1.一種基于遷移模型雅克比陣特征向量擾動(dòng)的黑盒攻擊方法，其特征在于，包括以下步驟：

1)確定待攻擊的黑盒模型F，；

確定遷移預(yù)訓(xùn)練模型其中該遷移預(yù)訓(xùn)練模型的輸入層到表征層為函數(shù)h，表征層到輸出層為函數(shù)g；

選取待攻擊的一個(gè)輸入樣本和其對(duì)應(yīng)的標(biāo)簽記為(x，y)，其中x代表該待攻擊的輸入樣本，y為x對(duì)應(yīng)的標(biāo)簽；將該待攻擊的輸入樣本作為原始樣本；設(shè)定擾動(dòng)步長(zhǎng)α和每輪選取特征向量數(shù)目K；

2)將原始樣本x輸入黑盒模型F，計(jì)算該原始樣本通過黑盒模型F的對(duì)應(yīng)輸出概率向量p＝p(·|x)；

令δ＝0，δ表示對(duì)原始樣本施加的擾動(dòng)，生成樣本x+δ；

3)將樣本x+δ輸入遷移預(yù)訓(xùn)練模型，計(jì)算該樣本對(duì)應(yīng)的函數(shù)h的雅可比矩陣J＝J_h(x+δ)；

4)對(duì)步驟3)獲得的雅可比矩陣J進(jìn)行奇異值分解，得到對(duì)應(yīng)的前K個(gè)歸一化的右特征值向量V₁，...，V_K，令i＝1；

5)對(duì)i的值進(jìn)行判定：若i≤K，則進(jìn)入步驟6)；否則重新返回步驟3)；

6)迭代計(jì)算擾動(dòng)δ，最終使得樣本x+δ通過黑盒模型分類不再對(duì)應(yīng)正確標(biāo)簽y，具體步驟如下：

6-1)令x+δ沿向量V_i的負(fù)向方向移動(dòng)長(zhǎng)度為單次擾動(dòng)步長(zhǎng)α的距離，計(jì)算黑盒模型F的對(duì)應(yīng)負(fù)向輸出概率向量p_neg＝p(·|x+δ-αV_i)；

6-2)判斷是否滿足p_neg，y＜p_y，其中，p_y表示向量p中標(biāo)簽y對(duì)應(yīng)的輸出概率，p_neg，y：表示向量p_neg中標(biāo)簽y對(duì)應(yīng)的輸出概率；若滿足，則負(fù)向擾動(dòng)有效，進(jìn)入步驟6-3)，否則進(jìn)入步驟6-4)；

6-3)更新概率向量p＝p_neg，令i＝i+1，更新擾動(dòng)為δ＝δ-αV_i，進(jìn)入步驟6-8)；

6-4)沿向量V_i正向方向移動(dòng)長(zhǎng)度為單次擾動(dòng)步長(zhǎng)α的距離，并計(jì)算黑盒模型的對(duì)應(yīng)正向輸出概率向量p_pos＝p(·|x+δ+αV_i)；

6-5)判斷是否滿足p_pos，y＜p_y，其中，p_pos，y表示向量p_neg中標(biāo)簽y對(duì)應(yīng)的輸出概率；若滿足，則正向擾動(dòng)有效，進(jìn)入步驟6-6)；否則，進(jìn)入步驟6-7)；

6-6)更新概率向量p＝p_pos，令i＝i+1，更新擾動(dòng)為δ＝δ+αV_i，進(jìn)入步驟6-8)；

6-7)令i＝i+1，保持概率向量p和擾動(dòng)δ不變，進(jìn)入步驟6-8)；

6-8)判定y≠argmax_y′p_y′是否成立：若成立，則概率向量p中的最大概率分量對(duì)應(yīng)的標(biāo)簽不是y，黑盒攻擊成功，轉(zhuǎn)入步驟7)；若不成立，則黑盒攻擊不成功，重新返回步驟5)；

7)返回?cái)_動(dòng)δ作為使得黑盒模型F對(duì)原始樣本x做出錯(cuò)誤分類判斷的有效擾動(dòng)，此時(shí)的樣本x+δ即為黑盒模型F的一個(gè)對(duì)抗樣本，方法結(jié)束。