은밀 채널과 행동 모델을 공격·방어하는 새로운 통계 기법

초록

이 논문은 k‑그램 통계만을 유지하면서 (k+1)‑차 통계는 의도적으로 설계할 수 있는 확률적 모델을 제시한다. 이를 통해 공격자는 k‑차 통계에 맞는 은밀 채널을 만들고, 방어자는 설계된 (k+1)‑차 통계를 삽입해 행동 변형을 감시한다. 결과적으로 통계 기반 탐지는 양측의 연산 자원에 따라 ‘무기 경쟁’이 된다.

상세 분석

본 연구는 네트워크 트래픽이나 시스템 로그와 같은 이산 시계열을 k‑그램(또는 k‑order) 통계로 모델링한 뒤, 동일한 k‑order 정규성을 유지하면서 (k+1)‑order 통계는 자유롭게 조정할 수 있는 확률적 결정적 유한 자동기(PDFA)를 구성하는 방법을 제시한다. 핵심 아이디어는 주어진 k‑gram 빈도에서 정규화된 전이 행렬 X를 찾는 것이며, 이 행렬은 선형 평등·부등식 제약을 만족해야 한다. 저자는 2‑order 예시를 통해 여러 가능한 X가 존재함을 보이고, 이를 이용해 첫 번째 차원(예: 0/1 비율)은 그대로 두고 두 번째 차원(예: 00,01,10,11 전이 확률)을 원하는 대로 설계할 수 있음을 증명한다.

이와 같은 “복잡화(complexification)”는 두 가지 실용적 활용을 가능하게 한다. 첫째, 공격자는 k‑order 통계에 맞는 은밀 채널 코드를 설계해 기존 트래픽과 구별되지 않게 정보를 전송한다. 저자는 엔트로피 보존과 소스 코딩(예: Huffman, 산술 코딩) 기법을 결합해 효율적인 코드를 구성하는 절차를 제시한다. 둘째, 방어자는 의도적으로 (k+1)‑order 통계를 삽입한 ‘레퍼런스 신호’를 트래픽에 섞어 두고, 관찰 측에서 해당 고차 통계가 변조되면 침입을 감지한다. 이는 기존의 1‑order 혹은 2‑order 기반 탐지 기법을 넘어서는 고차 통계 기반 탐지 체계를 제공한다.

또한 논문은 실제 패킷 인터‑arrival 시간 데이터를 이용해 13개의 지연 구간을 1‑order 확률 벡터 R로 정규화하고, 이를 만족하는 전이 행렬 P를 구하는 수치 예시를 제시한다. 이 과정에서 R·P = R와 P·1 = 1이라는 두 행렬 방정식을 동시에 만족시켜야 하며, 해는 무수히 존재한다는 점을 강조한다.

전체적으로 이 연구는 “통계적 무기 경쟁”이라는 관점을 제시한다. 공격자와 방어자 모두 더 높은 차수의 k‑gram을 학습·재현할 수 있는 계산 능력이 우위가 되며, 따라서 실무에서는 고차 통계 모델링, 대규모 샘플링, 그리고 효율적인 PDFA 구축을 위한 알고리즘 최적화가 핵심 과제로 떠오른다.