1.一种基于免疫理论的对抗图像攻击方法，其特征在于，包括以下步骤：S1、基于图像像素的位置关系，利用神经网络损失函数的梯度学习每一个像素所占的权重值，得到注意力权重，将注意力权重与像素值相乘后输入激活函数，得到注意力类激活图Ac(i, j)，所述类激活图表征图像目标像素；

k

S2、通过掩码B 随机掩盖注意力类激活图Ac(i, j)，获取对图像中非目标像素攻击无效的注意力激活图 ，利用图像中非目标像素攻击无效的注意力激活图 获取分类特征向量 ；

S3、将分类特征向量 输入泛化性鲁棒损失函数，计算梯度值，利用梯度值对神经网络进行反向传播，训练所述神经网络。

2.根据权利要求1所述的基于免疫理论的对抗图像攻击方法，其特征在于，步骤S1中，注意力类激活图Ac(i, j)的表达式为：；

其中，Ac(i, j)表示第c个通道下(i, j)位置的注意力类激活图；f1×1conv(·)代表1x1卷积； ， 分别表示第c个通道下高度位置为h的水平注意力权重和第c个通道下高度位置为w的垂直注意力权重， 是sigmoid激活函数，xc(i, j)表示第c个通道下宽度位置为j、高度位置为i的图像特征。

3.根据权利要求1所述的基于免疫理论的对抗图像攻击方法，其特征在于，步骤S2中，对非目标像素攻击无效的注意力激活图 的表达式如下：；

k

其中α为抑制因子，B (i, j)表示当注意力激活图Ac(i, j)掩码位置(i, j)处像素值为

0时，第c个通道下(i, j)位置保持原来的值，否则乘以抑制因子α。

4.根据权利要求1～3之一所述的基于免疫理论的对抗图像攻击方法，其特征在于，步骤S2中，分类特征向量 的表达式为： ；其中S(·)表示Softmax(·)分类器；AvgPool(·)表示全局平均池化；FC(·)表示全连接层。

5.根据权利要求1～3之一所述的基于免疫理论的对抗图像攻击方法，其特征在于，步骤S3中，泛化性鲁棒损失函数 的表达式为：；

其中， ，s，m和b表示超参

数，WL表示第L维权重子向量，l=1,2,...L，L是权重子向量维数； 1y表示示性函数，||·||表示求模长运算，S(·)表示Softmax(·)分类器； 表示权重向量，表示特征子向量， 表示权重向量与特征向量的余弦夹角。

6.根据权利要求1～3之一所述的基于免疫理论的对抗图像攻击方法，其特征在于，还包括：

S4、将图像输入训练后的神经网络，识别图像类别。

7.一种计算机装置，包括存储器、处理器及存储在存储器上的计算机程序；其特征在于，所述处理器执行所述计算机程序，以实现权利要求1～6之一所述方法的步骤。

8.一种计算机可读存储介质，其上存储有计算机程序/指令；其特征在于，所述计算机程序/指令被处理器执行时实现权利要求1～6之一所述方法的步骤。

9.一种计算机程序产品，包括计算机程序/指令；其特征在于，该计算机程序/指令被处理器执行时实现权利要求1～6之一所述方法的步骤。