실시간 타입 그래프 기반 경보 상관 및 가설 생성 통합 알고리즘

논문은 “Real‑Time Alert Correlation with Type Graphs”라는 제목 아래, IDS(침입 탐지 시스템)에서 발생하는 방대한 양의 경보와 그 중 상당 부분이 오탐지라는 현실적인 문제를 해결하고자 한다. 서론에서는 IDS 경보가 시계열 이벤트이며, 각 경보는 엔드포인트, 포트, 프로토콜 등 여러 속성을 포함한다는 점을 강조한다. 이러한 경보를 효과적으로 분석하려면 공격 단계 간의 전후 관계를 모델링해야 하는데, 기존에는 시나리오‑그래프(취약점 평가 기반)와 타입‑그래프(공격 유형 추상화 기반) 두 가지 접근법이 사용되어 왔다. 시나리오‑그래프는 정확도가 높지만 네트워크 토폴로지 변화나 취약점 평가 오류에 취약하고, 타입‑그래프는 유연하지만 연산 비용이 크게 늘어나는 단점이 있었다. 특히, 기존 연구들은 타입‑그래프를 이용한 상관 과정에서 누락된 경보(가설) 처리를 배치 단계에서 별도로 수행하거나, 전혀 다루지 않아 실시간 대응에 한계를 보였다. 본 연구는 이러한 격차를 메우기 위해, 타입‑그래프 기반 상관 알고리즘에 가설 생성 과정을 하나의 연산으로 통합한 새로운 프레임워크를 제시한다. 핵심 아이디어는 (1) 각 공격 유형을 ‘하이퍼‑알림 타입(hyper‑alert type)’이라는 삼중(사실, 전제, 결과) 구조로 정의하고, (2) 이들 타입 사이의 ‘준비‑가능(prepares for)’ 관계를 DAG 형태의 타입‑그래프로 표현한다. 논문은 먼저 최소 IAC 문제를 정의하고, 이를 ‘최소 초과 집합(Minimum Overlap Set)’ 문제와 연결해 NP‑hard임을 증명한다. 이후, 제안 알고리즘은 다음과 같은 단계로 구성된다. 1. **인메모리 인덱스 구축**: 각 하이퍼‑알림 타입의 전제와 결과 프레디케이트를 해시 테이블에 매핑해, 새로운 경보가 들어올 때 O(1)에 가까운 속도으로 선행 타입을 찾는다. 2. **실시간 상관 및 가설 생성**: 새로운 경보가 기존 하이퍼‑알림과 매칭되면 즉시 그래프에 노드·엣지를 추가하고, 매칭되지 않을 경우 역방향으로 타입‑그래프를 탐색해 누락된 전제 혹은 결과를 가설화한다. 가설화된 알림은 ‘와일드‑카드’ 속성값을 갖으며, 이후 실제 경보가 도착하면 자동으로 대체된다. 3. **제약 만족 검증**: 각 엣지는 전제·결과 사이의 속성 동등성 제약을 포함한다. 이 제약은 논리식 형태로 저장되며, 새로운 매칭이 발생할 때마다 SAT‑solver와 유사한 경량 검증 절차를 수행한다. 4. **그래프 정리 및 압축**: 중복된 하이퍼‑알림이나 불필요한 가설 알림은 주기적으로 제거돼 메모리 사용량을 최소화한다. 알고리즘의 시간 복잡도는 입력 경보 수 n에 대해 평균 O(log k) (k는 현재 인덱스에 저장된 타입 수)이며, 최악의 경우에도 O(k) 이하로 제한된다. 메모리 복잡도는 활성 하이퍼‑알림 수에 비례한다. 실험에서는 두 가지 데이터셋을 사용했다. 첫 번째는 공개된 DARPA 1999 데이터셋을 변형해 고밀도 경보 스트림을 생성한 것이고, 두 번째는 실제 기업 네트워크에서 수집한 24시간 트래픽 로그다. 제안 알고리즘은 기존 배치‑기반 타입‑그래프 상관(논문