本发明公开了一种物理对抗样本生成方法及系统。该方法包括:获取原始图像集、风格图像集以及图像集的攻击蒙版图像;采用原始图像集作为训练样本,采用模型窃取法,确定黑盒目标模型的替代模型;基于图像集、对应的攻击蒙版图像和替代模型,采用风格迁移技术思想和基于梯度的对抗样本生成方法生成原始图像集中各图像的攻击区域的风格扰动;对原始图像集进行仿射变换生成变换图像集,并基于替代模型,采用基于梯度的对抗样本生成方法生成变换图像集的自适应扰动;将风格扰动和自适应扰动添加到原始图像集的攻击区域,生成每一张原始图像的物理对抗样本。本发明针对黑盒目标模型生成一种扰动不可察的对抗样本,以准确评估黑盒目标模型的安全性。
