모바일 애드혹 네트워크를 위한 새로운 침입 탐지 시스템

초록

본 논문은 이동형 애드혹 네트워크(MANET)에서 노드 간 협력을 유도하고 악의적 행동을 탐지하기 위해 로컬 평판(Local Reputation) 기반 침입 탐지 시스템을 제안한다. 각 노드는 1홉 이웃의 평판만을 유지하며, 패시브 ACK(PACK)와 타이밍 윈도우를 이용해 패킷 전달 성공 여부를 모니터링한다. 평판은 직접 관찰, 경고 메시지, 회피 리스트에 따라 가중치가 부여되어 업데이트되며, 의심 노드에 대해서는 트레이스 테스트를 수행한다. 또한 ‘레디미션·페이딩’ 메커니즘을 도입해 한때 악성으로 판정된 노드가 일정 기간 비활동 시 평판이 회복될 수 있도록 설계하였다. 시뮬레이션은 NS‑2를 이용해 수행될 예정이다.

상세 분석

제안된 시스템은 기존의 전역 평판 기반 프로토콜(CONFIDANT, CORE 등)과 달리 완전한 로컬 평판만을 사용한다는 점에서 구현 복잡성을 크게 낮춘다. 1홉 이웃만을 대상으로 평판을 관리함으로써 메시지 교환 오버헤드와 스케일링 문제를 최소화한다는 장점이 있다. 그러나 로컬 평판만으로는 네트워크 전반에 걸친 악성 노드의 전파를 빠르게 차단하기 어려울 수 있다. 특히, 악성 노드가 다수의 이웃에 동시에 존재할 경우, 각 이웃이 독립적으로 평판을 판단하게 되므로 일관된 차단 정책이 부재할 위험이 있다.

패시브 ACK(PACK)를 활용한 모니터링은 DSR 프로토콜의 프로미스큐어스 모드와 자연스럽게 결합되지만, PACK 손실이 링크 오류, 혼잡, 전송 지연 등 비악성 요인에 의해 발생할 가능성을 충분히 고려하지 않았다. 논문에서는 이를 보완하기 위해 ‘타이밍 윈도우’를 도입해 일정 시간 간격마다 누락 패킷 수를 집계한다는 점은 흥미롭지만, 윈도우 크기와 임계값 설정이 시스템 민감도에 미치는 영향을 실험적으로 검증하지 않았다.

평판 업데이트는 세 가지 가중치(자체 관찰, 경고 메시지, 회피 리스트)로 구성되며, 자체 관찰에 가장 높은 가중치를 부여한다. 이는 직접 관찰이 가장 신뢰할 수 있다는 가정에 기반하지만, 실제 환경에서는 노드가 의도적으로 관찰을 회피하거나 위조된 경고 메시지를 전파할 위험이 존재한다. 이러한 공격에 대한 방어 메커니즘이 논문에 제시되지 않은 점은 한계로 지적된다.

‘트레이스 테스트’는 의심 노드에 대해 가짜 데이터 패킷을 전송하고 PACK 수신 여부로 악성 여부를 판단한다. 이 과정은 2홉 이내의 짧은 TTL을 사용해 빠르게 검증할 수 있으나, 트레이스 테스트 자체가 네트워크 트래픽을 증가시키고, 테스트 패킷이 정상 노드에 의해 차단될 경우 오탐률이 상승할 수 있다. 또한, 트레이스 테스트가 실패했을 때 즉시 악성으로 판정하고 경고 메시지를 전파하는 정책은 일시적인 링크 오류나 버퍼 오버플로우와 같은 비악성 원인에 의해 오판될 위험을 내포한다.

‘레디미션·페이딩’ 메커니즘은 악성 노드가 일정 기간 비활동 상태일 때 평판을 서서히 회복시켜 네트워크에 재참여할 수 있게 한다. 이는 네트워크 자원의 효율적 활용과 노드 재활용을 촉진하지만, 페이딩 속도와 비활동 기간을 어떻게 설정하느냐에 따라 악성 노드가 반복적으로 재참여·재악용하는 사이클에 빠질 수 있다. 논문에서는 구체적인 파라미터 선정 기준이나 실험적 검증이 부족하다.

시뮬레이션 부분은 NS‑2 기반으로 진행될 예정이라고만 언급하고 실제 실험 설계, 시나리오, 성능 지표(패킷 전달율, 오탐/미탐률, 오버헤드 등)에 대한 상세 내용이 결여되어 있다. 따라서 제안된 시스템의 실효성을 객관적으로 평가하기 어렵다. 전반적으로 아이디어는 기존 연구와 차별화된 로컬 평판과 레디미션·페이딩을 결합한 점에서 의미가 있으나, 구현 세부사항, 파라미터 튜닝, 비악성 요인에 대한 견고한 방어 메커니즘이 부족하다. 향후 연구에서는 다양한 네트워크 토폴로지와 이동성 모델을 적용한 광범위한 시뮬레이션 및 실제 테스트베드를 통한 검증이 필요하다.