최적 IDS 기본 설정을 위한 권력 지수 분석

초록

본 논문은 자원 제한 하에서 서명 기반 침입 탐지 시스템(IDS)의 기본 구성을 최적화하기 위해 협력 게임 이론의 Shapley 값과 Banzhaf‑Coleman 지수를 활용한다. 공격 그래프와 실제 공격 시나리오를 기반으로 각 탐지 라이브러리의 기여도를 정량화하고, 이를 배낭 문제로 모델링하여 주어진 예산 내에서 가장 높은 탐지 효율을 달성하는 라이브러리 집합을 선택한다. 또한 라이브러리 수가 많을 경우를 위한 다중선형 연장 및 근사 기법을 제시한다.

상세 분석

이 논문은 IDS 구성 문제를 ‘협력 게임’으로 전환함으로써 기존의 휴리스틱 기반 튜닝 방식과 차별화한다. 먼저 공격을 연속적인 단계로 모델링한 공격 그래프를 정의하고, 각 IDS 라이브러리(l_i)가 탐지할 수 있는 공격 집합 P_i를 명시한다. 탐지 가능성은 단순히 집합 포함 관계가 아니라, 실제 탐지 성공 확률 α_{Pij}를 도입해 가중치화한다. 이를 통해 정의된 ‘detectability’ η_i와 ‘efficiency’ ζ_i는 공격 시퀀스와 라이브러리 집합 간의 교집합 비율을 값 함수 v(·)로 정규화한 형태이며, v는 공격의 심각도 가중치까지 반영할 수 있다.

협력 게임 이론에서는 라이브러리 집합을 ‘연합(coalition)’으로 보고, 각 라이브러리의 기여도를 Shapley 값 φ_i와 Banzhaf‑Coleman 지수 β_i로 측정한다. Shapley 값은 모든 가능한 연합 순열에 대한 평균 기여도를 계산해 공정성을 보장하고, Banzhaf‑Coleman 지수는 연합 내에서의 ‘핵심성(pivotality)’을 기반으로 라이브러리의 영향력을 평가한다. 두 지수 모두 탐지 효율 η_i와 비용 C(l_i)를 결합해 ‘가치/비용 비율’을 산출함으로써 배낭 최적화 문제에 직접 투입할 수 있다.

논문은 또한 라이브러리 수 N이 커질 경우 2^N개의 연합을 모두 열거하는 것이 비현실적임을 인식하고, 다중선형 확장(multilinear extension) 기법을 도입한다. 이는 각 라이브러리의 포함 확률을 연속 변수 x_i∈