深度学习模型在与安全密切相关的任务中有广泛的应用,如人脸识别、生物监控以及自动驾驶等。深度模型本身的脆弱性也衍生了一系列的攻击防御研究,这些研究逐渐得到信息安全领域的广泛关注。黑盒攻击是一种在现实场景中常见的攻击类型,攻击者可以在不获取到目标模型的具体结构参数等信息的情况下实现攻击,一般是通过训练替代模型来近似目标模型,然后利用训练好的替代模型的信息生成对抗样本,以此来对未知的目标模型实施攻击。为了保证深度学习模型在实际场景中的安全性,当务之急是对其易受对抗样本攻击的原因进行探究并设计出更好的策略来提高模型的防御性能。一类较为有效的防御算法是对抗性训练,但传统的对抗训练方法都有其不足之处。其中单模型对抗训练难以防御黑盒攻击,多模型集成对抗训练可以缓解这个问题但是无法防御具有强迁移性的对抗样本。为解决以上问题,考虑将对抗强度搜索策略加入到传统的集成对抗性训练中,通过搜索策略选出较优的对抗强度,设计批量混合对抗性训练算法,可以保证目标模型抵御黑盒攻击和多样化攻击的性能,同时不会降低目标模型对正常样本的分类效果。此外,对抗性训练可以明显提高目标模型在单步攻击上的鲁棒性,但是目标模型面对未知的迭代攻击效果并不理想。虽然级联对抗性训练可以缓解这个问题,但是这种方法无法防御盲点攻击。为了使目标模型能有效防御盲点攻击,在级联对抗性训练中融入了预训练和微调的思想,通过预训练和微调得到可以对盲点攻击有初步防御能力的预训练模型。更进一步,结合集成的思想,利用多个预训练模型生成迭代对抗样本,与当前目标模型生成的单步对抗样本共同进行对抗性训练,既可以显著提高目标模型面对盲点攻击时的性能,又可以提高模型针对黑盒攻击的防御能力。最后,还将批量混合对抗性训练防御策略应用到交通标志识别系统中,验证了所提防御算法在实际场景中的有效性。