近年来,随着深度学习的不断发展,人工智能的应用越来越广泛,并在诸如计算机视觉,自然语言处理和语音处理等多个领域取得了骄人的成绩。然而,在卷积神经网络进行图像分类时,神经网络会受到对抗样本攻击而产生错误分类。对抗攻击通过向图像中添加细微的小扰动生成对抗样本,卷积神经网络会将对抗样本以高置信度误分类。因此,对抗样本攻击对图像识别的相关应用构成了严重威胁。本文通过分析当前对抗攻击的基本原理,总结对抗样本防御模型的研究现状,提出了一种针对对抗样本的防御系统。本文主要研究成果包括以下几个方面:(1)提出了基于检测器与扩张卷积去噪U-NET网络(Dilated DUNET)的对抗样本联合防御系统。对抗样本防御系统包含检测器与去噪网络两部分,它在保证了有效的防御性能的前提下,对干净样本的影响很小。具体来说,检测器先对输入样本进行判别,如果分类为对抗样本,则输入去噪网络中来消除对抗扰动,然后将去噪后的样本输入目标网络中进行识别;如果检测器将输入样本分类为干净样本,则直接输入目标网络中进行识别。(2)提出了对抗样本检测方法。检测器采用类似于对抗训练的方式训练分类器。首先,利用干净样本生成相应的对抗样本,将所有干净样本归为一类,将所有对抗样本归为一类,并将它们整合为一个训练集。训练分类器进行对抗样本与干净样本的判别,而不用识别样本的具体类别。分类器采用集成分类器,它由多个基分类器构成,利用择多的原则得到最终分类结果。实验结果表明,检测器对于五种常见对样本的平均检测准确率达到98.24%,可以有效的检测出多种类型的对抗样本。(3)提出了基于扩张卷积去噪U-NET网络的对抗扰动消除方法。去噪网络的架构基于U-NET网络,它将U-NET网络中用于传递图像细节信息的横向连接修改为长连接与短连接结合的方式,使具有相同大小的特征,具有不同语义信息的特征进行融合,降低U-NET网络中上采样与下采样过程中带来的信息损失。同时,卷积层中采用扩张卷积,扩大模型的感受野,使模型捕获更丰富的图像特征。通过进行特征融合与采用扩张卷积,去噪网络获得了更强的学习能力。本文定义了联合损失函数,由Smooth L1损失和图像结构相似性(SSIM)损失的加权和构成,它们分别从图像语义内容和视觉感知方面评估去噪后样本与干净样本的差异。因此,最小化联合损失函数可以有效的训练去噪网络,使其输出的去噪样本拥有与干净样本相近的分类性能。实验结果表明,经过去噪网络去噪后的五种对抗样本,其平均分类准确率达到90.98%,可以有效地消除对抗扰动,检测器与去噪网络组成的防御系统可以有效的增强目标网络的鲁棒性。