随着人工智能技术在近些年的飞速发展,以深度神经网络为核心的人工智能模型在各种领域被广泛部署,如图像识别、自动驾驶、语音识别、文本识别、视频处理等。然而,深度神经网络的模型却容易受到对抗样本的攻击,攻击者在输入中加入一些人眼不易察觉的轻微扰动,却可以使模型以较高的置信度输出错误的预测结果。对抗样本的发现使得人们对深度神经网络应用的安全性产生忧虑。为了更好地将其应用于实际场景中,针对深度神经网络的鲁棒性问题逐渐成为研究热点。对抗样本攻击与防御技术是评估和提高深度神经网络鲁棒性的重要手段。因此,研究深度神经网络中的对抗样本攻防技术具有重要的学术研究意义和商业应用价值。本文针对现有深度神经网络中的对抗样本攻击和防御技术中存在的攻击成功率低、攻击效率不高、防御泛化性差和鲁棒性低的问题展开研究。首先对现有的对抗样本攻击原理和防御方法进行了全面的总结。然后深入探讨了在不同设定和不同情况下深度神经网络中的对抗样本攻防技术,并围绕自动语音识别任务和图像分类任务两个深度神经网络应用最为广泛且关键的领域作为目标领域,分析它们在攻击和防御研究中存在的问题,并给出相应的解决方案。本文的研究内容和贡献如下:（1）现有最小化扰动的白盒对抗样本攻击需要同时优化两个目标,存在攻击效率低、扰动太大的问题。本文以自动语音识别任务为载体,提出了基于动态范数的快速有目标语音对抗样本攻击算法,根据攻击过程中样本是否攻击成功动态调整扰动预算,并逐渐减小攻击步长以避免在最优解附近震荡。实验结果表明,本文所提攻击方法可以在非常少的迭代次数下对主流自动语音识别模型DeepSpeech实现100%的有目标攻击成功率,并且所添加的扰动也非常小。（2）现有黑盒对抗样本攻击主要分为迁移攻击和查询攻击,存在迁移攻击成功率低、查询攻击效率不高的问题。本文将迁移攻击与查询攻击相结合,以图像分类任务为载体,提出具有迁移先验的贝叶斯优化黑盒对抗样本攻击方法。该算法利用生成器学习具有强迁移性的扰动作为先验并利用贝叶斯优化方法在生成器的低维嵌入空间进行搜索,充分利用了扰动先验和每次查询的先验知识。经过在三个数据集和六个模型上和当前最先进的黑盒对抗样本攻击方法的对比实验,本文的黑盒对抗样本攻击方法能够以平均个位数的查询次数实现98%以上的攻击成功率。（3）基于预处理的主动防御策略通常只对一些简单的攻击或包含在训练集中的攻击具有防御效果,存在泛化能力差、防御效果弱的问题。此外,预处理防御方法还会降低干净样本的分类准确率。本文设计了一种新的残差连接图像重构网络来防御对抗样本攻击,并使用感知损失来消除误差放大效应。实验表明,本文所提的基于残差连接的图像预处理防御方法几乎不会影响干净样本的分类准确率并且具有很强的泛化性,在Inception-ResNet-v2模型上对十种主流的对抗样本攻击的最低防御准确率达到69.44%以上。（4）基于正则化的对抗训练被动防御策略在白盒攻击下依然能够保持一定的鲁棒性,但却存在鲁棒过拟合以及自然精度和鲁棒性之间存在权衡的问题。本文首先经验性地验证了一致性正则化能够有效缓解对抗训练中的鲁棒过拟合。随后进一步提出了基于指数平均移动的教师模型一致性正则化对抗训练方法。在三种不同数据集上的实验结果表明,本文所提的对抗训练防御方法能有非常有效地缓解鲁棒过拟合并且提高鲁棒性,可以将CIFAR-10上的ResNet18模型的PGD-10攻击的鲁棒准确率提高4%,AA攻击鲁棒性提高3.79%,同时,鲁棒泛化差距可以减少24.64%。