1.一种具有防御对抗样本攻击功能的深度学习分类方法，其特征在于，实现该分类方法的装置包括：攻击生成模型AG，该攻击生成模型AG的输入为正常样本，噪声样本以及正常样本的类标，输出为扰动尽可能小且攻击能力尽可能强的对抗样本；

对抗样本判别模型D，该对抗样本判别模型D的输入为正常样本、正常样本的类标以及攻击生成模型AG输出的对抗样本，输出为正常样本和对抗样本的区分结果；

分类模型DNN，该分类模型DNN的输入为正常样本和对抗样本，输出为预测类标；

具体方法如下：

(1)使用正常数据集训练分类模型DNN，直到分类准确率大于预设值，停止DNN的训练；

(2)交替训练攻击生成模型AG和对抗样本判别模型D的参数，直到AG-D实现纳什均衡；

(3)交替训练攻击生成模型AG和分类模型DNN的参数，直到AG-DNN实现纳什均衡；

(4)判断对抗样本判别模型D和分类模型DNN是否达到帕累托最优，若是，则DNN训练完毕，执行步骤(5)，否则，返回步骤(2)；

(5)将待分类的样本输入训练完毕的分类模型DNN，得到分类结果。

2.如权利要求1所述的具有防御对抗样本攻击功能的深度学习分类方法，其特征在于，所述的攻击生成模型AG为多通道的级联式对抗样本生成器，所述多通道的级联式对抗样本生成器由主通道、特征金字塔卷积通道、条件矩阵通道三部分级联组成。

3.如权利要求1所述的具有防御对抗样本攻击功能的深度学习分类方法，其特征在于，步骤(1)中，所述的预设值为90％。

4.如权利要求1所述的具有防御对抗样本攻击功能的深度学习分类方法，其特征在于，步骤(2)的具体过程为：(2-1)固定攻击生成模型AG的参数，将AG输出的对抗样本和正常样本的混合数据，以及对应的真实类标作为对抗样本判别模型D的输入，训练D的参数，使其能够区分对抗样本和正常样本；

(2-2)固定对抗样本判别模型D的参数，将正常样本、对应的类标、噪声样本作为训练攻击生成模型AG的输入，训练AG的参数，使其输出的对抗样本分布更接近真实数据分布；

(2-3)重复上述两个步骤，直到AG-D实现纳什均衡。

5.如权利要求4所述的具有防御对抗样本攻击功能的深度学习分类方法，其特征在于，步骤(2-3)中，AG-D实现纳什均衡时满足：其中，min max表示纳什均衡中的最大最小目标函数，xnor表示对抗样本，y表示对应于xnor的类标，xadv＝AG(xnor)表示生成器AG(·)根据原始正常样本生成的对抗样本，D(·|·)表示判别器的输出，E[·]表示交叉熵的期望。

6.如权利要求1所述的具有防御对抗样本攻击功能的深度学习分类方法，其特征在于，步骤(3)的具体过程为：(3-1)固定攻击生成模型AG的参数，将对抗样本和正常样本作为分类模型DNN的输入，训练DNN的参数，使其能够正确识别正常样本和对抗样本的真实类标；

(3-2)固定分类模型DNN的参数，将AG的输出作为DNN的输入，并通过DNN的输出微调训练AG网络的参数，使其能够误导DNN对对抗样本的识别；

(3-3)重复上述两个步骤，直到AG-DNN实现纳什均衡。

7.如权利要求6所述的具有防御对抗样本攻击功能的深度学习分类方法，其特征在于，步骤(3-3)中，AG-DNN实现纳什均衡时满足：其中，DNN表示待攻击的深度模型，y表示样本的真实类标，yt表示攻击者的预设类标；当t＝0时，攻击者不预设类标，此时为无目标攻击；arg max(·)函数表示取one-hot编码后的向量的最大值位置。

8.如权利要求1所述的具有防御对抗样本攻击功能的深度学习分类方法，其特征在于，步骤(4)的具体步骤为：(4-1)计算攻击生成模型AG产生的对抗样本的扰动强度PI，其中，σ＝1表示核宽度，||xadv-xnor||2表示计算二范数，PI∈[0,1)，其值越小，说明对抗图像中的扰动越少，视觉质量越好；

(4-2)计算分类模型DNN的对抗样本攻击能力AA，计算公式如下：其中， 和 表示原始的正常样本被分类为真实类标ltruth，预设类标ltar和预测类标lpre的置信度， 和 表示生成的对抗样本被分类为真实类标ltruth，预设类标ltar和预测类标lpre的置信度；

(4-3)以PI为横坐标，1-AA/2为纵坐标的二维平面上绘制帕累托点，若该点落在可行解范围内且相对于上一个求解纳什均衡的可行解的距离小于ε，则结束训练，执行步骤(5)，否则返回步骤(2)；

所述的可行解范围定义为：

其中，r为常数，ε表示纳什均衡的可行解距离，a衡量可行解的扰动大小，b衡量可行解的攻击能力强弱。