1.一種面向深度神經網絡的高隱蔽性對抗性圖像攻擊方法，其特征在于，包含如下步驟：

步驟1、給定一個目標分類神經網絡，假定攻擊者擁有對目標模型的白盒訪問權限，并設定目標類別t；

步驟2、為了衡量人眼對圖像中不同像素點的感知冗余，引入一種新的感知模型，根據圖像的亮度掩蓋、紋理掩蓋效應來刻畫，計算出圖像中單個像素值在RGB三個通道中的感知冗余；攻擊者計算給定圖像中每個像素點的感知冗余，包含像素顏色空間轉換、CIE-Lab顏色空間下的感知冗余估計、采樣三個步驟，計算出單個像素值在RGB三個通道中分別的感知冗余，

像素顏色空間轉換步驟包括，攻擊者將原始圖像從RGB顏色空間轉換到CIE-Lab顏色空間中，即對任意一個像素(r,g,b)轉換到接著利用現有的兩個模型AJNCD和NAMM來構建該像素點在CIE-Lab下的冗余空間，通過將限制AJNCD模型的亮度分量到NAMM的亮度分量，得到一個由不可區分的顏色組成的不規則的空間區域，表示為

其中是由AJNCD模型計算的像素在三個通道下的冗余，和是NAMM模型計算的亮度分量的冗余上下界，(l,a,b)表示顏色原點，(l’,a’,b’)表示與(l,a,b)不可區分的顏色點，

CIE-Lab顏色空間下的感知冗余估計步驟包括，AJNCD模型考慮兩種因素，1)該像素的亮度值；2)亮度通道的屬性；表示為

其中JND_Lab是一個表示CIE-Lab顏色空間下的顏色可見性的常數，S_C(a,b)表示像素的亮度，S_L(E(L),Δ)模擬了紋理掩蓋效應，表示為

S_L(E(L),Δ)＝ρ(E(L))ΔL+1.0

其中E(L)表示像素的平均背景亮度，ΔL表示最大亮度梯度，

采樣步驟包括攻擊者需要獲得RGB顏色空間下的對抗性圖像；攻擊者首先采樣區域內有較大亮度下的最大的色度的顏色作為候選，表示為

其中和表示為分別從亮度為α_iJND_l1和α_iJND_l2采樣的候選點，對于采樣得到的2n個點，攻擊者將其轉換到RGB顏色空間下，每個通道下的冗余可以表示為

表示像素在RGB顏色空間下每個通道的像素值；

步驟3、為了衡量對抗性圖像的感知誤差，提出一種帶權重的誤差測量方法，首先計算每個像素的感知冗余，其倒數為每個像素的權重，然后計算噪聲矩陣帶權重的Lp范式距離，得到感知誤差；這個距離越大，感知誤差就越大；

步驟4、基于目標函數：

min JND_p(δ)+c·loss(x+δ,t)

構建合成對抗性圖像的目標函數，以感知誤差作為正則項，最終合成對抗性圖像；JND_p(δ)表示噪聲的感知誤差，loss(x+δ,t)表示噪聲圖x+δ的分類結果與分類目標的差異，c為權重參數。