尽管神经网络已经在复杂的视觉任务上取得了相当可观的表现,最近的一些工作却发现这些网络对于人为设计的对抗扰动是十分脆弱的,将这些扰动添加在干净样本之上便能够轻易欺骗网络,导致做出错误的判断,这极大影响了神经网络在重视隐私和安全的领域的推广和应用.本文将从特征分布,鲁棒预训练和网络结构三个方面理解对抗鲁棒性的成因并提出相应的解决方法.首先,本文提出了一种正交稠密分类器和均方损失,前者权重向量在特征空间中均匀分布,保证特征具有相当的类间散度,后者迫使样本的特征表示向各自类内中心靠拢,从而有较好的类内紧度.该方法在大大降低计算开销的同时,能够避免因特征紧挨于分类边界之上而导致网络的脆弱性,利用额外的对抗样本,模型可以获得更为广泛和可靠的鲁棒性.其次,本文提出了一种基于动量的鲁棒预训练方法,其本身是一种无监督算法.为了能够获取长期的特征表示并保持负样本之间的一致性,我们引入两个记忆模块用以动态更新过往的干净和对抗样本的特征信息.通过鲁棒预训练方法获得一些较好的初始化模型,然后借助微调应用于不同的下游任务,其复用性便能减轻对抗训练巨大的计算开销所带来的负面影响,为对抗训练在更复杂任务上的应用提供了可能.和已有的鲁棒对比学习方法相比,本文提出的方法能够通过更小的批次和更少的训练次数获得更好的训练结果.最后,本文从对抗鲁棒性和特征大小的关系入手,分析二者的关系并提出相应的改进.神经网络的对抗鲁棒性主要取决于两个因素,一是网络的特征表示能力,二是其抗扰动能力.通过理论分析发现在平均池化之前利用较大的卷积特征可以有助于更好地抵抗扰动,但对于最大池化此结论并不正确,基于此,我们提出了两种可行的方法来提高现有神经网络的鲁棒性,只需要对输入进行上采样或修改卷积算子的步幅配置.我们在几个经典的神经网络结构上测试了该方法,包括AlexNet,VGG16,RestNet18和PreActResNet18,它们在各种攻击下的自然精度和鲁棒性均取得了重大改进.可以预见这些研究能够为鲁棒神经网络的设计带来了新的见解.