研究表明深度学习容易受到对抗样本的影响。这些人眼难以察觉的对抗样本能够让深度神经网络以高置信度给出错误的结果。对抗样本的存在给深度学习的安全性带来了巨大的威胁,因此,提高深度学习模型的鲁棒性有着重要的实际意义。近几年,国内外关于如何防御对抗样本做了大量的研究。对抗样本防御方法一般分为“仅检测”和“完全防御”,即本文所说的检测和防御。在检测方面,现有的使用特征压缩检测对抗样本的方法虽然得到了较高的检出率,但是假阳性率较高。本文提出了一种新的多种特征压缩联合检测对抗样本的方法,从信息熵的角度着手,检测对抗样本。此外,本文还提出使用双边平滑对图像进行特征压缩来检测对抗样本。在防御方面,现有的随机防御方法对样本的破坏程度高,防御效率低。本文提出了随机干扰图像的集成防御方法,利用随机噪声来提高深度学习模型的鲁棒性。本文的主要贡献如下:1、提出了基于对抗得分的多种特征压缩联合的对抗样本检测方法(A Joint Method Of Multi-Feature Squeezers Based On Adversarial Score,ASMFS)。对抗得分(Adversarial Score,AS)是本文用来描述未知样本接近对抗样本的程度。我们发现,对抗样本在特征压缩前后的信息熵变化与干净样本不同。基于这个特点,本文将信息熵差的绝对值和l,距离的加权和作为检测对抗样本的依据,提出了 ASMFS。在MNIST和CIFAR-10数据集上进行了实验,实验表明使用AS作为检测依据比单纯使用l1距离值作为检测依据有更低的假阳性率。2、提出了基于双边平滑的对抗样本检测方法。针对双边平滑可以保持图像边缘,以及双边平滑在空间域和灰度值域上同时限制特征空间,本文提出使用双边平滑对原始样本进行特征压缩来检测对抗样本,并将双边平滑加入到ASMFS中。通过在MNIST和CIFAR-10数据集上的实验,说明了加入了双边平滑的ASMFS,在检出率和假阳性率上都有改善。3、提出了随机干扰图像的集成防御方法(Randomly Perturbed Images Ensemble Defense,RPIED)。基于自然样本对噪声的鲁棒性强于对抗样本的特点,本文提出随机干扰图像的集成防御方法:将原始图像复制多份,注入不同的随机噪声得到多个变体图像,目标神经网络对这些变体进行预测,以投票的方式得到最终预测类。通过与其他方案进行实验对比,证明了 RPIED防御效果。