인공 개미 군락을 활용한 감염 노드 탐지 시스템 AGNOSCO

본 논문은 네트워크 내 감염된 노드를 식별하기 위한 새로운 방법론인 AGNOSCO(Agents for the Identification of infected Nodes using artificial ant Colonies)를 제안한다. 기존의 네트워크 침입 탐지 시스템(NIDS)은 트래픽을 중앙에서 수집·분석하는 구조로 인해 높은 연산·통신 비용이 발생하고, 새로운 공격 유형에 대한 탐지율이 낮은 문제가 있다. 이러한 한계를 극복하고자 저자들은 생물학적 개미 군락의 행동을 모방한 분산형 탐지 메커니즘을 설계하였다. AGNOSCO는 SANA라는 인공 면역 시스템의 일부로 구현된다. SANA는 경량형 자율 에이전트(인공 세포)들을 네트워크에 배치해 패킷을 검사하고, 악성 패킷이 확인되면 ‘확인 패킷’을 역방향으로 전송한다. 이 확인 패킷이 지나가는 각 링크에 페로몬 값을 업데이트한다. 페로몬 값은 악성 패킷이 지나면 inc(20)만큼 크게 증가하고, 정상 패킷이 지나면 dec(0.95)로 서서히 감소한다. 이를 수식화한 친화도 함수는 af_connection = b·∑_{i=1}^{inc·dec} #good_packets_i 이며, b는 해당 링크를 통과한 악성 패킷 수, #good_packets_i는 i번째 악성 패킷 이후에 관측된 정상 패킷 수이다. 이 함수는 악성 이벤트가 연속될 경우 급격히 상승하고, 일정 기간 악성 이벤트가 없으면 완만히 감소하도록 설계돼, 인간 면역 체계의 친화도 변화와 유사한 동작을 보인다. 인공 개미 셀은 네트워크를 순회하면서 현재 링크의 페로몬 농도가 사전에 정의된 임계값(예: 10) 이상이면 해당 경로를 따라 이동한다. 페로몬 농도가 더 이상 높은 링크가 없을 때 셀은 이동을 멈추고, 현재 위치한 노드를 ‘감염된 노드’로 판단한다. 판단 결과는 SANA의 다른 모듈에 전달돼 격리·소독 절차가 시작된다. 이 과정은 기존 NIDS가 필요로 하는 대규모 로그 수집·중앙 분석을 대체하거나 보완한다는 점에서 큰 장점을 가진다. 시뮬레이션에서는 75개의 노드와 3개의 AGNOSCO 셀을 사용해 다양한 공격 시나리오를 테스트했다. 결과는 모든 감염 노드를 평균 30~50 스텝 내에 탐지했으며, 새로운 감염이 발생하면 최대 20 스텝 이내에 식별했다. 연산 부하는 페로몬 값 읽기·쓰기 정도에 국한돼 거의 무시할 수준이며, 저장소는 링크당 최대 10 kB만 필요했다. 통신 부하는 확인 패킷이 IP 레벨에서 1~2개 정도 전송되는 정도로, 기존 고속 네트워크 환경에서 충분히 감당 가능했다. 논문은 또한 친화도 함수의 생물학적 영감을 상세히 설명한다. 인간의 친화도는 이벤트가 발생하면 급격히 상승하고, 시간이 지나면 서서히 감소한다는 특성을 모방해, 악성 패킷이 연속적으로 발견될 때 페로몬이 급격히 상승하고, 이후 정상 트래픽이 흐르면 서서히 감소하도록 설계했다. 이를 통해 네트워크 전반에 ‘페로몬 트랙’이 형성되고, 인공 개미가 이를 따라 감염 노드를 효율적으로 찾아낼 수 있다. 하지만 논문에는 몇 가지 한계점도 언급된다. 첫째, 페로몬 값의 초기화·소멸 메커니즘이 명시되지 않아 장기간 운영 시 오래된 흔적이 남아 오탐을 일으킬 수 있다. 둘째, 악성 트래픽 비율이 매우 낮을 경우 페로몬 상승이 임계값에 도달하지 않아 감염을 놓칠 위험이 있다. 셋째, 확인 패킷이 역방향으로 전송된다는 전제는 라우팅이 대칭적일 때만 성립하므로, 비대칭 라우팅 환경에서는 구현이 복잡해진다. 넷째, 실험이 시뮬레이션에 국한돼 실제 대규모 기업 네트워크에서의 성능 및 보안 효과는 추가 검증이 필요하다. 결론적으로 AGNOSCO는 생물학적 개미 군락의 탐색 메커니즘을 네트워크 보안에 적용한 최초의 시도 중 하나이며, 낮은 연산·통신 비용으로 감염 노드 탐지를 가능하게 한다. 향후 연구에서는 페로몬 소멸 정책, 동적 임계값 조정, 비대칭 라우팅 지원, 실제 환경에서의 대규모 테스트 등을 통해 실용성을 높이는 방향이 제시된다.