近年来,卷积神经网络(Convolutional neural network,CNN)已经在各个领域取得了令人瞩目的成绩,如计算机视觉,语音处理和自然语言处理等。然而,Christian Szegedy等人第一次发现了 CNN在图像分类领域存在缺陷,尽管CNN的分类精度很高,但CNN还是极易受到对抗样本的攻击而错误分类。因此,对抗样本将对安全敏感的应用构成严重的威胁。如何防御对抗样本的攻击是一个具有挑战性的问题。根据对抗样本的特性,本论文提出了三种针对对抗样本的防御方法,具体研究成果如下:1、提出了基于联合检测器的对抗样本检测的防御方法。联合检测器是由统计检测器和高斯噪声检测器组成。统计检测器是基于差分像素邻接矩阵(Subtractive Pixel Adjacency Matrix,SPAM)进行建模,当图像中加入一定量的对抗扰动之后,会引起相邻像素统计特征的异常,因此可以利用统计异常来检测具有大扰动的对抗样本。具体的说,先计算3个颜色通道(R、G、B)内8个方向(→,←,个,↓,↖,↘,↙,↗)上的领域像素差分矩阵的二阶MarKov转移概率矩阵,并将每个颜色通道内的水平和垂直共4个方向与对角和反对角共4个方向的转移概率矩阵分别进行融合,然后融合三个颜色通道内特征构成最终的分析特征,最后使用集成分类器作为特征训练和测试工具。高斯噪声注入检测器根据原始输入样本和高斯噪声注入之后的样本在目标网络中输出之间的距离来检测具有小扰动的对抗样本。具体的说,如果距离大于预先设置的阈值,则输入样本将被确定为对抗样本,反之则是合法样本。我们提出的联合检测器是自适应的,不同扰动特性的对抗样本会由不同的检测器进行检测,因此联合检测器可以自适应的检测不同扰动特性的对抗样本。实验结果表明,我们提出的联合检测器可以有效的检测出目前各种主流的对抗样本。2、提出了基于深度残差生成式网络的对抗扰动的消除的防御方法(RGN-Defense)。防御思路是将待识别的样本先通过深度残差生成式网络(Deep Residual Generative Network,RGN)消除或减轻对抗扰动,然后再输入到目标网络完成识别任务。在RGN-Defense中,我们定义了联合损失函数,由像素损失、纹理损失和分类交叉熵损失的加权之和构成。它们分别从图像的内容,视觉感知和最终分类准确率方面评估合法样本和生成样本之间的差异。因此,最小化联合损失函数会尽可能多地保留合法样本的内容,获得逼真的视觉效果,并且实现与合法样本相同的分类性能。实验结果表明,我们提出的防御方法可以有效的抵御目前主流的对抗样本的攻击。3、提出了联合对抗样本检测和对抗扰动消除的混合防御系统。混合防御系统联合了对抗样本检测和对抗扰动消除,它在保证一定的防御性能的前提下,降低了防御系统对合法样本识别率的影响。具体来说,联合检测器先对输入样本进行检测,如果检测具有对抗性,则会经过RGN-Defense来消除对抗扰动,然后再送到目标网络进行识别;如果没有检测到对抗性,则认为此样本是合法样本,将直接送到目标网络进行识别。综上所述,我们根据对抗样本自身的特性,提出了两种不同防御策略的方法,并且将这两种防御方法联合起来形成了更加全面和鲁棒的防御系统。