협력 에이전트를 활용한 완전 분산 침입 탐지 시스템

초록

본 논문은 중앙 집중형 분석 없이 에이전트들 간의 계층적 관심·데이터 교환을 통해 완전 분산 형태의 침입 탐지 시스템을 설계한다. 에이전트는 자체적으로 데이터를 수집·분석하고, 필요 시 상위 계층에 관심을 전파해 필요한 정보를 얻는다. 프로토타입 구현과 실험을 통해 확장성·내결함성·보안성에서 기존 시스템보다 우수함을 입증하였다.

상세 분석

이 논문은 기존 분산 침입 탐지 시스템(DIDS)이 여전히 중앙 분석 모듈에 의존함으로써 단일 장애점(single point of failure)과 데이터 정제 과정에서 발생할 수 있는 정보 손실 문제를 지적한다. 이를 해결하기 위해 저자는 완전 분산 아키텍처를 제안하는데, 핵심은 ‘자율적이고 협력적인 에이전트’이며, 이들은 계층적 구조(기본 에이전트→워크스테이션 코디네이터→도메인 코디네이터→엔터프라이즈 코디네이터) 안에서 ‘관심(interest)’이라는 메타데이터를 이용해 필요한 데이터만 선택적으로 교환한다.

에이전트의 주요 속성으로는 자율성, 사회성, 선제성, 반응성, 적응성 등이 정의되며, 특히 ‘관심’ 개념은 데이터 소스가 로컬에 없거나 다른 호스트에 분산된 경우에도 효율적인 데이터 요청·전달을 가능하게 한다. 관심은 로컬, 도메인, 엔터프라이즈 수준으로 구분되며, 전파된 관심은 전체 네트워크에 브로드캐스트되어 해당 데이터를 보유한 에이전트가 응답하도록 설계된다. 이 메커니즘은 불필요한 트래픽을 최소화하고, 새로운 공격 패턴에 대한 동적 대응을 가능하게 한다.

레지스트리 구조는 각 호스트에 ‘Agent Registry’와 ‘Interest Registry’를 두어 에이전트와 관심의 매핑을 관리한다. 워크스테이션 코디네이터(WCA)는 로컬 에이전트와 도메인 코디네이터(DC) 사이의 중계 역할을 수행하며, 관심이 로컬 수준이면 자체 레지스트리에서 매칭 에이전트를 찾아 데이터를 전달하고, 매칭이 없을 경우 상위 DC 혹은 엔터프라이즈 코디네이터(ECA)로 전파한다. DC는 도메인 내 모든 WCA와 연결되어 도메인 간 관심·데이터 흐름을 조정하고, ECA는 전체 도메인을 관장한다.

보안 측면에서는 JADE 기반의 에이전트 관리 시스템(AMS)을 활용해 인증·암호화된 메시지 교환을 구현하고, PKI 모델을 도입해 양방향 인증을 제공한다. 구현은 Java와 JADE를 이용한 프로토타입으로, 에이전트 간 통신은 동일 호스트에서는 공유 메모리, 서로 다른 호스트 간에는 JADE의 메시징 서비스를 사용한다. 실험 결과는 공격 시나리오(포트 스캔, 비정상 트래픽 등)에서 높은 탐지율과 낮은 오탐률을 보였으며, 에이전트 수가 증가해도 응답 시간과 네트워크 부하가 선형적으로 증가하는 점에서 확장성을 확인하였다.

전체적으로 이 시스템은 계층적 관심 전파와 로컬 분석을 결합함으로써 중앙 집중형 분석의 단점을 보완하고, 에이전트 간 능동적 협력을 통해 실시간·분산 침입 탐지를 구현한다는 점에서 학술적·실용적 의의가 크다.