NetDiffuser: Deceiving DNN-Based Network Attack Detection Systems with Diffusion-Generated Adversarial Traffic

이 논문은 네트워크 트래픽의 독립적인 특징을 식별하고 확산 모델을 활용하여 자연스러운 적대적 예제를 생성함으로써 딥러닝 기반 네트워크 침입 탐지 시스템의 성능을 효과적으로 우회하는 새로운 프레임워크 'NetDiffuser'를 제안합니다.

핵심

🕵️‍♂️ 핵심 이야기: "완벽한 위장술을 가진 도둑"

상상해 보세요. 은행 금고 앞에 초고성능 AI 경비원이 서 있습니다. 이 경비원은 평소의 행동 패턴을 기억하고 있어서, 조금이라도 수상한 움직임 (예: 비정상적인 속도, 이상한 옷차림) 을 보이면 즉시 경보를 울립니다.

기존의 해커들은 경비원을 속이기 위해 **"거친 위장술"**을 썼습니다.

• 기존 해킹 (FGSM, PGD 등): 경비원에게 "나는 도둑이지만, 눈가리개를 하고 있어. 그냥 지나가게 해줘"라고 속이는 방식입니다. 하지만 AI 는 "어? 저 눈가리개는 너무 인위적이야. 이상해!"라고 바로 알아채고 잡아냅니다.

이제 등장한 NetDiffuser는 완전히 다른 전략을 씁니다.

• NetDiffuser 의 전략: "나는 도둑이 아니야. 나는 그냥 평범한 고객이야."라고 말하며, 실제 고객과 구별할 수 없을 정도로 완벽하게 위장합니다.

---

🛠️ NetDiffuser 가 어떻게 작동할까요? (두 가지 핵심 기술)

이 도구는 두 가지 신기한 기술을 섞어서 작동합니다.

1. "변경 가능한 부품" 찾기 (특징 분류 알고리즘)

• 비유: 자동차를 개조한다고 생각해보세요.
  • 수동 (Relative features): 엔진과 바퀴의 연결 부위처럼, 하나를 건드리면 전체 구조가 망가져서 차가 달릴 수 없게 되는 부분들입니다. (예: 네트워크의 포트 번호, 주소 등)
  • 변경 가능 (Discrete features): 라디에이터 그릴의 색상처럼, 바꿔도 차가 달리는 데 지장이 없고 다른 부품들과도 큰 상관이 없는 부분들입니다.
• NetDiffuser 의 일: 이 도구는 먼저 **"어떤 부분을 건드려도 차 (네트워크) 가 멈추지 않고, 경비원 (AI) 이 눈치채지 못할까?"**를 수학적으로 계산해서 찾아냅니다. 오직 이 '변경 가능한 부분'만 아주 살짝 건드리는 것입니다.

2. "현실적인 위장" 만들기 (확산 모델, Diffusion Model)

• 비유: 그림을 그리는 화가가 있다고 칩시다.
  • 기존 해킹: 캔버스에 검은 페인트를 뚝뚝 떨어뜨려서 그림을 망가뜨립니다. (너무 인위적임)
  • NetDiffuser: 먼저 캔버스 전체를 흐릿한 안개 (잡음) 로 덮어버립니다. 그다음, 안개를 서서히 걷어내면서 **"실제 고객처럼 보이는 모습"**을 하나씩 그려냅니다.
  • 이 과정에서 해커는 "이 부분을 살짝 어둡게 해줘, 경비원이 못 보게"라고 지시합니다. 하지만 최종 결과물은 완벽하게 자연스러운 고객처럼 보입니다. AI 는 "아, 이건 진짜 고객이네"라고 생각하게 됩니다.

---

📊 실험 결과: 얼마나 잘 속였을까요?

연구진은 이 도구를 실제 보안 시스템 (CICIDS2017, UNSW-NB15 등) 에 적용해 보았습니다. 결과는 놀라웠습니다.

1. 공격 성공률 29.93% 상승: 기존 해킹 방법들보다 훨씬 더 많은 악성 트래픽을 보안 시스템이 놓치고 통과시켰습니다.
2. 경비원의 눈이 멀어짐 (AUC-ROC 점수 하락): 보안 시스템이 "이게 도둑이야, 아니면 진짜 고객이야?"를 구분하는 능력이 크게 떨어졌습니다.
   • 기존 해킹은 경비원이 "저건 도둑이야!"라고 확신하게 만들었지만, NetDiffuser 는 경비원을 혼란스럽게 만들어 **"아, 그냥 고객인 것 같아"**라고 오인하게 만들었습니다.
3. 위장술의 정점: 생성된 악성 트래픽은 실제 데이터 통계 분포와 거의一模一样 (일치) 했습니다. 마치 위조 지폐가 진짜 지폐와 종이 질감, 잉크 냄새까지 똑같아진 것과 같습니다.

---

💡 왜 이것이 중요한가요? (결론)

이 논문은 **"AI 보안 시스템도 완벽하지 않다"**는 것을 보여줍니다.

• 문제점: 지금의 AI 보안은 "비정상적인 것"을 찾는 데만 집중합니다. 하지만 NetDiffuser 는 **"정상적인 것처럼 보이는 악성"**을 만들어냅니다.
• 경고: 앞으로 해커들은 이렇게 "자연스러운 위장"을 한 공격을 더 많이 사용할 수 있습니다.
• 해결책: 우리는 이제 단순히 "이상한 것"을 찾는 게 아니라, **"완벽하게 위장한 도둑"**을 찾아낼 수 있는 더 똑똑한 방어 시스템이 필요합니다.

한 줄 요약:

"NetDiffuser 는 AI 보안 경비원을 속이기 위해, 실제 고객과 구별할 수 없을 정도로 완벽하게 위장한 도둑을 만들어내는 새로운 기술입니다. 기존 해킹이 '눈가리개'를 썼다면, 이는 '완벽한 코스프레'를 한 것입니다."

기술 요약

1. 문제 정의 (Problem Statement)

• 배경: 딥러닝 (DL) 기반 네트워크 침입 탐지 시스템 (NIDS) 은 기존 시그니처 기반 시스템보다 높은 탐지 정확도를 보이지만, **적대적 예제 (Adversarial Examples, AEs)**에 취약하다는 치명적인 약점이 있습니다.
• 현황: 기존 적대적 공격 기법들은 주로 모델의 결정 경계를 교란시키기 위해 입력 데이터에 인위적인 노이즈를 추가합니다. 그러나 이러한 공격은 종종 데이터의 도메인 제약 (예: 포트 번호, 프로토콜 규칙 등) 을 위반하여 비현실적인 트래픽을 생성하거나, 탐지 시스템에 의해 쉽게 식별될 수 있습니다.
• 핵심 문제:
  1. 자연스러운 적대적 예제 (NAEs) 의 부재: 기존 AEs 는 인간과 ML 모델 모두에게 비정상적으로 보일 수 있어 탐지가 쉽습니다. 반면, 실제 데이터 분포와 유사하게 보이는 **자연스러운 적대적 예제 (Natural Adversarial Examples, NAEs)**는 탐지가 매우 어렵지만, 이를 생성하는 체계적인 방법이 NIDS 도메인에서 부족합니다.
  2. 도메인 제약의 무시: 많은 기존 연구가 네트워크 트래픽의 논리적 일관성 (예: 패킷 길이, 시간 간격의 상관관계) 을 고려하지 않고 모든 특성을 임의로 조작하여, 생성된 트래픽이 실제 네트워크 환경에서 유효하지 않거나 탐지기에 의해 쉽게 걸러지는 문제가 있습니다.
  3. 고급 탐지 시스템 우회: 최신 NIDS 는 AEs 를 탐지하는 방어 메커니즘 (Adversarial Detectors) 을 갖추고 있어, 기존 공격 기법들은 이러한 방어 시스템을 우회하는 데 한계가 있습니다.

2. 제안 방법론: NetDiffuser (Methodology)

논문은 NetDiffuser라는 새로운 프레임워크를 제안하며, 이는 확산 모델 (Diffusion Models) 을 활용하여 NIDS 를 속이는 NAEs 를 생성합니다. NetDiffuser 는 크게 두 가지 핵심 단계로 구성됩니다.

A. 적대적 계획 (Adversarial Planning)

1. 특성 카테고리화 알고리즘 (Feature Categorization Algorithm):
   • 네트워크 트래픽의 특성 (Feature) 을 **이산적 특성 (Discrete Features)**과 **상대적 특성 (Relative Features)**으로 자동 분류합니다.
   • 이산적 특성: 다른 특성과 독립적이며 변조해도 트래픽의 논리적 무결성을 해치지 않는 특성 (예: 특정 패킷 길이 최소값).
   • 상대적 특성: 다른 특성과 강한 상관관계를 가지며, 변조 시 트래픽의 일관성을 깨뜨릴 수 있는 특성 (예: 평균, 표준편차, 최대값 등).
   • 알고리즘: 피어슨 상관 계수 (Pearson Correlation Coefficient) 를 계산하고, 계층적 군집화 (Agglomerative Clustering) 와 Calinski-Harabasz 지수를 사용하여 최적의 군집을 찾음으로써 변조 가능한 특성을 체계적으로 식별합니다.
2. 모델 학습:
   • 이상 탐지 모델 (Anomaly Detector): NIDS 로서 공격 대상이 되는 DL 모델.
   • 확산 모델 (Diffusion Model): 정상 네트워크 트래픽의 분포를 학습하여, 이후 적대적 예제 생성 시 자연스러운 데이터 구조를 유지하도록 돕는 생성 모델.

B. 적대적 주입 (Adversarial Infusion)

• 확산 기반 생성 과정:
  1. 학습된 확산 모델을 사용하여 노이즈가 추가된 데이터 ($x_T$) 에서 시작하여 역방향 확산 (Reverse Diffusion) 과정을 수행합니다.
  2. 각 역방향 단계에서 ADVUPDATE 모듈을 통해 식별된 '이산적 특성'에만 적대적 교란 (Perturbation) 을 주입합니다.
  3. 교란은 FGSM, PGD, ACG 와 같은 기존 공격 알고리즘을 활용하여 계산되지만, **확산 모델의 역방향 과정 (Denoising)**을 통해 점진적으로 정제됩니다.
  4. 이 과정을 통해 생성된 최종 데이터 ($x_{nae}$) 는 공격 목표 (오분류) 를 달성하면서도, 원래 데이터의 통계적 분포와 도메인 제약을 준수하여 자연스러운 트래픽처럼 보입니다.

3. 주요 기여 (Key Contributions)

1. 체계적인 변조 가능 특성 식별 알고리즘 개발: 도메인 지식을 수동으로 적용하지 않고, 데이터의 상관관계를 기반으로 네트워크 트래픽의 무결성을 해치지 않는 변조 가능 특성을 자동으로 식별하는 알고리즘을 제안했습니다.
2. NIDS 도메인 최초의 NAE 생성 프레임워크: 확산 모델을 NIDS 적대적 공격에 적용하여, 의미론적으로 일관되고 탐지하기 어려운 자연스러운 적대적 예제 (NAEs) 를 생성하는 새로운 접근법을 제시했습니다.
3. 성능 검증: CICIDS2017, CICDDoS2019, UNSW-NB15 등 3 개의 벤치마크 데이터셋과 다양한 DL 모델 아키텍처 (MLP, CNN) 를 사용하여 NetDiffuser 의 효과를 입증했습니다.
4. 최첨단 탐지 시스템 우회 능력 입증: 기존 적대적 예제 탐지기 (MANDA, Artifact) 를 우회하는 능력을 검증하여, 기존 공격 대비 훨씬 높은 은닉성을 보였습니다.

4. 실험 결과 (Results)

실험은 3 개의 데이터셋과 다양한 모델 아키텍처, 그리고 MANDA 와 Artifact 라는 두 가지 최첨단 적대적 탐지기를 사용하여 수행되었습니다.

• 공격 성공률 (Attack Success Rate, ASR):
  • NetDiffuser 는 기존 공격 기법 (FGSM, PGD, ACG) 대비 최대 29.93% 높은 공격 성공률을 기록했습니다.
  • 특히, 탐지기가 적용된 후에도 NetDiffuser 에 의해 생성된 트래픽은 탐지기를 통과하여 NIDS 를 속이는 데 성공했습니다.
• 탐지 성능 저하 (Detection Performance):
  • 탐지기의 성능 지표인 AUC-ROC 점수를 기준으로 NetDiffuser 는 기존 공격 대비 탐지 성능을 크게 저하시켰습니다.
  • MANDA 탐지기 기준 0.267, Artifact 탐지기 기준 0.534만큼 AUC-ROC 점수가 감소했습니다 (점수가 낮을수록 탐지 실패).
  • 이는 NetDiffuser 가 생성한 예제가 탐지기가 정상 트래픽과 적대적 트래픽을 구분하는 것을 극도로 어렵게 만든다는 것을 의미합니다.
• 데이터 품질 및 통계적 유사성:
  • Wasserstein Distance와 Maximum Mean Discrepancy (MMD) 지표를 분석한 결과, NetDiffuser 가 생성한 트래픽은 기존 공격 (FGSM, PGD 등) 보다 원래 데이터 분포와 훨씬 더 유사했습니다.
  • PCA 시각화 및 상관관계 히트맵 분석을 통해, NetDiffuser 는 트래픽의 구조적 의존성을 보존하면서도 은밀하게 교란을 가함을 확인했습니다.
• 정화 (Purification) 후 성능:
  • 탐지기가 적대적 예제를 제거 (정화) 한 후에도, NetDiffuser 에 의한 공격은 NIDS 의 정확도를 기존 공격보다 훨씬 더 낮게 유지했습니다 (예: CICDDoS2019 에서 FGSM 은 정화 후 84% 정확도로 회복되었으나, NetDiffuser-FGSM 은 82% 로 낮게 유지).

5. 의의 및 결론 (Significance)

• 보안 위협의 재정의: NetDiffuser 는 NIDS 가 단순히 "이상한" 트래픽을 탐지하는 것을 넘어, 정상적인 것처럼 보이는 트래픽을 통해 공격할 수 있음을 보여주었습니다. 이는 기존 방어 메커니즘이 NAEs 에 대해 무력할 수 있음을 시사합니다.
• 방어 체계의 필요성: 연구 결과에 따르면, 기존 적대적 예제 탐지기는 NetDiffuser 와 같은 NAEs 를 탐지하는 데 실패합니다. 따라서 NIDS 는 도메인 제약을 준수하는 자연스러운 적대적 예제를 탐지할 수 있는 새로운 방어 메커니즘이 필요합니다.
• 한계 및 향후 연구: NetDiffuser 는 확산 모델의 다단계 과정으로 인해 기존 공격 대비 실행 시간 (Runtime) 이 길다는 단점이 있습니다. 향후 연구에서는 샘플링 과정을 최적화하거나 확산 모델을 더 빠른 방법과 하이브리드화하여 실시간 공격/방어 환경에 적용 가능한 방향으로 발전시킬 필요가 있습니다.

요약하자면, NetDiffuser 는 확산 모델과 도메인 지식을 결합하여 NIDS 를 속이는 '완벽한' 가짜 트래픽을 생성하는 획기적인 프레임워크이며, 이는 현재 NIDS 의 보안 취약점을 극명하게 드러내고 향후 더 강력한 방어 기술 개발의 필요성을 촉구하는 중요한 연구입니다.