데이터 마이닝 기반 IDS 알림 분류 기법

초록

본 논문은 침입 탐지 시스템(IDS)에서 발생하는 다량의 경보 중 실제 위협을 나타내는 알림을 효과적으로 구분하기 위해 데이터 마이닝 기법을 적용한 새로운 분류 모델을 제안한다. 제안된 방법은 기존 시스템 대비 정확도를 97%에서 99%로 향상시켰으며, 특히 오탐(False Positive) 비율을 크게 감소시켜 운영 효율성을 높인다. 실험은 공개된 KDD Cup 1999 데이터와 실제 네트워크 트래픽 로그를 이용해 수행되었으며, 결과는 제안 기법이 실시간 환경에서도 적용 가능함을 입증한다.

상세 분석

논문은 먼저 IDS가 생성하는 알림이 과도하게 많아 보안 담당자가 실제 위협을 식별하기 어려운 현상을 문제 제기로 제시한다. 기존 연구에서는 시그니처 기반 필터링이나 간단한 통계적 방법을 사용했으나, 복잡한 공격 패턴을 포착하는 데 한계가 있었다. 이를 극복하기 위해 저자들은 데이터 마이닝 중에서도 특히 연관 규칙 학습과 의사결정 트리(Decision Tree)를 결합한 하이브리드 모델을 설계하였다. 데이터 전처리 단계에서는 알림 로그의 속성을 정규화하고, 불필요한 잡음 데이터를 제거하기 위해 차원 축소 기법인 PCA를 적용하였다. 이후 연관 규칙 학습을 통해 알림 간의 상관관계를 도출하고, 도출된 규칙을 의사결정 트리의 분할 기준으로 활용함으로써 트리의 깊이를 얕게 유지하면서도 높은 분류 정확도를 달성하였다. 모델 학습에는 10‑fold 교차 검증을 적용해 과적합을 방지했으며, 성능 평가는 정확도(Accuracy), 정밀도(Precision), 재현율(Recall), F1‑Score 등 다중 지표를 사용하였다. 실험 결과, 제안 모델은 기존의 단일 의사결정 트리나 Naïve Bayes 기반 시스템에 비해 평균 정확도가 2%p 상승했으며, 특히 오탐률이 15%에서 5% 이하로 크게 감소하였다. 또한, 실시간 처리 능력을 검증하기 위해 초당 10,000건 이상의 알림을 처리하는 스트리밍 환경에서 테스트했을 때, 평균 지연 시간이 30ms 이하로 유지되어 실무 적용 가능성을 입증하였다. 논문은 이러한 결과를 바탕으로 데이터 마이닝 기법이 IDS 알림 관리에 있어 효과적인 도구가 될 수 있음을 강조하고, 향후 딥러닝 기반의 시계열 분석과 결합한 다중 모듈 시스템 구축 방향을 제시한다.