随着深度学习的高速发展,越来越多的领域将神经网络作为自动化工具应用在现实场景中,比如图像分类器、语音识别系统、文本翻译等,在深度学习技术的支持下,很多任务的处理变得更加快速且精确。然而,在现实应用场景下,深度学习的安全性却始终没有得到保证。在数据准备、网络训练、模型部署等各个环节,深度学习的安全都可能会受到威胁,导致系统功能故障或数据发生泄露,引发严重的人身或财产安全问题。在图像领域,对抗样本就是一种威胁神经网络安全的攻击方法,它的攻击原理是向图像中添加人眼不易察觉的扰动,而神经网络分类器却会对其做出错误判断。针对其作用原理,很多学者也提出了相应的防御方法,主要是通过重新训练分类模型或改进结构,使其能拟合对抗样本的数据分布。但这类防御方法效果不佳并且很容易被新的攻击算法破解。本文从图像预处理方向入手进行研究,将防御转化为图像去噪任务,结合传统图像处理和深度学习技术,在不需要改变原有分类模型的参数和结构的条件下抵御对抗样本攻击。本文的研究内容主要分为以下两点:(1)首次将Res Net网络结构和感知损失相结合,提出了一种新的对抗样本防御方法。该方法由图像重建网络和随机化层构成,其中,图像重建网络为残差结构,该网络结构能够避免因网络层数增多而造成梯度消失或爆炸的问题,因此能更好地处理图像中的微小细节。在图像重建网络中还结合了BN层和PRe LU激活层,使模型的训练更加高效稳定。该网络的损失函数为特征提取网络中高层特征计算的感知损失,感知损失在很大程度上抑制了误差放大效应,提高了重建网络的防御性能。此外,防御网络的最后部分是随机化层,通过对重建网络输出的图像进行随机尺寸调整和填充,进一步抑制了残余的噪点对分类器的影响。(2)评估了该方法的防御效果和泛化能力。针对三种常见CNN分类器,我们用目前主流的八种对抗攻击方法在Image Net上生成对抗样本作为数据集,来训练并测试模型,该模型达到了46%到99%的分类准确率。并且,本文将该方法与其他基于图像预处理的对抗样本防御方法进行对比,证明了该模型的防御效果普遍优于当前最先进的方法。为了分析其泛化能力,本文将该方法用于防御其他攻击方法,实验结果表明,该方法能够有效防御其他攻击以及自适应攻击。本文还对该防御网络进行了模型简化研究,探究各个因素对于模型整体贡献的多少,进一步优化模型结构。