人工智能技术迅猛发展,并向社会各个领域加速渗透,给人类生产生活带来了深刻变化。深度神经网络（Deep Neural Network,DNN）是人工智能技术的核心,为满足日益增长的复杂任务需求,其模型训练需要海量数据、计算能力等超级资源,用户很难独立完成整个训练过程,因而经常将训练过程外包给第三方或使用第三方预训练模型,以降低训练成本。然而,用户在享受便利的同时,也丧失了对模型完整训练过程的知情权或控制权,加上DNN算法本身的脆弱性,导致其易遭受后门攻击。攻击者只需要在DNN模型训练过程中修改少量训练数据就可以影响模型特定参数,迫使模型在推理阶段一旦成功识别后门触发器（特殊信号）就表现特定的恶意行为,而其余时间均正常运行。由于后门攻击仅通过操纵模型少量参数就可植入后门,因此在拥有数以百万参数的DNN模型中很难被发现。同时,DNN模型结构日益复杂,进一步加大了后门攻击防御难度。因此,面向DNN的后门攻击与防御具有非常重要的研究意义和实际价值。但是,现有的后门攻击研究成果在攻击成功率、隐蔽性、鲁棒性以及效率方面尚有不足;现有后门防御研究成果则在模型准确率、效率和功能方面存在缺陷。针对上述问题,本文对面向DNN的后门攻击与防御方案进行了深入研究,并提出了一个攻击方案与一个防御方案:（1）基于预训练模型的替身后门攻击方案。该方案可在模型训练阶段完美隐藏触发器,实现了其在视觉与隐藏层特征空间上的不可见,且无需修改训练数据真实标签与模型结构,可绕过人工检查和后门检测。同时,该方案在推理阶段可将触发器添加到任意输入,保证了触发器的复用性,实现较高攻击成功率。实验结果表明,在不牺牲模型实用性的前提下,该攻击方案隐蔽性可达0.96,且相比主流攻击方案在高效性和鲁棒性方面也具有一定优越性。（2）基于DNN可视化的后门防御方案。该方案在保证模型准确率的前提下,实现了对非扰动触发器后门攻击的有效防御。同时该方案无需重训练模型,并实现了触发器和模型的双重检测。通过实验结果对比,证明了该方案在保证有效后门防御前提下,显著降低了后门防御对模型正常性能的影响,且提升了对大尺寸触发器后门攻击的防御有效性,相比主流防御方案在模型准确率、功能性方面具有一定优势。