尽管深度学习在各种任务中取得了优越的效果,研究人员发现深度网络模型实际上容易受到对抗样本的攻击。对抗样本是指在自然图像中加入一个微小的扰动,导致深度模型给出错误的预测,从而形成一种对模型的攻击。对抗样本的存在对深度学习的应用造成了威胁,因而引起了广泛的研究兴趣。本文分别面向对抗攻击和对抗防御,探索了如何基于深度模型的中高级特征来设计算法。在攻击方面,本文提出了一种生成式可迁移对抗攻击（Generative Transferable Adversarial Attack,GTAA）算法。首先,为了提高对抗样本生成的效率,GTAA利用一个生成器网络来产生对抗扰动,从而可以在单次前向传播中实现对抗样本的生成。其次,为了增强对抗样本的跨模型可迁移性以提升黑盒攻击的性能,考虑到深度模型中间层特征表达更具有可迁移性,GTAA设计针对模型中间层特征的损失函数,最大化对抗样本与原始样本在中间层中的差异。实验证明GTAA的生成效率比基于梯度的攻击方法更高,且其生成器网络收敛得比其他生成式攻击更快。在ILSVRC2012数据集上,GTAA在白盒设定下有着和对比算法相当的攻击性能,且在黑盒攻击中效果最佳。本文还比较了针对不同中间层进行约束的效果,实验结果表明,基于源模型选择的最优中间层对于黑盒的目标模型也具有最优的效果。在防御方面,本文探索了一种仅根据模型高层语义特征,修正出正确预测结果的算法。现有的工作一般依赖输入图像来抵御对抗样本。然而在实际应用中,存在一些图像数据和低级特征不可访问或难以传输的场景,如上下游任务分离的系统和移动设备,需要考虑基于高层语义特征进行防御。实验观察发现,对抗样本的logit与干净样本的logit有着不一样的分布,且对抗攻击在logit中反映了不同类别之间的内在关联。这为基于logit进行对抗防御提供了可能性。在此基础上,本文提出对抗logit修正（Adversarial Logit Correction,ALC）算法,采用一个两层的logit修正网络来实现从logit到正确预测结果的映射。在灰盒和黑盒设定下,修正网络可以仅基于logit而修正对抗样本的预测结果,同时保持干净样本的预测结果不变。实验表明,该修正网络针对不同攻击方法具有一定的可迁移性。通过对修正网络的微分分析,本文发现存在对攻击响应较强的“支持类别”,且对于任意一对攻击方法,其支持类别的重合比例与修正网络的可迁移性高度相关。