1.一种基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，包括如下步骤：步骤1，利用卷积自编码器提取图像样本的特征表示；

步骤2，当需要被攻击模型产生误分类时，利用图像样本的特征表示进行误分类对抗样本生成算法，得到对抗样本；

步骤3，当需要对被攻击模型进行目标对抗时，利用图像样本的特征表示进行目标对抗样本生成算法，得到对抗样本；

步骤2的方法为：

步骤2.1，选取数据样本类别中心点：步骤2.1.1，根据纯净样本X对应的标签集Y＝{y1，y2，...，ym}，得到其标签类别集：C＝{c1，c2，...，cg}其中，cd为一个标签类别，1≤d≤g，g为标签类别总数；纯净样本X＝{x1，x2，...，xm}；其中，xl为纯净样本X中的一个样本，1≤l≤m，m为样本个数；

步骤2.1.2，在标签类别cd中随机设置k个样本点作为初始的聚类中心，其中k为超参数；

步骤2.1.3，对于标签类别cd中除k个样本点外的每个样本点计算到k个中心点的距离：V＝{(v11，v12，...，v1k)，(v21，v22，...，v2k)，...，(v(g‑k)1，v(g‑k)2，...，v(g‑k)k)}其中，(v(g‑k)1，v(g‑k)2，...，v(g‑k)k)表示第(g‑k)个样本点距k个样本点的距离；

步骤2.1.4，对于每一个样本点，选择最近的聚类中心点作为标签类别标记得到cd＝{cd1，cd2，...，cdk}，即将标签类别cd细化为k个类，得到k个族群；

步骤2.1.5，分别计算k个族群的样本平均值，得到步骤2.1.6，判断 中的k个值与k个聚类中心是否相同，若相同则执行步骤2.1.8；否则执行步骤2.1.7；

步骤2.1.7，将 中的k个值作为新的聚类中心点，并回到步骤2.1.3；

步骤2.1.8，输出cd＝{cd1，cd2，...，cdk}；

步骤2.1.9，对所有标签类别cd∈C，循环步骤2.1.2～步骤2.1.8，直到g个标签类别全部取到，得到所有标签类别的集合，即g个标签类别细化后的集合：C′＝{(c11，c12，...)，(c21，c22，...)，...，(cg1，cg2，...)}；

步骤2.1.10，根据所有标签类别的集合V′，对X进行划分，得到标签为ij的样本的集合：Xij＝{xl|yl＝cij}，其中，yl为一个样本标签，1≤l≤m；

步骤2.1.11，计算标签为ij的所有样本的均值：其中，xij是Xij中的样本，nij是Xij中样本的总数；

步骤2.1.12，计算标签为ij的样本在编码空间中的类中心表示wij：wij＝Smij

步骤2.1.13重复执行步骤2.1.12，得到类中心点集合：W＝{(w11，w12，...)，(w21，w22，...)，...，(wg1，wg2，...)}步骤2.2，生成对抗样本：

步骤2.2.1，取一个纯净样本xl及特征表示集S，得到纯净样本xl在编码空间中的位置：zl＝Sxl，其中，zl为纯净样本xl在编码空间的位置表示；

步骤2.2.2，设置初始值：high＝1，low＝0，min_diff＝1，zl＝Sxl，ε；

其中，high和low为扰动参数，min_diff为最小距离，ε是搜索精度；

步骤2.2.3，如果high‑low＞ε，则循环步骤2.2.3至步骤2.2.12，否则执行步骤2.2.13；

步骤2.2.4，计算 其中，mid为当前控制扰动的参数值；

步骤2.2.5，设置found代表是否查找到a类外的其他类，其初始值为false；

步骤2.2.6，对所有标签类别的集合C′中所有不为a的标签类别，重复执行步骤2.2.7～步骤2.2.11；

步骤2.2.7，对一个不为a的标签类别cd∈C′，计算zl′＝zl+mid*(wd‑wa)T

其中，(wd‑wa)表示类别d与类别a的差向量，zl′表示扰动程度，S表示编码后的特征表示的转置；

T

步骤2.2.8，得到对样本xl添加扰动后的样本xl″＝Szl′；

步骤2.2.9，判断xl″的标签类别是否为a，如果xl″的标签类别为a，则回到步骤2.2.6；否则执行步骤2.2.10；

步骤2.2.10，设置found＝true；

步骤2.2.11，判断||xl‑xl″||1＜min_diff是否成立：(1)若成立，则生成对抗样本：xl_adv′＝xl″，min_diff＝||xl‑xl″||1；

其中||xl‑xl″||1表示添加扰动的样本xl″与原始的样本xl的差向量的绝对值之和，||·||1为1范数，xl_adv′为最终输出的对抗样本；

(2)若不成立，则回到步骤2.2.6；

步骤2.2.12，若found＝true成立，则high＝mid，否则，low＝mid；

步骤2.2.13，返回对抗样本xl_adv′；

步骤3的方法为：

步骤3.1，选取数据样本类别中心点：步骤3.1.1，在标签类别集C中选取标签类别ct；

步骤3.1.2，在标签类别ct中随机设置k个样本点作为初始的聚类中心，其中k为超参数；

步骤3.1.3，对于标签类别ct中除k个样本点外的每个样本点计算到k个中心点的距离：V＝{vt1，vt2，...，vtk}；

步骤3.1.4，对于每一个样本点，选择最近的聚类中心点作为类别标记得到ct＝{ct1，ct2，...，ctk}，即将标签类别ct细化为k个类，得到k个族群；

步骤3.1.5分别计算k个族群的样本平均值，得到步骤3.1.6判断 中的k个值与k个聚类中心是否相同，若相同则执行步骤3.1.8；否则执行步骤3.1.7；

步骤3.1.7，将 中的k个值作为新的聚类中心点，并回到步骤3.1.3；

步骤3.1.8，输出样本标签集C′t＝{ct1，ct2，...，ctk}；

步骤3.1.9，根据样本标签集C′t，将X中对应的样本进行划分，得到标签为tj的样本的集合：Xtj＝{xl|yl＝ctj}，其中，yl为一个样本标签，1≤l≤m；

步骤3.1.10，计算标签为tj的所有样本的均值：其中，xtj是Xtj中的样本，ntj是Xtj中样本的总数；

步骤3.1.11，计算标签为tj的样本在编码空间中的类中心表示wtj：wtj＝Smtj

步骤3.1.12，重复执行步骤3.1.11，得到类中心点集合：Wt＝{wt1，wt2，..，wtk}步骤3.2，生成对抗样本：

步骤3.2.1，取一个纯净样本xl及特征表示集S，得到xl在编码空间中的位置zl＝Sxl，其中，zl为xl在编码空间的位置表示；

步骤3.2.2，初始设置high＝1，low＝0，zl＝Sxl，ε，其中，high和low为扰动参数，ε是搜索精度；

步骤3.2.3，如果high‑low＞ε，则循环步骤3.2.3～步骤3.2.11，否则执行步骤3.2.12；

步骤3.2.4，计算 其中，mid为当前控制扰动的参数值；

步骤3.2.5，对Wt中所有wti，循环步骤3.2.6～步骤3.2.8；

步骤3.2.6计算zl′＝zl+mid*(wti‑wa)，其中，(wti‑wa)表示类别ti与类别a的差向量，zl′T

表示扰动程度，S表示编码后的特征表示的转置；

T

步骤3.2.7，得到对样本xl添加扰动后的样本xl″＝Szl′；

步骤3.2.8，计算样本距离：tl＝||xl‑xl″||1；

步骤3.2.9，得到距离集合T＝{t1，t2，...}；

步骤3.2.10，选取T中最小值tmin所对应添加扰动的样本xl_min″；

步骤3.2.11，判断xl_min″的标签类别是否为t，若xl_min″的标签类别为t，则xl_adv′＝xl_min″，high＝mid；否则low＝mid，其中，xl_adv′为最终输出的对抗样本；

步骤3.2.12，返回对抗样本xl_adv′。

2.根据权利要求1所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，步骤

1的方法包括：

步骤1.1，构建卷积自编码器；

步骤1.2，训练构建的卷积自编码器；

步骤1.3，利用训练好的卷积自编码器提取图像样本的特征表示。

3.根据权利要求2所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，步骤

1.1中构建的卷积自编码器具有11层结构，包括编码器和解码器；

所述编码器为第一层至第六层，包括2个卷积层、2个线性整流层、1个池化层和1个全连接层；

所述解码器为第七层至第十一层，包括2个卷积层、2个线性整流层和1个反池化层。

4.根据权利要求3所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，所述编码器的结构为：

1 1

第一层：L (x)＝F*x，其中，L (x)表示经过第一层卷积层卷积后输出的p1×q1阶特征矩阵，F为二维卷积核，*为卷积运算；

2 1 2

第二层：L (x)＝ReLU(L (x))，其中，L (x)表示经过第二层线性整流层后输出的p1×q1阶特征矩阵，ReLU(·)为激活函数，且

3 2 3

第三层：L (x)＝MaxPool(L (x))，其中，L (x)表示经过第三层池化层后输出的p3×q3阶特征矩阵，MaxPool(·)为池化操作；

4 3 4

第四层：L (x)＝F*L (x)，其中，L (x)表示经过第四层卷积层卷积后输出的p4×q4阶特征矩阵；其中，F为二维卷积核，*为卷积运算；

5 4 5

第五层：L (x)＝ReLU(L (x))，其中，L (x)表示经过第五层线性整流层后输出的p4×q4阶特征矩阵，ReLU(·)为激活函数；

6 5 6

第六层：S＝L (x)＝WL(x)，其中，L (x)是第六层全连接层输出的p4×q4阶特征矩阵，用S表示该特征矩阵，W为权值参数矩阵。

5.根据权利要求4所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，第三层的MaxPool(·)池化操作的方法为：2

令步长为t，为保证整除，将L (x)填充为p2×q2阶矩阵，r＝0，1，2，3，…，p1‑1，s＝0，1，2，

3，…，q1‑1，则yij＝max(xi·t+r，j·t+s)；

其中，i≤(p2‑p1)/t，j≤(q2‑q1)/t，yij表示池化后矩阵中第i行j列的元素，max(·)为取最大值，x为填充后矩阵的元素，下标为元素位置。

6.根据权利要求4所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，所述解码器的结构为：

7 6 7

第七层：L (x)＝F*L (x)，其中，L (x)表示经过第七层卷积层卷积后输出的p5×q5阶特征矩阵，F为二维卷积核，*为卷积运算；

8 7 8

第八层：L (x)＝ReLU(L (x))，其中，L (x)表示经过第八层线性整流层后输出的p4×q4阶特征矩阵，ReLU(·)为激活函数；

9 8 9

第九层：L (x)＝UnPooling(L (x))，其中，L (x)是第九层反池化层输出的p2×q2阶特征矩阵，UnPooling(·)为反池化函数；

10 9 10

第十层：L (x)＝F*L (x)，其中，L (x)表示经过第十层卷积层卷积后输出的p1×q1阶特征矩阵，F为二维卷积核，*为卷积运算；

10

第十一层：x′＝ReLU(L (x))，其中，x′表示解码器还原的样本维度为p0×q0，ReLU(·)为激活函数。

7.根据权利要求2所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，步骤

1.2的方法为：

步骤1.2.1，取训练样本Xtrain＝{x1，x2，...，xn}；

其中，xi为训练样本Xtrain中的一个样本，1≤i≤n，n为样本个数；

步骤1.2.2，将样本xi输入到卷积自编码器中，得到经过编解码操作后的样本xi′；

步骤1.2.3，计算损失

步骤1.2.4，利用梯度 更新模型参数；

步骤1.2.5，重复执行步骤1.2.2～步骤1.2.4，得到训练好的卷积自编码器E。

8.根据权利要求2所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，步骤

1.3的方法为：

步骤1.3.1，取纯净样本X＝{x1，x2，...，xm}；

其中，xl为纯净样本X中的一个样本，1≤l≤m，m为样本个数；

步骤1.3.2，将样本xl输入到训练好的卷积自编码器中，得到编码器输出的特征表示sl；

步骤1.3.3，重复执行步骤1.3.2，得到特征表示集S＝{s1，s2，...，sm}。