近年来随着深度学习技术的发展,深度神经网络在诸多领域取得了令人瞩目的成就。深度学习技术在生产生活中的广泛应用也为深度学习的发展带来了全新的挑战。特别在安全领域的应用中,决策系统的鲁棒性尤为重要,因为错误决策可能会带来生命财产的损失。因此,探索深度学习模型的鲁棒性成为了深度学习发展的重要领域。在该动机驱使下,人们发现了对抗样本现象:深度学习模型在面对恶意注入的细微扰动时显现出了令人惊讶的脆弱性。具体来说,当对样本注入细微的、难以察觉的对抗扰动后模型的输出会发生恶劣的变化。如此极端的不稳定性为深度学习的发展带来了令人兴奋的机遇和巨大的挑战。为了应对对抗样本现象,人们从多个角度进行了广泛而深入的研究。为了更好地完成模型对抗鲁棒性的评估,对抗攻击的相关研究集中于如何生成更具有攻击性的对抗样本。虽然对抗攻击领域内涌现了很多令人激动和极具贡献性的工作,但现有的方法要么存在着假设过强的缺陷要么存在着弱假设下性能和效率低下的问题。为了抵御对抗攻击,对抗防御聚焦于提升模型的对抗鲁棒性。虽然在前人的努力下对抗防御领域已经取得了长足的进步,但是现有方法的性能仍差强人意。为了揭示人类认知系统与深度学习模型之间的差异,在解释对抗样本现象存在原因方面也出现了大量的极具价值的探索。然而解释对抗样本现象的现有假说往往难以验证其自身的有效性,也难以指导对抗攻击和对抗防御的发展。本文基于对前人工作的理解,针对现有方法存在的问题从数据分布的观点出发深入探索了深度学习的对抗鲁棒性。基于数据分布的研究思路,本文提出了对抗区域假说并从因果推理的角度给出了对抗样本现象存在原因的解释。对抗区域假说的核心观点为:对抗扰动所在子空间是脱离数据局部流形切空间的最快方向,因而该子空间（对抗区域）内的所有样本对模型都具有潜在威胁性。因果推理能够通过建模数据分布生成过程的方式充分挖掘数据分布的性质,所以可以被用来探究数据分布的性质。本论文的贡献可以总结如下:·本文提出的对抗区域假说为理解对抗样本现象提供了基于数据分布观点的新视角,扩充了现有的解释对抗样本存在现象的假说。该假说指出,空间中某个特定区域的样本对模型具有潜在的威胁。因此可以通过建模对抗区域的方法来生成对抗样本,这使寻找对抗样本的过程摆脱了对模型的依赖。基于这一观点,本文提出了主成分对抗样本。该方法是首个基于被攻击模型极少量信息的对抗样本生成方法,并验证了对抗区域假说的合理性。·针对现有黑盒攻击效率较低的问题,本文从对抗区域假说出发提出了使用最优分布提升黑盒攻击效率的方法。本文证明了黑盒攻击下最优分布的存在性。该证明使提升黑盒攻击有效性的问题转化为了最优分布的近似问题,为黑盒攻击的发展提供了新的思路。为了提升黑盒攻击的性能,本文引入了目标模型训练数据可获取的假设,并给出了近似该最优分布的方法。本文进一步探索了在该假设不成立情况下的最优分布近似问题。为了近似黑盒攻击中的最优分布,本文定义并求解了高效的黑盒攻击问题进而提出了双路径蒸馏框架。该框架仅通过对反馈信息的充分挖掘便能够完成最优分布的近似。大量的实验表明该框架能够在不引入额外开销的情况下大幅提升黑盒攻击的性能。·为了进一步理解并缓解对抗样本脆弱性的问题,本文首次建立并挖掘了因果推理与对抗样本之间的联系。本文从因果推理的视角给出了对抗样本脆弱性产生的原因:是模型对非语义信息与标签信息之间的虚假相关性的过度关注导致了对抗样本现象的产生。本文还进一步挖掘了该虚假相关性的具体影响,发现了对抗分布与自然分布的差异来源。为了消除两个分布间的差异,本文提出了缓解对抗脆弱性的对抗分布对齐算法。大量的实验验证了该方法的有效性。这一探索为今后基于因果推理解决对抗样本问题提供了新的思路。