近年来，随着大数据、云计算、互联网、物联网等信息技术的发展，以深度学习为代表的人工智能技术已经广泛应用于自动驾驶、人脸识别等各个领域，在图像分类等任务中表现出非常良好的性能。然而，最近有研究表明深度学习模型鲁棒性不强，在面临人为设计的对抗样本攻击时，容易出现性能严重下降甚至模型完全失效的情况，这给深度学习技术的应用带来了巨大的风险。因此，研究深度学习模型针对对抗样本的鲁棒性具有显著意义。
　　目前关于对抗样本的研究主要包含对抗攻击和对抗防御两个方向。对抗攻击是指研究生成对抗样本的攻击方法并用来评估深度学习模型的鲁棒性，对抗防御是指研究针对对抗攻击的防御方法来提升深度学习模型的鲁棒性。本文将分别从这两个角度出发，探究能够攻破经过对抗防御的深度学习模型的攻击方法并建立具有更强防御性能的对抗防御框架。首先，针对对抗样本防御中最常用的对抗训练方法，探究其原理与局限性，并提出了一种基于图像变换的攻击方法来评估对抗训练防御的鲁棒性。其次，针对常用的附加网络防御策略和对抗训练防御策略的缺陷，设计了一种基于附加网络和对抗训练策略融合的防御框架来增强深度学习模型的鲁棒性。
　　本文的研究成果主要包括：(1)从有效性和敏感性两个方面探究了对抗训练防御的局限性，提出了一种基于图像变换的攻击方法来评估对抗训练的鲁棒性，并在常用数据集上验证了所提出攻击方法的有效性。实验结果表明，对于目前具有较强白盒防御能力的PGD对抗训练方法，所提出的攻击方法能使得模型的分类准确率明显下降，从91.2%降低至36.8%。(2)对常用的附加网络和对抗训练防御策略的原理和缺陷进行分析，设计了一种基于附加网络和对抗训练策略融合的防御框架来增强深度学习模型的鲁棒性。实验结果表明，与独立的附加网络和对抗训练防御相比，所提出的防御框架能够取得更好的白盒和黑盒防御性能，以及更强的针对不同攻击方法的防御泛化能力，同时该防御框架对于基于图像变换的攻击方法也具有防御能力。