深度学习技术在很多领域都得到了非常成功的应用,如语音识别、目标检测、图像生成、自然语言处理等,但是深度学习技术在安全性与鲁棒性方面是十分脆弱的。对抗样本是指在原有数据中添加微小的、不可察觉的扰动所形成的输入样本,会导致深度学习模型以高置信度产生错误输出。对抗样本也可以作为工具辅助攻击者获取有关模型的信息。对抗样本的存在限制了深度学习模型在安全敏感的领域的进一步应用,如异常检测、人脸识别、自动驾驶等。来自对抗样本的攻击给人工智能系统的安全带来了巨大的隐患,因此如何增强深度学习模型的鲁棒性,使深度学习模型抵御来自对抗样本的攻击成为了一个非常重要和亟待解决的问题。对抗样本的防御方法主要包含两个方面:（1）通过增强模型的鲁棒性使模型不受对抗样本的影响;（2）对抗样本检测,判断输入样本是否为对抗样本。同时,对于安全敏感领域的深度学习技术,隐私性也是模型需要考虑的重要属性,而对抗样本也可以作为一种评估模型安全性、合规性的方法。围绕以上三个对抗样本防御中的问题,本文研究了在图像对抗样本中的防御方法和策略。本文的研究内容和贡献如下:（1）基于解耦特征的自监督对抗样本检测研究:本文在自动编码器中引入解耦特征,提出基于解耦特征的重建,探索自监督对抗样本检测的解决方案。方案的主要思路是:在自动编码器的训练过程中,通过配对的标签特征和语义特征与不配对的标签特征和语义特征分别模拟良性样本与对抗样本的行为,从而减弱自动编码器不必要的泛化性能。本文将此方法与已有的最佳方法在不同的对抗样本生成算法、不同的数据集、不同的受害者模型上进行对比,实验结果显示,基于解耦特征的方法优于其它自监督的对抗样本检测方法。虽然本文提出的方法是针对图像数据的,但是通过简单地改进以后同样可以拓展至文本数据。同时,与其它自监督检测方法不同的是,本文提出的基于解耦特征的方法可以抵御自适应的对抗样本攻击。（2）阶梯对抗训练:本文提出了阶梯对抗训练,阶梯对抗训练将对抗训练和平滑标签相结合,使得在对抗训练的过程中,不同量级的对抗扰动对应不同平滑程度的标签。阶梯对抗训练可以调节模型在对抗训练过程中的过拟合程度,在保证模型在良性样本上的准确率的同时,提高模型在对抗样本上的准确率。同时,本文以对抗样本和成员推理攻击为切入点,通过阶梯对抗训练探究鲁棒性与模型隐私性之间的权衡关系。（3）基于对抗鲁棒性的成员推理攻击研究:本文将对抗样本作为评估模型隐私性的工具,提出一种基于对抗鲁棒性的成员推理攻击:通过在白盒攻击条件下调节对抗扰动的方向和目标标签的平滑程度增强成员推理攻击的效果,从而更好地评估模型的安全性和隐私性。实验结果表明本文提出的方法超过了现有的基于对抗鲁棒性的成员推理攻击方法,可以更准确地反映模型隐私泄露的状况。