모바일 애드혹 네트워크 침입 탐지를 위한 다중 분류 알고리즘 비교 연구

초록

본 논문은 MANET 환경에서 다섯 가지 지도학습 분류기(MLP, Linear, GMM, Naïve Bayes, SVM)를 이용해 Black Hole, Forging, Packet Dropping, Flooding 공격을 탐지하고, 트래픽 양, 이동성, 샘플링 간격, 악성 노드 수 등 다양한 시나리오에서 성능을 비교한다. 실험 결과 SVM이 대부분의 공격에서 가장 높은 탐지율을 보였으며, 특히 Packet Dropping 공격이 가장 탐지하기 어려운 것으로 나타났다.

상세 분석

이 논문은 모바일 애드혹 네트워크(MANET)에서 침입 탐지 시스템(IDS)의 실용성을 검증하기 위해 체계적인 실험 설계를 제시한다. 먼저, 기존 연구에서 제시된 IDS는 주로 단일 알고리즘에 의존하거나 비교가 부족했는데, 저자들은 MLP, Linear, Gaussian Mixture Model(GMM), Naïve Bayes, Support Vector Machine(SVM)이라는 다섯 가지 대표적인 지도학습 모델을 동일한 데이터셋과 동일한 하이퍼파라미터 튜닝 절차에 적용함으로써 공정한 비교 기반을 마련하였다.

핵심 특징은 네트워크 계층에서 추출한 8개의 통계적 피처(RREQ Sent/Received, RREP Sent, RERR Sent/Received, Neighbor 수, PCR, PCH)를 사용한다는 점이다. 이러한 피처는 라우팅 프로토콜(AODV)의 동작 특성을 직접 반영하므로, 정상 트래픽과 공격 트래픽 사이의 차이를 효과적으로 드러낸다. 특히 PCR(라우팅 테이블 변화 비율)과 PCH(홉 수 변화 비율)는 동적 토폴로지와 라우팅 오류를 포착하는 데 유용하며, 공격 유형별로 서로 다른 피처 중요도를 보인다.

실험 환경은 GloMoSim 기반 시뮬레이터에서 50노드, 850 × 850 m² 영역, 2 Mbps 채널, 최대 속도 20 m/s, 다양한 pause time(0~700 s) 등을 설정해 현실적인 이동성을 재현하였다. 공격 시나리오는 Flooding, Forging, Packet Dropping, Black Hole 네 종류로, 각각 AODV 라우팅 메시지를 악용하거나 패킷을 선택적으로 삭제하는 방식이다.

성능 평가는 Detection Rate(DR)와 False Alarm(FA) 두 지표를 사용했으며, 샘플링 간격(5, 10, 15, 30 s), 악성 노드 수(5, 15, 25), 네트워크 이동성(다양한 pause time) 등 변수들을 교차 실험하였다. 결과는 다음과 같다.

1. SVM: 대부분의 조건에서 가장 높은 DR(>90%)과 낮은 FA(<5%)를 기록했다. 특히 Gaussian 커널을 사용한 SVM은 비선형 경계가 필요한 공격(예: Black Hole)에서도 강인한 성능을 보였다.
2. MLP: 다층 퍼셉트론은 학습 데이터가 충분히 많을 때 좋은 성능을 보였지만, 하이퍼파라미터(은닉층 수, 학습률) 튜닝에 민감했으며, 샘플링 간격이 짧을 때 과적합 위험이 있었다.
3. Linear: 선형 모델은 구현이 간단하고 빠르지만, 비선형 패턴을 포착하지 못해 특히 Packet Dropping 공격에서 DR이 70% 이하로 떨어졌다.
4. GMM: 혼합 가우시안 모델은 클래스별 확률 밀도를 직접 추정하므로 불확실성을 정량화할 수 있지만, 차원 수가 늘어나면 공분산 추정이 불안정해졌다. diagonal covariance를 사용했음에도 불구하고 DR이 80% 수준에 머물렀다.
5. Naïve Bayes: 독립성 가정이 현실 네트워크 피처에 부합하지 않아 전반적으로 낮은 DR(≈65%)과 높은 FA를 보였다.

특히 Packet Dropping 공격은 정상 트래픽과 피처 분포가 크게 겹쳐 탐지율이 가장 낮았다. 이는 공격이 라우팅 오류 메시지를 선택적으로 삭제함으로써 네트워크 전반에 큰 변화를 일으키지 않기 때문이다. 반면 Flooding과 Black Hole은 라우팅 요청/응답 빈도가 급증하거나 비정상적인 RREP 응답 패턴을 만들기 때문에 SVM과 MLP가 높은 탐지율을 달성했다.

샘플링 간격에 대한 분석에서는 5 s 간격이 가장 빠른 탐지를 가능하게 했지만, 통계적 변동성이 커져 FA가 약간 상승했다. 30 s 간격은 FA를 최소화했지만, 공격 초기 탐지 지연이 30 s까지 발생할 수 있다. 따라서 실시간 보안 요구가 높은 환경에서는 10~15 s 간격이 실용적인 절충점으로 제시된다.

마지막으로, 악성 노드 수가 증가할수록 전체 DR이 상승하는 경향을 보였는데, 이는 공격 트래픽 비중이 커져 피처 변동이 뚜렷해지기 때문이다. 그러나 노드 수가 매우 많아질 경우 네트워크 혼잡이 발생해 FA가 약간 증가하는 현상도 관찰되었다.

이러한 종합적인 실험 결과는 MANET IDS 설계 시 알고리즘 선택뿐 아니라 피처 설계, 샘플링 주기, 악성 노드 밀도 등을 고려한 다차원 최적화가 필요함을 시사한다. 특히 SVM은 다양한 공격과 환경 변화에 강인한 성능을 보여, 실제 배포 단계에서 우선 후보로 고려될 만하다.