1.一种基于扰动进化对图像分类器对抗性攻击的防御方法，包括以下步骤：(1)将正常图片S输入到不同的攻击模型中，经计算获得n个扰动，将该n个扰动作为当前扰动；

(2)将正常图片S分别与n个当前扰动进行叠加，得到n个当前对抗样本，并将当前对抗样本输入到图像分类器中，获得当前对抗样本的攻击效果，并根据攻击效果对n个当前扰动进行排序；

(3)在攻击效果最优的前b个扰动中随机选取2个扰动，并利用遗传算法对此2个扰动进行遗传进化计算，得到子扰动；

(4)迭代执行步骤(3)，直到获得n-a个子扰动为止，并结合该n-a个子扰动与攻击效果最优的前a个扰动，组成新扰动后，将新扰动作为当前扰动；

(5)迭代执行步骤(2)～步骤(4)，直到达到迭代终止条件为止，此时最优的当前扰动为最佳扰动，叠加最佳扰动和正常图片S获得最佳对抗样本；

(6)将最佳对抗样本和正常图片S作为神经网络的输入，将最佳对抗样本和正常图片S对应的真值标签作为神经网络的真值输出，对神经网络进行训练，获得对抗样本检测器；

(7)利用对抗样本检测器对待测图片进行检测，当该待测图片被检测为正常图片时，将该待测图片输入到图像分类器进行分类，输出分类结果。

2.如权利要求1所述的基于扰动进化对图像分类器对抗性攻击的防御方法，其特征在于，所述攻击模型包括均匀噪声攻击模型、迷惑深度学习攻击模型、FGSM攻击模型、高斯模糊攻击方法、L-BFGS拟牛顿法攻击模型、显著图攻击模型、椒盐噪声攻击模型。

3.如权利要求1所述的基于扰动进化对图像分类器对抗性攻击的防御方法，其特征在于，步骤(1)中，所述将正常图片S输入到不同的攻击模型中，经计算获得n个扰动包括：将正常图片S输入到不同的攻击模型，输出n个对抗样本后，计算正常图片S分别与n个对抗样本的差值，获得n个扰动。

4.如权利要求1所述的基于扰动进化对图像分类器对抗性攻击的防御方法，其特征在于，步骤(2)中，利用公式(1)～(3)获得当前对抗样本的攻击效果：其中，φ(S'j)为第j个对抗样本S'j的攻击效果，对抗样本S'j被分为Ci,i∈1,2,3,...,n类的概率为pi(S'j)，被分为c0类的概率为p0(S'j)，c0为正常图片S的分类结果；

表示对抗样本S'j攻击成功率，η为常数，ρ(S′j)表示噪声大小，m'*n'表示正常图片的像素大小。

5.如权利要求4所述的基于扰动进化对图像分类器对抗性攻击的防御方法，其特征在于，步骤(3)的具体步骤为：(3-1)在攻击效果最优的前b个扰动中随机选取2个扰动，并对此2个扰动进行克隆，获得克隆扰动Ac1和Ac2及对应对抗样本的攻击效果 和(3-2)对克隆的扰动Ac1和Ac2进行分裂，得到分裂扰动Ac1′和Ac2′，计算公式为：其中 表示点乘运算，B1和B2为数组；

(3-3)利用公式(6)对分裂扰动Ac1′和Ac2′进行交叉融合，获得扰动Ac'' ；

Ac'' ＝Ac1'+Ac2'     (6)

(3-4)利用公式(7)对扰动Ac'' 进行变异，获得子扰动Ac''' ；

其中，随机生成数组t2ij∈[0,1]，i＝1,2,3,...,m'，j＝1,2,3,...,n'；β表示变异概率，q∈[-255,255]。

6.如权利要求5所述的基于扰动进化对图像分类器对抗性攻击的防御方法，其特征在于，所述对此2个扰动进行克隆，获得克隆扰动Ac1和Ac2及对应对抗样本的攻击效果和 包括：随机生成数组ti'j'∈[0,1]，i'＝1,2,3,...,m'，j'＝1,2,3,...,n'；然后构建数组B1m'n'和B2m'n'，计算公式如下：

7.如权利要求5所述的基于扰动进化对图像分类器对抗性攻击的防御方法，其特征在于，所述对此2个扰动进行克隆，获得克隆扰动Ac1和Ac2包括：构建数组B1m'n'和B2m'n'，并令其中元素全部为1，然后令B1m'n'＝B1m'n'*α*γ，B2m'n'＝B2m'n'*(1-α)*γ，其中γ∈[0,2]，用于放大或缩小扰动整体的影响。

8.如权利要求5所述的基于扰动进化对图像分类器对抗性攻击的防御方法，其特征在于，在步骤(7)中，当待测图片被检测为对抗样本时，则发出警报。