ML-NIDS에 대한 그래디언트 기반 적대적 공격에 대한 무방어 방어 전략: 적은 것이 더 많은 것인가?

그래디언트 기반 (Gradient-based) 적대적 공격 (adversarial attacks)은 머신러닝 (ML) 모델의 입력을 미세하게 조작하여 잘못된 예측을 유도합니다. 본 논문은 추가적인 명시적 방어 (explicit defenses) 없이, 신중한 아키텍처 (architectural) 선택만으로 본질적으로 강건한 심층 신경망 (DNN) 기반 네트워크 침입 탐지 시스템 (NIDS)을 구축할 수 있는지 조사합니다. FGSM, PGD, BIM 공격에 대해 네트워크 깊이 (depth), 특징 차원 (feature dimensionality), 활성화 함수 (activation functions), 드롭아웃 (dropout)을 변화시키며 약 2,200회의 수천 가지 실험을 수행한 결과, 더 얕은 네트워크, 축소된 특징 집합 (feature sets), 그리고 ReLU 활성화 함수가 일관되게 결합되어 적대적 취약성 (adversarial vulnerability)을 감소시킨다는 것을 보여줍니다. 더욱이, 이러한 레시피를 따르는 단순한 모델은 거의 완벽한 클린 트래픽 (clean-traffic) 탐지 성능을 유지하고 훈련 시간을 단축하면서도, 더 깊고 모든 특징을 갖춘 적대적 훈련 (adversarially trained) 모델보다 더 나은 성능을 보입니다. 그럼에도 불구하고, '적은 것이 더 많은 것(less is more)'일지라도, 무엇을 '적게' 선택할 것인가가 진정으로 중요한 문제입니다.