1.一种基于对抗攻击的车牌攻击生成方法，其特征在于：所述方法包括如下步骤：S1：选择车牌底板尺寸和颜色以及标准车牌的字符字体和大小；

S2：确定字符间隔，生成随机字符的车牌；

S3：对标准车牌进行数字图像处理；

S4：训练一个生成对抗扰动的分类器模型；

S5：判断生成的对抗样本是否被分类器误分类：即判断添加扰动的车牌是否被判断为其他车牌，是则结束车牌攻击，否则继续生成扰动；最后测试对抗样本的攻击效果。

2.如权利要求1所述的一种基于对抗攻击的车牌攻击生成方法，其特征在于：所述步骤S1包括以下步骤：S1.1：确定车牌底板的规格：采用全固定蓝色车牌，车牌大小为实际大小的1/68；

S1.2：确定标准车牌的字符以黑体为基本字体。

3.如权利要求1或2所述的一种基于对抗攻击的车牌攻击生成方法，其特征在于：所述步骤S2包括以下步骤：S2.1：以现实标准车牌字符间隔为例，确定生成车牌的字符间距；

S2.2：分配第一个字符为省级缩写字符，第二个字符为市级代号，后续字符和数字与字母混编；

S2.3：给予每个字符随机性，之后生成一系列不重复的标准车牌数据集。

4.如权利要求1或2所述的一种基于对抗攻击的车牌攻击生成方法，其特征在于：所述步骤S3包括以下步骤：S3.1：对标准车牌进行阈值操作、取轮廓和字符分割，从而获取车牌中所有字符的二进制黑白小图块；

S3.2：将分割后的七个字符保存为对应的训练数据集。

5.如权利要求1或2所述的一种基于对抗攻击的车牌攻击生成方法，其特征在于：所述步骤S4包括以下步骤：S4.1：设计一种包含对抗攻击方法的Lenet-5的神经网络分类器；

S4.2：在训练过程中判断生成的对抗样本是否被分类器误分类，若是，则结束车牌攻击；若否，则继续生成扰动；最后测试对抗样本的攻击效果。

6.如权利要求5所述的一种基于对抗攻击的车牌攻击生成方法，其特征在于：所述步骤

4.1中，定义车牌分割图块中的显著图为一组像素点[p,q]，并令：上式中t为最终误分类的target类别，Z(x)为LeNet-5最终层softmax之前一层logits的输出值；所以上式中αpq表示改变像素点[p,q]值的大小使分类器评估类别为t，βpq表示改变像素点[p,q]值的大小使分类器评估类别为除了t之外的所有其他类别；所以最终选择像素点，根据：其中αpq>0表示分类结果与目标类别越接近，βpq<0表示其他类别与目标类别相差越远，-αpq·βpq即为所需优化目标；

所述步骤4.2中，每次迭代过程中修改显著图，并移除已修改过的显著图像素，避免下次迭代仍然更改该像素点，最终直至使分类器发生对车牌的误分类即生成了对抗样本。