Tấn công và phòng thủ đối nghịch trên các mạng nơ-ron nhân tạo là một
hướng nghiên cứu thú vị nhằm kiểm tra khả năng phòng thủ của các mô hình
mạng trước các tấn công đối nghịch. Do đó đã có một số công trình tập trung
khảo sát khả năng phòng thủ của các mô hình BNN và SNN nhằm đánh giá khả
năng phòng thủ của chúng khi đưa vào ứng dụng thực tế. Trong phạm vi hiểu
biết của NCS thì tới thời điểm hiện tại chưa tìm thấy công bố nào về tấn công
và phòng thủ đối nghịch cho mô hình BSNN. Trong khi khả năng tự phục hồi
trước các tấn công đối nghịch là thách thức với bất kỳ mô hình nơ-ron nhân tạo
nào khi sử dụng nguyên lý gradient để huấn luyện.
BNN có các đặc tính tuyến tính và sử dụng huấn luyện dựa trên gradient
để học. Vì vậy, các mô hình BNN cũng dễ bị ảnh hưởng bởi các tấn công đối
nghịch. Cho đến nay, chỉ có một số nghiên cứu về khả năng phục hồi của BNN
trước các tấn công đối nghịch và chúng chỉ giới hạn ở các mô hình mạng hoặc
phương pháp tấn công. Cụ thể, Galloway và cộng sự [2] lần đầu tiên tiến hành
một nghiên cứu kỹ lưỡng về các tấn công đối địch chống lại BNN, trong đó các
tác giả đã đánh giá khả năng phục hồi của mạng trước cả các tấn công “Hộp
trắng” (White-box) và “Hộp đen” (Black-box) với tập dữ liệu MNIST và
CIFAR- 10, tương ứng. Tuy nhiên, chỉ có một phương pháp tấn công đối nghịch
một bước (FGSM) được xem xét trong công bố này. Khalil và cộng sự [20] đã
đề xuất thuật toán Iprog (Integer Propagation) để tấn công BNN. Tuy nhiên,
nghiên cứu của họ chỉ giới hạn trong việc sử dụng tập dữ liệu MNIST và
Fashion-MNIST, là hai tập dữ liệu hình ảnh đen trắng. Các tác giả [52] đã phân
tích một số tấn công đối nghịch chống lại BNN bằng cách sử dụng tập dữ liệu
CIFAR-10 và ImageNet nhưng chưa đánh giá và thảo luận về kết quả với các
phương pháp cải thiện khả năng phòng thủ cho BNN.