신경망 기반 침입 탐지·예방 시스템의 VHDL 구현

초록

본 논문은 인공신경망(ANN)을 이용해 침입 탐지·예방 시스템(IDPS)을 설계하고, 이를 VHDL 코드로 변환하여 하드웨어 수준에서 실시간 공격 차단이 가능하도록 구현한다. 제안 모델은 네트워크 트래픽 특징을 학습해 정상·비정상을 구분하고, 탐지 결과에 따라 차단 명령을 생성한다. 실험 결과, ANN 기반 IDPS가 높은 탐지 정확도와 낮은 오탐률을 보였으며, VHDL 변환을 통해 FPGA 상에서 효율적인 구현이 가능함을 확인하였다.

상세 분석

본 연구는 세 가지 핵심 기술적 흐름을 통합한다. 첫째, 침입 탐지를 위한 피처 엔지니어링 단계에서 패킷 헤더와 플로우 통계 등 전통적인 IDS에서 사용되는 41개의 특징을 선택하고, 이를 정규화하여 ANN 입력으로 활용한다. 둘째, ANN 구조는 입력층(41노드), 은닉층(2층, 각각 20·10노드), 출력층(2노드)으로 구성되었으며, 활성화 함수로는 은닉층에 시그모이드, 출력층에 소프트맥스를 적용하였다. 학습은 백프로파게이션 알고리즘을 사용하고, KDD’99 데이터셋의 ‘train’와 ‘test’ 서브셋을 각각 70:30 비율로 분할하여 교차 검증을 수행하였다. 학습률은 0.01, 모멘텀은 0.9로 설정했으며, 에포크 수는 200으로 제한하였다. 실험 결과, 평균 정확도는 96.8%에 달했으며, 특히 DoS와 Probe 공격에 대한 탐지율이 98% 이상으로 높은 성능을 보였다.

셋째, 설계된 ANN을 하드웨어 기술 언어인 VHDL로 변환하는 과정에서 두 가지 주요 과제가 있었다. 첫째, 부동소수점 연산을 정수 기반 고정소수점으로 근사함으로써 연산 자원을 절감하고, FPGA의 DSP 블록 활용을 최적화하였다. 이를 위해 16비트 정밀도의 고정소수점 포맷을 채택하고, 가중치와 편향값을 사전 계산된 룩업 테이블(LUT) 형태로 저장하였다. 둘째, 실시간 패킷 흐름을 처리하기 위해 파이프라인 구조를 도입하였다. 입력 피처는 1클럭 사이클에 한 번씩 FIFO 버퍼에 적재되고, 각 은닉층과 출력층은 독립적인 파이프라인 스테이지로 구현되어 전체 지연을 5~7 클럭 사이클로 제한하였다.

VHDL 구현 결과, Xilinx Virtex‑7 FPGA 보드에서 최대 200 Mbps의 트래픽을 실시간으로 처리할 수 있었으며, 전력 소모는 3.2 W 수준에 머물렀다. 또한, 하드웨어 시뮬레이션과 실제 보드 테스트 모두 소프트웨어 모델과 99.5% 이상의 일치도를 보였으며, 이는 ANN의 연산 정확도가 하드웨어 구현에서도 유지됨을 의미한다.

하지만 몇 가지 한계점도 존재한다. 첫째, KDD’99 데이터셋은 오래된 베이스라인이며 최신 공격 패턴을 충분히 반영하지 못한다는 비판이 있다. 둘째, 고정소수점 근사 과정에서 발생할 수 있는 수치 오차가 극히 드물게 오탐을 유발할 가능성이 있다. 셋째, 현재 설계는 2개의 은닉층에 제한되어 있어 복잡한 비선형 관계를 완전히 포착하기엔 제한적일 수 있다. 향후 연구에서는 최신 CICIDS2017 등 최신 데이터셋을 활용하고, 심층 신경망(Deep NN) 구조와 가중치 압축 기법을 도입해 하드웨어 효율성을 더욱 향상시킬 필요가 있다.

전반적으로 본 논문은 ANN 기반 IDS를 VHDL로 구현함으로써 소프트웨어 기반 IDS가 갖는 지연과 자원 한계를 극복하고, FPGA와 같은 재구성 가능한 하드웨어 플랫폼에서 실시간 침입 방어가 가능함을 실증하였다. 이는 네트워크 보안 장비의 고성능·저전력 구현에 새로운 방향을 제시한다.