인공 면역 시스템과 셀프오가나이징 맵을 결합한 네트워크 침입 탐지

초록

본 논문은 정상 트래픽만으로 학습한 인공 면역 시스템(AIS)으로 이상 연결을 탐지하고, 탐지된 이상을 Kohonen 자기조직화 지도(SOM)으로 군집화해 공격 유형을 고차원 정보로 제공한다. KDD‑99 데이터셋 실험에서 낮은 오탐률과 함께 DoS·U2R 공격에 대한 높은 탐지·분류 성능을 입증한다.

상세 분석

이 연구는 두 가지 기존 침입 탐지 패러다임의 장점을 융합한다. 첫 단계에서는 인공 면역 시스템을 이용해 비정상 트래픽을 탐지한다. AIS는 부정선택(negative selection)과 클론선택(clonal selection) 메커니즘을 변형하여, 정상 연결만을 사용해 ‘디텍터’를 생성한다. 디텍터는 41개의 KDD‑99 특성을 이진·실수형으로 인코딩한 벡터 형태이며, 유사도 측정은 Hamming 거리와 유클리드 거리의 가중합으로 정의한다. 디텍터는 일정 임계값 이하의 유사도를 보이는 정상 샘플에 대해 억제되고, 그 외의 샘플에 대해 반응한다. 이 과정은 높은 탐지율을 유지하면서도 정상 트래픽에 대한 과잉 반응을 최소화한다는 장점을 가진다.

두 번째 단계에서는 AIS가 플래그한 이상 연결을 Kohonen SOM에 입력한다. SOM은 2차원 격자(예: 10×10) 위에 뉴런을 배치하고, 학습 단계에서 공격 유형별 라벨이 부착된 샘플을 사용해 지도 자체를 조직화한다. 학습률과 이웃 함수는 초기값에서 점진적으로 감소하도록 설계되어, 서로 유사한 공격 패턴이 인접한 뉴런에 매핑되도록 한다. 결과적으로 각 뉴런은 특정 공격 군집(DoS, Probe, R2L, U2R 등)을 대표하게 되며, 새로운 이상 트래픽이 어느 뉴런에 매핑되는가에 따라 고차원적인 ‘공격 유형’ 정보를 제공한다.

실험은 KDD‑99 데이터셋의 표준 훈련/테스트 분할을 그대로 사용하였다. 정상 트래픽만으로 AIS 디텍터를 학습시킨 뒤, 테스트 세트 전체에 적용해 이상 여부를 판단한다. 이후 이상으로 판정된 샘플을 SOM에 투입해 군집 라벨을 추정한다. 주요 성능 지표는 탐지율(Detection Rate), 오탐률(False Positive Rate), 그리고 군집 기반 분류 정확도(Classification Accuracy)이다. 결과는 다음과 같다. DoS와 U2R 공격에 대해 96 % 이상의 탐지율과 1 % 이하의 오탐률을 기록했으며, 특히 U2R와 같이 희귀한 공격에 대해서도 기존 연구 대비 5~10 % 정도 높은 분류 정확도를 보였다. 이는 AIS가 높은 민감도를 제공하고, SOM이 그 민감도를 의미 있는 공격 카테고리로 정제해 주기 때문으로 해석된다.

또한, 본 논문은 동일 데이터셋을 사용한 여러 기존 방법(예: 순수 AIS, 순수 SOM, SVM 기반 혼합 모델 등)과 비교했을 때, 전체 평균 오탐률이 0.8 % 수준으로 가장 낮으며, 특히 DoS와 U2R에서의 종합 성능이 가장 우수함을 보고한다. 계산 복잡도 측면에서는 디텍터 생성 단계가 O(N·D) (N: 디텍터 수, D: 특성 차원)이며, 실시간 탐지 단계는 디텍터와 입력 샘플 간 거리 계산만으로 구성돼 빠른 응답성을 확보한다. SOM 학습은 오프라인에서 수행되므로 실시간 시스템에 큰 부하를 주지 않는다.

한계점으로는 R2L 및 Probe 공격에 대한 분류 정확도가 상대적으로 낮으며, 이는 해당 공격이 정상 트래픽과 특성 공간에서 크게 겹치는 경향이 있기 때문이다. 또한, 디텍터 수와 SOM 격자 크기 선택이 성능에 민감하게 작용함을 실험을 통해 확인했으며, 최적 파라미터 탐색이 필요하다. 향후 연구에서는 다중 레이어 SOM 혹은 딥러닝 기반 클러스터링을 도입해 미세한 공격 변이를 포착하고, 온라인 적응 메커니즘을 추가해 지속적인 환경 변화에 대응하는 방안을 모색한다.