深度学习的发展为社会带来了巨大的进步,在语音识别、图像处理、语言翻译、恶意软件检测等方面发挥重要的作用。对抗样本攻击是一种针对深度学习图像识别任务的恶意攻击,攻击者通过向输入图片中添加人类肉眼观察不到的恶意扰动,导致图像识别模型对图片分类错误,这种添加过恶意扰动的图片被称为对抗样本。对抗样本攻击会影响模型正常使用,对深度学习发展构成严重威胁。本文对现在主流的对抗样本防御方法总结梳理发现,许多防御方法只注重对抗样本中像素的研究,期望通过清除像素中隐含的恶意扰动,重新产生一张净化图片来防御对抗样本攻击。然而这些防御方法忽略了对图片整体的关注,忽略图片内容特征对图片分类的影响,不能完全消除隐藏在图片中的恶意扰动。同时现有的对抗样本防御方法大多忽略了图片中多尺度特征的影响。一张图片中多个特征的尺寸一般不相同,甚至存在较大差异。而特征的不同尺度会影响其在卷积神经网络中的表达程度不同,使得深度学习模型在提取图片特征信息时存在遗漏情况,进而导致多种对抗样本防御方法净化图片的分类精度降低。为了解决对抗样本恶意扰动难以清除的问题,本文受哺乳动物视觉系统启发,提出使用包含平行注意力机制的对抗生成网络来净化对抗样本。对抗生成网络负责学习并生成净化图片,平行注意力机制通过学习图片中的个体特征信息和空间信息来指导对抗生成网络,让防御模型在净化时不仅关注图片像素层面的特征,还要关注物体的整体特征和空间信息,产生净化效果更好的图片。本文分别在白盒背景和黑盒背景下使用多种攻击方法在MNIST和CIFAR10数据集上测试。本文提出的防御方法在两种情景的攻击下均能达到综合最优的防御效果。本文还对目前主流的注意力模块进行测试,在防御模型中使用了5种注意力机制进行对比,实验结果表明平行注意力机制能有效提高防御模型净化能力。为了解决对抗样本图片多尺度特征问题,本文提出了多尺度特征双平行注意力对抗样本防御方法。该方法使用多尺度特征模块提取输入图片中不同尺度的特征,随后使用平行注意力特征融合模块对多尺度特征图进行融合,最后通过图像重建模块生成净化图片。该方法能够在关注图片中个体特征和空间特征的同时,利用输入图片中多尺度特征提高净化图片的精度。实验表明该防御方法能够有效提高防御模型净化原始图片的分类精度,同时能够提高模型防御对抗样本的防御精度。为了帮助目前尚无对抗样本防御能力的深度学习模型防御对抗样本,本文设计了一个基于平行注意力机制的对抗样本净化系统。该系统能够自动为没有防御能力的网络模型添加对抗样本防御能力,以较低的分类精度为代价提高模型的鲁棒性。