분산 보안 시스템을 위한 자체 관리 메커니즘

본 논문은 분산 보안 시스템, 특히 인공 면역 시스템(SANA)에서 작은 엔티티(인공 세포)가 네트워크를 순회하며 침입을 탐지·제거하는 과정에서 발생하는 “엔티티 배치 불균형” 문제를 해결하고자 한다. 기존에는 엔티티가 완전 자율적으로 확률적 이동을 하거나, 중앙 관리 서버가 전체 상태를 수집해 배치 지시를 내리는 두 가지 방식이 사용되었다. 전자는 과도한 엔티티 집중이나 빈약한 노드 방치, 후자는 단일 장애점과 높은 통신 비용이라는 단점을 가지고 있었다. 이를 보완하기 위해 저자는 두 가지 경량 정보 교환 프로토콜을 제안한다. 첫 번째는 “부족 보안 알림(Notification of Insufficient Security)”이다. 각 노드는 사전에 정의된 최소 보안 엔티티 수(min sec node)를 기준으로 현재 보유한 보안 수준(sec_time)을 계산한다. 보안 수준이 부족하면 노드는 자체적으로 인접 노드에 알림 패킷을 전송한다. 알림에는 부족 정도가 포함되며, 전파 과정에서 감소 함수 f_d에 의해 값이 점차 감소한다. 값이 임계치 이하가 되면 전파를 중단한다. 이 알림을 받은 엔티티는 이동 확률 함수 f_m이 상승하고, 목표 선택 함수 f_w가 알림 노드 쪽으로 편향된다. 구현에서는 f_m을 선형 증가 형태로, f_w는 알림이 없는 경우에만 확률적으로 선택하도록 설계하였다. 알림 전송은 매 타임스텝당 하나의 패킷만 사용해 대역폭 소모를 최소화한다. 두 번째는 “트레일(Trails of Entities)”이다. 각 노드는 인접 연결마다 특정 엔티티 유형에 대한 “마지막 검사 시점” 값을 저장한다(v_{v,w,e}). 엔티티가 노드를 방문하면 해당 값이 증가(f_i)하고, 매 타임스텝마다 감소(f_d)한다. 엔티티는 이동 결정을 할 때 이 값들을 가중치로 사용한다. 최근에 많이 방문된 노드의 값이 낮아져 이동 확률이 감소하고, 오랫동안 방문되지 않은 노드가 높은 가중치를 받아 우선 방문된다. 증가 함수 f_i는 지수적 형태(c₁ + c₂·exp(old value)), 감소 함수 f_d는 선형(old value − c₃)로 설정하였다. 두 프로토콜 모두 메모리와 연산 오버헤드가 매우 낮다. 알림은 하나의 패킷, 트레일은 부동소수점 값 몇 개만 저장하면 된다. 실험은 500노드 규모의 기업 네트워크 시뮬레이터에서 수행되었으며, 다양한 바이러스·웜·트로이목이 유입되는 시나리오를 구성하였다. 실험 결과, 부족 보안 알림을 적용한 경우 침입 탐지율이 80 %에서 98 %로 크게 상승했으며, 중앙집중식 관리 대비 약 80 % 적은 대역폭을 사용하면서도 성능이 15 % 향상되었다. 또한, 엔티티가 과도하게 특정 노드에 몰리는 현상이 완화되어 전체 시스템의 부하가 균형 있게 분산되었다. 트레일 프로토콜은 모든 노드가 정기적으로 검사되도록 보장하면서, 불필요한 중복 검사를 60 % 감소시켰다. 다만, 네트워크가 여러 파편으로 나뉘고 연결이 제한된 경우 트레일 정보 전파가 제한되어 성능 저하가 관찰되었다. 결론적으로, 소량의 국소 정보와 제한적 전파 메커니즘만으로도 분산 보안 시스템의 자율성을 크게 향상시킬 수 있음을 입증하였다. 향후 연구에서는 알림 전파 범위와 감소 함수 f_d를 동적으로 조정하거나, 트레일 정보를 계층적으로 집계하는 방안을 통해 네트워크 분할 상황에서도 안정적인 성능을 유지하는 방법을 탐구할 필요가 있다.