1.一种面向车牌识别系统黑盒物理攻击模型的防御方法，包括以下步骤：

(1)获得车牌图片，并利用基于深度学习的车牌识别模型对该车牌图片进行识别，筛选获得能被正确识别的车牌图片，组成干净车牌数据集；

(2)针对干净车牌数据集中的干净车牌图片，在干净车牌图片中添加噪声扰动形成初始对抗样本，并统计噪声扰动的像素点个数，将该像素点个数作为目标函数F1；

(3)针对初始对抗样本，采用数字图像处理方法对初始对抗样本进行环境模拟变化，获得不同环境下的模拟对抗样本，将初始对抗样本和对应的模拟对抗样本输入至图像分类器中，获得初始对抗样本和模拟对抗样本的分类置信度，根据该分类置信度构建目标函数F2；

(4)采用带精英策略的非支配排序的遗传算法NSGA-II优化目标函数F1和F2，得到最佳对抗扰动，将该最佳对抗扰动添加到干净车牌图片上，获得最佳对抗样本；

(5)利用干净车牌图片和最佳对抗样本对步骤(1)中的车牌识别模型中的分类器进行优化，获得能够防御对抗攻击的车牌识别模型；

(6)利用能够防御对抗攻击的车牌识别模型对车牌图片进行识别，能够防对御车牌图片的对抗攻击。

2.如权利要求1所述的面向车牌识别系统黑盒物理攻击模型的防御方法，其特征在于，步骤(1)中，获得的车牌图片是从距离车牌0.8～1.2米内，以正角度拍摄车牌获得的图像；

采用HyperLPR作为基于深度学习的车牌识别模型。

3.如权利要求1所述的面向车牌识别系统黑盒物理攻击模型的防御方法，其特征在于，步骤(2)中，提供黑色噪声块和/或白色噪声块作为噪声扰动块，每块噪声扰动块占车牌图片面积的1/2500～1/1500。

4.如权利要求1所述的面向车牌识别系统黑盒物理攻击模型的防御方法，其特征在于，步骤(3)中，采用图像透视变换对初始对抗样本进行不同拍摄角度变换，采用图像缩放变换对初始对抗样本进行不同拍摄距离变换，采用图像亮度变换对初始对抗样本进行不同拍摄光线变换，以获得不同环境下的模拟对抗样本。

5.如权利要求4所述的面向车牌识别系统黑盒物理攻击模型的防御方法，其特征在于，采用图像透视变换对初始对抗样本进行向左倾10～20度和向右倾10～20度的拍摄角度变换，采用图像缩放变换将初始对抗样本缩小到0.4～0.6倍和放大到1.5～2倍，采用图像亮度变换将初始对抗样本的像素减小0.4～0.6倍和增大1.5～2倍，以获得不同环境下的模拟对抗样本。

6.如权利要求1所述的面向车牌识别系统黑盒物理攻击模型的防御方法，其特征在于，步骤(3)中，构建的目标函数F2为：其中，y为干净车牌图片x的正确类标；f(x′)为初始对抗样本x′输入至图像分类中，输出的分类置信度，f(Ti(x′))为第i个模拟对抗样本Ti(x′)输入至图像分类中，输出的分类置信度；J(.)表示交叉熵函数。

7.如权利要求1所述的面向车牌识别系统黑盒物理攻击模型的防御方法，其特征在于，步骤(4)中，采用带精英策略的非支配排序的遗传算法NSGA-II优化目标函数F1和F2包括：(a)将每张初始对抗样本中的噪声扰动作为初始父代，即初始染色体，每张初始对抗样本中的每块噪声扰动块作为每条染色体上的基因；

(b)针对父代种群P，采用模拟二进制交叉法和多项式变异操作产生子代种群Q；

(c)对父代种群P和子代种群Q组成的整体R进行非支配排序，即选取R中所有不能被其他的解支配的解集设为级别R0，并将级别R0对应的解集从R中排除；从剩下所有解中选出不能被任何其他解支配的解集设为级别R1，并将级别R1对应的解集从R中排除；以此类推，直到通过支配关系将解集中所有的解进行排序，得到所有解的等级，等级值越小的解越好；

(d)设定表示解与解之间差异性的拥挤度作为同等级非支配解集中解的评价标准，拥挤度越大表示解与其他解之间差异性越大，即该解越优，拥挤度排序用于保持解的多样性，每个个体的拥挤度计算方式如下：其中，id表示第i个个体的拥挤度，m表示有m个目标函数， 表示第i+1个个体的第j个目标函数值； 表示第i-1个个体的第j个目标函数值；

(e)通过非支配排序的方式选出R0,R1,...,Rn-1等级的个体后，再通过拥挤度排序选出Rn等级中的个体，直到使得两种排序方式选出的个体总数为N，构成下一次迭代的父代种群P；

(f)重复步骤(b)～步骤(e)，直到父代种群P收敛，该父代种群P中的个体作为最佳对抗扰动。

8.如权利要求1所述的面向车牌识别系统黑盒物理攻击模型的防御方法，其特征在于，步骤(5)中，将干净车牌图片和最佳对抗样本按照1:2～10比例混合，同时将原先分类错误的最佳对抗样本的类标更改正确，形成训练样本集，同时将车牌识别模型中的分类器更改为实际需要的新分类器，并固定车牌识别模型中其他网络层的参数，仅对新分类器进行训练，以实现对新分类器的优化，获得能够防御对抗攻击的车牌识别模型。

9.一种面向车牌识别系统黑盒物理攻击模型的防御装置，包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序，其特征在于，所述计算机处理器执行所述计算机程序时实现权利要求1～8所述的面向车牌识别系统黑盒物理攻击模型的防御方法。