近年来,深度神经网络模型已经能在各种分类任务中达到很高的准确率,然而最近的研究表明,深度神经网络容易受到对抗样本的攻击,攻击者只需在干净样本中添加一些人眼无法识别的微小扰动,就可以生成对抗样本,从而轻易地使深度神经网络模型对其产生错误分类,随着深度神经网络广泛应用于各个领域,对抗样本使这些深度神经网络系统面临巨大的安全威胁。因此,为了减少对抗样本对神经网络的影响,提高神经网络的鲁棒性,对深度神经网络中对抗样本的防御进行了研究,在保证神经网络模型对干净样本的分类性能前提下,提出了三种防御对抗样本的方法,并在MNIST和CIFAR10数据集上进行了实验验证。首先,为了使神经网络模型能够同时对单步攻击和迭代攻击对抗样本达到较好的防御效果,提出了基于高斯增强和迭代攻击的对抗训练防御GILLC,高斯增强提高了模型防御对抗样本的泛化能力,而ILLC迭代攻击用于近似解决对抗训练中的内部最大化问题。实验证明,GILLC在防御单步攻击时可以达到几乎与NAT相同的效果,在防御迭代攻击时可以达到与PAT相同的效果,而NAT/PAT仅对单步攻击/迭代攻击有较好的防御效果,GILLC全面提升了深度神经网络的鲁棒性。其次,为了使防御方法能够更加广泛地应用于各种训练模型,提出了基于KWTA-BRelu激活函数的防御,将有界激活函数BRelu和K-WTA-Relu激活函数结合,对Relu激活函数进行了简单的结构修改,模糊和破坏网络中的梯度信息,阻碍对抗扰动在网络层中的积累传播,减小了对抗扰动对模型的影响,基于K-WTABRelu激活函数防御不仅可以用于普通的模型训练,也可以用于对抗训练,实验表明,在K-WTA-BRelu、Relu、BRelu和K-WTA-Relu激活函数训练的模型中,KWTA-BRelu激活函数训练的模型具有最好的防御性能。最后,为了进一步提升对抗训练的防御效果,提出了基于改进对抗训练中损失函数的防御ILF,由于被网络正确分类和错误分类的训练集对训练网络的鲁棒性有不同的影响,分别提出了正确分类和错误分类训练集的损失函数,并且添加KL散度项来提升模型的鲁棒性,最后将两个损失函数合并优化得到ILF,实验证明,利用ILF比利用Standard和MART损失函数进行对抗训练的模型分类对抗样本的精度更高,因此,利用ILF进行对抗训练的模型具有更高的鲁棒性。