对抗攻击（Adversarial Attack）指对输入样本添加一些人为制造的、肉眼几乎察觉不出的噪声,导致模型对该输入样本给出一个错误的输出,该添加特定噪声的样本被称为对抗样本（Adversarial Examples）。对抗攻击主要分为两大研究方向:（1）攻击者了解模型的结构和参数,即白盒攻击;（2）攻击者不了解模型的结构和参数,即黑盒攻击。相对地,对抗防御（Adversarial Defense）力求防御对抗攻击,即模型对对抗样本也能给出正确的输出。随着深度学习模型在各个领域的不断应用,对抗攻击的问题也日益突出。攻击者使得模型产生误判、错误预测等问题,从而破坏系统安全,对人脸识别、金融及辅助驾驶等领域产生了威胁,故亟需提高模型鲁棒性,以及推动深度学习技术的发展和进步。因此,对抗攻击与对抗防御的研究具有重要的现实意义。本论文围绕对抗攻击与对抗防御展开研究,具体工作如下:（1）提出了一种基于动态微调设置的元攻击方法。基于梯度估计的黑盒攻击方法利用目标模型的输入输出作为信息,以此生成估计的梯度,将其用于对抗扰动的优化。过多的模型查询有可能会暴露攻击者的目的和身份,同时考虑到模型查询是收到限制的,因此攻击者期望尽可能地减少黑盒攻击中所需的模型查询次数。元攻击（Meta Attack）采用了先进的元学习机制,设计了一个神经网络,用于模拟目标模型以及输出估计梯度,即元梯度,因而减少了模型查询次数。然而,它以固定的频率查询ZOO梯度,这仍然会导致大量不必要的模型查询。为了克服这一限制,本论文以元梯度精度的动态变化为基础,提出了一种动态的元攻击（Dynamic Meta Attack,DMA）。在每一轮微调开始时,DMA计算元梯度与ZOO梯度的差距,该差距反映了元梯度的精度,因而可作为DMA进行模型查询、元梯度修正的指导信息。此外,动态微调由一组参数来实现,易于调整。通过这种方式,DMA只在关键时刻启动查询,从而显著地节省了查询资源。实验结果表明,所提出的DMA比现有方法所需的模型查询次数要少得多,同时保持了令人满意的攻击成功率和图像失真。（2）提出了一种基于特征一致性的对抗防御方法（Feature Consistency Defense,Fe Con Defense）。现有的对抗防御方法鲜少考虑到对抗扰动是如何影响模型对图像的特征表达。不同任务的模型对同一个样本所提取到的特征存在一定的区别,那么探究对抗样本在不同模型的特征空间中存在怎样的差异、该差异能否帮助我们找出并抵消对抗扰动,就变得有意义了。换言之,对抗样本在不同模型之间的特征一致性有可能作为对抗防御的关键因素。本论文发现不同任务的两个模型对相同的对抗样本所提取到的中间层特征存在着明显的差异,这一对中间层特征的距离被称为特征一致性损失（Feature Consistency Loss,Fe Con Loss）。基于特征一致性损失,本论文提出了通过降低对抗样本的特征一致性损失,以抵消对抗扰动的对抗防御方法。实验结果表明,所提出的Fe Con Defense能提升模型的鲁棒性。