기계학습 기반 네트워크 침입 탐지 시스템(NIDS)은 적대적 조작에 취약하지만, 표형 NIDS 데이터에 대한 강건성(robustness) 문헌은 여전히 단일 모델, 단일 데이터셋, 그리고 비적응적(non-adaptive) 평가에 의해 주도되고 있다. 본 논문에서는 만능의 범용 방어 원리(universal defense primitive)를 주장하는 형태가 아니라, 4개 구성요소로 이루어진 방어 파이프라인에 대한 비교 강건성 연구로 원고의 위치를 재정립한다. 우리는 XGBoost, LightGBM, TabNet, Residual MLP를 RT_IOT2022 및 Web_IDS23에서 표준 공격, 대표적인 제약/적응 공격, 구성요소별 절제(component-wise ablations), 샘플 분율(sample-fraction) 민감도, 반복 실행 유의성(significance) 검정, 클래스별 F1 분석, 그리고 계산 오버헤드 측정 하에 평가한다. 그 결과 강건성은 데이터셋 및 아키텍처 의존성이 크다는 점이 확인되었다. RT_IOT2022에서는 트리 기반 모델이 강한 공격에서 대부분의 강건성 격차를 줄이지만, 대개는 큰 수준의 정제(clean) 정확도 감소 이후에야 그 효과가 나타난다. Residual MLP는 보다 유리한 균형을 보이며, 전체 방어 스택은 TabNet에 대해 과도한 정규화(over-regularization)를 유발하는 것으로 나타났다. Web_IDS23에서는 집계된 강건성 격차 감소가 여전히 양(+)의 값을 유지하지만, 적대적 학습(adversarial-training)만 사용하거나 앙상블만 사용하는 등 더 단순한 기준(baseline) 구성들이 절대적인 정제/공격 정확도 측면에서 네 단계의 전체 파이프라인을 자주 능가한다. 두 데이터셋 전반에 걸쳐 중앙값 필터링(median filtering)은 가장 취약한 구성요소로 나타났는데, 더 큰 필터 윈도우는 정제 및 공격 정확도를 모두 실질적으로 저하시킨다. 반면 오염(contamination) 비율, 이상 혼합(anomaly-mixing) 가중치, 앙상블 크기는 상대적으로 안정적이다. 대표적인 제약/적응 평가에서는 표준 FGSM/PGD 대비 성능 저하가 단지 소폭에 그치지만, 클래스별(per-class) 및 오버헤드 분석은 소수 클래스 붕괴(minority-class collapse)와 훈련 비용(training cost)이 여전히 중요한 배포 제한으로 남아 있음을 보여준다. 이러한 결과는 보다 신중한 결론을 지지한다. 즉, 표형 NIDS에 대한 적대적 방어는 검증(validation) 기반이며 데이터셋에 특화되어야 하고, 전체 방어 스택을 범용 기본값(universal default)으로 취급해서는 안 된다.

*본 초록은 AI를 통해 원문을 번역한 내용입니다. 정확한 내용은 하기 원문에서 확인해주세요.