深度学习技术的迅速发展使得这一技术被广泛应用于各个领域,包括基础现实应用以及许多与安全相关的任务应用,这使得深度学习模型成为攻击者的目标。攻击者根据深度学习模型的脆弱性定制了相应的攻击策略。这种由模型暴露出的弱点衍生出的对抗攻击算法对图像分类领域的发展提出了挑战,同时它也为进一步探索深度神经网络提供了机会。在攻击者的推动下,越来越多的防御机制被提出来保证深度学习模型的安全。本文分别从防御机制的两个层面提出了三种防御方法来减轻对抗攻击对深度学习模型的不利影响。这三种防御方法主要运用了稀疏表示的基本原理和孪生网络的结构优势,从输入转换和修改网络结构两个角度来实现提高模型鲁棒性的目的。具体而言,本文的研究内容主要包括:首先,根据预处理策略的思想路线探究了如何通过对输入图像进行一系列的图像变换操作来提高模型鲁棒性。本文采用随机稀疏策略来最大限度地消除输入图像中的对抗扰动,然后通过引入白化处理来减轻随机机制对图像重要特征造成的不利影响。实验结果充分证明了本文提出的随机稀疏防御能够在防御时有效地权衡图像特征失真和扰动衰减。其次,本文提出了一种基于Defense-Siamese+模型的对抗防御策略。鉴于对抗扰动限制了深度学习模型在实际安全敏感应用中的部署,本文试图找到一个足够强大的网络来抵抗对抗扰动。因此,区别于使用传统的输入转换方法来消除输入图像的扰动,本文利用孪生网络的结构特性来在模型训练过程中尽量提高模型对类内近似性以及类间差异性的学习性能。然后本文设计了正则化-对比损失以进一步增强孪生网络模型的防御能力。为了测试该方法的防御性能,我们分别用MNIST和Fashion-MNIST数据集上对四种攻击算法在FCN、LeNet和AlexNet三种不同子网络的孪生网络模型上进行了防御效果评估实验。评估结果表明Defense-Siamese+模型在无需进行昂贵的对抗性训练的情况下为抵御对抗攻击提供了一定的鲁棒性,并且该方法具有一定的普适性。最后,本文结合防御策略的两个不同层面提出了SKNet-Siamese+防御模型来增强图像分类模型的可靠性。在这一策略中本文先采用双重稀疏方法对输入样本进行了图像转换操作,然后本文通过对孪生网络的子网络进行改进来最大限度地利用孪生网络的结构特性。实验结果表明,SKNet-Siamese+防御模型不仅能够提高图像质量,而且还具备跨攻击可转移性。