머신러닝 기반 네트워크 침입 탐지 시스템의 범주적 강건성 평가

네트워크 침입 탐지 시스템(NIDS)은 머신러닝(ML)을 광범위하게 활용하지만, ML 모델은 적대적 공격(adversarial attacks)을 통해 조작될 수 있습니다. 이러한 공격은 네트워크 트래픽 데이터에 신중하게 제작된 교란(perturbations)을 추가하여 오분류를 유발합니다. 이전 연구에서 고립된 환경에서의 적대적 취약성이 입증되었지만, 통제된 공격 조건 하에서 시스템적인 크로스-아키텍처 비교는 물론 공격 유형 및 범주 기반의 비교가 여전히 제한적이어서, 실무자들은 어떤 모델을 적대적 환경에 배포해야 할지에 대한 명확한 지침을 얻지 못하고 있습니다. 본 논문은 간단한 질문을 던집니다: 실제로 공격자가 시스템을 조작하려고 시도할 때 어떤 유형의 분류기 아키텍처가 버텨낼 수 있는가? 우리는 세 가지 인기 있는 아키텍처, 즉 1D Convolutional Neural Network(CNN), Long Short-Term Memory(LSTM) 네트워크, 그리고 Random Forest(RF) 앙상블을 테스트했습니다. ACI-IoT-2023 데이터셋(12가지 공격 유형에 걸친 120만 샘플 이상)을 사용하여, 우리는 각 모델에 FGSM 및 PGD 적대적 공격을 가했습니다. 이 공격들은 확립된 적대적 ML 평가 프로토콜과 일치하는 정규화된 특징 공간에서 기울기 기반 교란(gradient-based perturbations)을 적용하며, $ ext{ε}=0.01$부터 $ ext{ε}=0.1$까지의 교란 예산 범위에 걸쳐 진행되었습니다. 놀랍게도 Random Forest는 거의 완벽한 기준선 정확도(99.98%)를 달성했지만, 테스트한 가장 작은 교란에서도 73%포인트가 하락하며 치명적으로 무너졌습니다. 반면 CNN은 $ ext{ε}=0.01$에서 95.5%의 정확도를 유지했으며, 교란이 증가함에 따라 점진적으로 성능 저하를 보였습니다. LSTM은 그 중간 정도의 성능을 보였습니다. 이러한 발견들은 높은 기준선 정확도가 적대적 압력의 첫 징후가 있을 때 아무 의미가 없다는 기존 통념을 뒤집습니다. 따라서 적대적 환경에서 침입 탐지를 배포하는 실무자들에게는 CNN 기반 아키텍처를 권장하며, 시나리오별 배포 지침을 제공합니다.