실시간 침입 탐지를 위한 DCA 세분화 기반 분석 기법

초록

본 논문은 면역 영감 알고리즘인 Dendritic Cell Algorithm(DCA)의 분석 과정을 오프라인에서 실시간으로 전환하기 위해 출력 데이터를 세분화하는 두 가지 방법, 즉 항원 기반 세분화(ABS)와 시간 기반 세분화(TBS)를 제안한다. 포트 스캔 데이터셋을 이용한 실험 결과, 세분화를 적용하면 기존 DCA 대비 탐지 정확도와 오탐률에서 유의미한 개선을 보이며, 특히 TBS가 짧은 지연 시간 요구 상황에서 효과적임을 확인하였다.

상세 분석

DCA는 자연 면역계의 수지상 세포(dendritic cell) 동작을 모사한 알고리즘으로, 신호(signal)와 항원(antigen)을 동시에 처리해 ‘위험도’(Kα) 값을 산출한다. 기존 구현에서는 데이터 처리 단계와 분석 단계가 명확히 구분돼, 모든 DC가 성숙한 뒤 오프라인에서 Kα를 계산하는 방식이었다. 이는 실시간 침입 탐지 시스템에서 요구되는 즉각적인 반응성을 저해한다는 근본적인 한계를 가지고 있다.
논문은 이러한 한계를 극복하기 위해 DCA 출력(성숙 DC가 제공하는 항원‑신호 상관 정보)을 일정 크기의 슬라이스로 나누고, 슬라이스가 생성될 때마다 즉시 분석을 수행하도록 설계하였다. 두 가지 세분화 전략이 제시되었다.

1. 항원 기반 세분화(ABS)

   • 항원 유형별로 일정 수량(예: 100개)의 항원이 수집될 때마다 하나의 세그먼트를 형성한다.
   • 항원 집계가 균등하게 이루어지므로 각 세그먼트는 동일한 통계적 의미를 갖는다.
   • 그러나 항원의 발생 빈도가 낮은 경우, 세그먼트 형성에 시간이 지연될 수 있다.

2. 시간 기반 세분화(TBS)

   • 고정된 시간 간격(예: 1초, 5초)마다 현재까지 수집된 모든 항원을 포함한 세그먼트를 만든다.
   • 시간 간격이 짧을수록 탐지 지연은 최소화되지만, 짧은 구간에 포함된 데이터가 충분히 대표성을 갖지 못할 위험이 있다.

세그먼트가 생성되면 기존의 Kα 계산식을 그대로 적용하되, 누적된 CSM(코스트 신호 매트릭스)과 k값을 해당 슬라이스에 한정해 즉시 산출한다. 이를 통해 각 슬라이스마다 독립적인 침입 점수를 얻을 수 있다.

실험 설계는 노팅엄 대학 네트워크에서 수집한 중규모 포트 스캔 로그를 사용하였다. 데이터는 정상 트래픽과 악성 포트 스캔 트래픽으로 라벨링되었으며, DCA 파라미터(DC 수, 마이그레이션 임계값 등)는 기존 연구와 동일하게 설정하였다. ABS와 TBS 각각에 대해 다양한 세그먼트 크기(항원 수 50200, 시간 0.55초)를 시험했고, 성능 평가는 탐지율, 오탐률, F1-score, 그리고 평균 탐지 지연을 기준으로 비교하였다.

주요 결과는 다음과 같다.

• ABS는 항원 수가 충분히 큰 경우(≥150) 탐지율이 92% 이상으로 기존 DCA(≈85%)보다 크게 향상되었으며, 오탐률도 4% 수준으로 감소하였다.
• TBS는 1초 간격이 최적점으로, 평균 탐지 지연이 0.9초에 불과하면서도 탐지율 90%, 오탐률 5%를 기록하였다. 시간 간격을 0.5초로 축소하면 지연은 감소하지만 데이터 부족으로 오탐률이 급증하였다.
• 두 방법 모두 세그먼트 크기가 과도하게 작을 경우 통계적 신뢰도가 떨어져 성능이 저하되는 경향을 보였으며, 이는 DCA의 ‘다양성’ 메커니즘(마이그레이션 임계값에 따른 시간 창 차이)과 상호작용한다는 점이 논의되었다.

논문은 또한 실시간 구현 시 고려해야 할 시스템 부하 문제를 언급한다. 세그먼트당 분석 연산은 O(N) 복잡도를 가지며, CPU 사용률은 세그먼트 빈도에 비례한다. 따라서 실제 IDS에 적용할 경우, 하드웨어 가속(GPU/FPGA)이나 동적 세그먼트 크기 조정 알고리즘이 필요함을 제안한다.

마지막으로, 세분화된 출력은 기존 DCA와 달리 ‘시계열’ 특성을 보존하므로, 후속 단계에서 시계열 이상 탐지 모델(예: LSTM)과 결합할 가능성을 열어준다. 이는 DCA를 단순 분류기가 아닌, 복합적인 실시간 위협 인텔리전스 파이프라인의 한 축으로 확장할 수 있음을 시사한다.