적응형 NBTree 기반 속성 가중치 기법으로 침입 탐지의 오탐 감소

초록

본 논문은 결정트리와 적응형 나이브 베이즈 트리를 결합한 속성 가중치 기법을 제안한다. KDD99 데이터셋을 이용해 중요한 네트워크 트래픽 특성을 자동 선택하고, 불필요한 속성을 제거함으로써 오탐률을 크게 낮추고 탐지율을 향상시킨다. 실험 결과, 제안 방법이 기존 모델 대비 오탐 비율을 현저히 감소시키고, 다양한 공격 유형에 대해 균형 잡힌 탐지 성능을 제공함을 확인하였다.

상세 분석

이 연구는 침입 탐지 시스템(IDS)의 핵심 과제인 ‘오탐(false positive)’ 문제와 ‘속성(특징) 과다’ 문제를 동시에 해결하고자 한다. 기존의 데이터 마이닝 기반 IDS는 높은 차원의 특성 공간에서 학습 효율이 떨어지고, 불균형 데이터로 인해 특정 공격 유형에 대한 탐지율이 낮아지는 단점을 가지고 있다. 이를 보완하기 위해 저자는 두 가지 주요 기술을 결합한다. 첫째, 결정트리 기반의 속성 가중치(Weighting) 메커니즘을 도입해 각 특성의 중요도를 동적으로 평가한다. 트리 분할 과정에서 정보이득(information gain)이나 지니 불순도(Gini impurity)를 활용해 특성별 가중치를 산출하고, 가중치가 낮은 특성은 차후 학습 단계에서 제외한다. 둘째, 가중치가 적용된 특성 집합을 입력으로 적응형 나이브 베이즈 트리(NBTree)를 학습한다. NBTree는 리프 노드에서 나이브 베이즈 분류기를 사용함으로써 전통적인 결정트리의 경계선형 한계를 보완하고, 확률적 판단을 통해 미세한 패턴까지 포착한다. ‘적응형’이라는 명칭은 트리 성장 과정에서 각 노드의 데이터 분포에 따라 나이브 베이즈 모델을 재구성하거나, 필요시 트리 구조를 재조정하는 메커니즘을 의미한다.

실험은 KDD99 벤치마크 데이터셋을 사용했으며, 전체 41개의 원본 특성 중 1520개의 핵심 특성만을 선택하도록 설계되었다. 선택된 특성은 주로 프로토콜 타입, 서비스, 플래그, 그리고 몇몇 통계적 연결 지표(예: src_bytes, dst_bytes)이다. 선택 과정에서 교차 검증을 통해 과적합을 방지하고, 가중치 임계값을 조정해 오탐률과 탐지율 사이의 트레이드오프를 최적화하였다. 결과적으로 제안 모델은 전체 오탐률을 기존 C4.5 기반 IDS 대비 약 30% 이상 감소시켰으며, 특히 ‘Probe’와 ‘R2L’(Remote to Local) 공격에서 탐지율이 510% 상승했다. 또한 모델 크기가 40% 이하로 축소돼 실시간 적용 가능성이 높아졌다.

한계점으로는 KDD99 데이터가 오래된 현실 네트워크 트래픽을 완전히 반영하지 못한다는 점과, 가중치 계산 시 정보이득에 의존하는 구조가 희소한 특성에 대해 과소평가할 가능성이 있다는 점을 들 수 있다. 향후 연구에서는 최신 CICIDS2017 등 실시간 스트리밍 데이터에 대한 검증과, 정보이득 외에 상호정보량(mutual information)이나 SHAP 값을 활용한 다중 가중치 전략을 도입해 모델의 일반화 능력을 강화할 필요가 있다.