고차원 네트워크 트래픽에서 변화점의 분산 탐지와 위치 파악

초록

본 논문은 대용량 네트워크 트래픽에서 DDoS 공격을 실시간으로 탐지하고 공격 대상 서버를 식별하기 위한 분산 알고리즘 DTopRank를 제안한다. 각 모니터는 트래픽 레코드를 필터링해 상위 흐름만을 중앙 서버에 전송하고, 중앙에서는 이중 검열된 시계열에 대한 비모수 순위 검정을 수행해 변화점을 검출한다. 합성 데이터와 대형 ISP 트래픽을 이용한 실험을 통해 높은 탐지 정확도와 낮은 통신 비용을 입증하였다.

상세 분석

DTopRank는 고차원 네트워크 트래픽의 특성을 고려한 두 단계 구조로 설계되었다. 첫 번째 단계는 네트워크 모니터(예: 라우터, 스위치)에서 수행되며, 각 모니터는 일정 시간 간격(예: 1초)마다 흐름별 패킷 수 혹은 바이트 수를 집계한다. 전체 흐름 수가 수십만에 달할 수 있는 상황에서 모든 정보를 전송하면 네트워크 부하가 급증하므로, 저자들은 “레코드 필터링”이라는 간단한 차원 축소 기법을 도입하였다. 구체적으로, 각 모니터는 현재 시간 구간에서 트래픽 양이 상위 k 개(예: k=5)인 흐름만을 선택하고, 해당 흐름의 식별자(IP, 포트)와 집계값을 중앙 서버에 전송한다. 이 과정은 O(k)의 통신 복잡도를 보장하며, 비정상적인 트래픽 급증이 발생하면 해당 흐름이 자연스럽게 상위 k 에 포함되게 된다.

두 번째 단계는 중앙 의사결정 사이트에서 수행된다. 중앙 서버는 각 모니터로부터 수신한 레코드들을 시간 순서대로 정렬해 “이중 검열(doubly censored)”된 시계열을 구성한다. 검열이란, 특정 시간 구간에 해당 흐름이 상위 k 에 포함되지 않아 관측값이 누락된 경우를 의미한다. 따라서 각 흐름에 대해 관측값이 존재하는 시점은 ‘관측’(upper‑censored)이고, 관측값이 없는 시점은 ‘검열’(lower‑censored)으로 표시된다. 이러한 불완전한 시계열에 대해 기존의 변화점 검출 방법을 직접 적용하면 통계적 편향이 발생한다. 이를 해결하기 위해 저자들은 비모수 순위 검정인 “이중 검열 순위 검정”(doubly censored rank test)을 제안한다. 이 검정은 각 시점의 관측값을 전체 관측값 집합에 대한 순위로 변환하고, 검열된 구간은 순위 범위(예: 최소‑최대)로 대체함으로써 검열 효과를 보정한다. 검정 통계량은 누적 순위 차이의 절대값을 기반으로 하며, 부트스트랩 혹은 정규 근사를 통해 임계값을 설정한다. 변화점이 존재하면 통계량이 사전에 정의된 임계값을 초과하게 되고, 이를 통해 공격 시작 시점을 정확히 추정한다.

알고리즘의 핵심 장점은 다음과 같다. 첫째, 레코드 필터링으로 인해 각 모니터와 중앙 서버 간의 데이터 전송량이 전체 트래픽 대비 극히 적다(수백 배 감소). 둘째, 비모수 검정이므로 트래픽 분포에 대한 사전 가정이 필요 없으며, 다양한 형태의 DDoS 공격(볼륨 기반, 스머프 기반 등)에 적용 가능하다. 셋째, 중앙에서 수행되는 순위 검정은 O(N log N) 복잡도를 가지며, N은 중앙에 전송된 레코드 수이므로 실시간 처리에 충분히 빠르다. 마지막으로, 변화점 검출과 동시에 흐름 식별자를 보존하므로 공격 대상 IP를 직접 로컬라이징할 수 있다.

실험에서는 두 가지 시나리오를 제시한다. (1) 합성 데이터에서는 정상 트래픽을 포아송 프로세스로 모델링하고, DDoS 공격을 급격한 평균 증가로 시뮬레이션하였다. 다양한 공격 강도와 지속 시간에 대해 DTopRank는 평균 검출 지연이 2~3초 이하이며, 오탐률은 1% 미만으로 유지되었다. (2) 실제 ISP 트래픽(trace)에서는 24시간 동안 수집된 1.2 TB 규모의 패킷 로그를 사용했으며, 실제 발생한 DDoS 사건을 포함한다. 기존 TopRank와 비교했을 때, DTopRank는 동일한 검출 정확도에서 통신량을 약 85% 절감했고, 공격 대상 IP를 정확히 식별하는 비율이 92%에 달했다. 또한, 검열 비율이 30% 이상인 경우에도 검정의 유의성 유지가 확인되었다.

한계점으로는 레코드 필터링 단계에서 k값 선택이 탐지 민감도에 영향을 미친다는 점이다. k가 너무 작으면 미세한 공격을 놓칠 위험이 있고, k가 크면 통신 비용이 증가한다. 또한, 이중 검열 순위 검정은 검열 패턴이 매우 불규칙하거나 장기간 지속될 경우 검정 통계량의 분산이 커져 검출 성능이 저하될 수 있다. 향후 연구에서는 적응형 k값 조정 및 검열 모델링을 통한 검정 강화 방안을 제시한다.