深度学习技术依靠强大的神经网络模型和优化算法,在广泛的计算机视觉任务中取得了显著的成功。然而,最近的研究表明,深度学习系统容易受到各种攻击。在过去的几年里,关于深度学习模型的训练或推理阶段的安全问题已经被提出,关于这些模型中预处理组件的脆弱性的研究领域仍在发展中。一方面,当前针对深度学习预处理的内容伪装攻击技术仅关注了图像缩放的安全性问题,对其他预处理算法缺乏深入的研究,且攻击算法性能不佳。另一方面,相应的防御技术主要是基于检测的防御方案,并未进一步对干净样本和伪装样本执行一致性处理,不利于构建更健壮、鲁棒的深度学习系统。因此对具有可扩展性的内容伪装攻击和相应的鲁棒防御技术研究是一个重要课题。本文的主要研究工作如下:（1）介绍了内容伪装攻防技术的研究背景、攻防机制等相关知识以及深度学习架构、多尺度判别器等与与本文工作相关的先备知识,阐述了当前该课题中存在的局限性和挑战,并阐明了内容伪装攻击与其他深度学习中的安全性问题的关联,表明了该课题具有的重要研究意义。（2）针对缩放伪装算法的局限性和性能不佳等问题,研究了一种白盒内容伪装攻击技术。假设攻击者的目标是生成在预处理前后显示不一致视觉语义的伪装样本。在白盒设置（预处理算法及其参数已知）下,本文将内容伪装攻击表述为一个优化问题,通过多尺度鉴别器平滑计算源图像和目标图像中的感知损失,以提高攻击示例的伪装效果。通过在两个样本组以及两个真实数据集（Cifar-10和Fer-2013）上进行一系列实验来评估本文所提内容伪装攻击。实验结果表明,该算法具有良好的伪装能力,对深度学习系统具有较好的攻击效果,生成的实例质量和攻击成功率均优于现有的缩放伪装攻击。本文还将所提出的伪装攻击扩展到四种常用的预处理算法,取得了良好的效果。（3）另外,针对现有基于检测的防御方案的局限性,研究了一种基于卷积神经网络的特征去噪防御技术。该方法通过卷积神经网络构建自动编码器生成去噪矩阵,并通过残差连接重构去噪图像去除样本中的伪装像素。本文在Cifar-10数据集上进行了防御模型的训练、样本去噪及分类实验,验证了防御方法的有效性。本文的创新之处如下:（1）提出了一种白盒内容伪装攻击方法,该方法采用两种感知损失对预处理前后的视觉语义进行约束生成可用伪装样本,其中判别器采用简单损失计算和多尺度判别损失计算两种模式进一步优化伪装样本图像质量。实验结果表明,该方法不仅适用于缩放伪装,还适用于锐化、Gamma校正、对比度、饱和度调整四种预处理算法,具有可扩展性。在示例组和上的攻击实验表明本文方法生成的伪装样本相较于现有缩放伪装攻击具有更高的图像质量和攻击成功率。在深度学习下的锐化伪装攻击实验表明,本文攻击方法能达到90%的攻击成功率,验证了它的有效性。（2）提出了一种基于卷积神经网络的特征去噪防御方法,该方法结合编码器和残差连接对输入进行一致性的图像去噪和重构,实现对干净样本和伪装样本的一致性处理,有效地提高深度学习分类系统的鲁棒性。加入防御模型的分类系统分类准确率恢复到90%以上。（3）通过分析除缩放以外的内容伪装攻击原理,指出在除缩放以外的四种伪装攻击的成因为预处理算法对扰动的放大作用,且该放大作用越强,伪装攻击效果越好。为内容伪装攻防技术的进一步研究提供了重要的理论参考。