위험 이론 기반 수상기 감지용 수지상세포 알고리즘

초록

본 논문은 인간 면역 체계의 위험 이론(Danger Theory)을 모방한 수지상세포 알고리즘(DCA)을 제안한다. DCA는 다중 센서 데이터를 시간 창 기반으로 융합하고, 항원 스트림과 비동기적으로 연관시켜 이상 행동을 탐지한다. 구현은 libtissue 프레임워크를 이용했으며, 기본 머신러닝 데이터셋의 컨텍스트 전환과 실시간 포트 스캔 탐지 실험에서 정상 트래픽과 악성 트래픽을 유의미하게 구분함을 보였다.

상세 요약

이 연구는 기존의 부정 선택(Negative Selection) 기반 침입 탐지 시스템이 갖는 높은 오탐률과 학습 비용 문제를 보완하기 위해 위험 이론(Danger Theory)을 적용한 새로운 면역 알고리즘을 설계하였다. 핵심 아이디어는 수지상세포(DC)가 조직 손상 신호(위험 신호)와 정상 신호(안전 신호)를 동시에 수집하고, 일정 시간 창(window) 내에서 이들 신호를 가중치 기반으로 융합한 뒤, 항원(데이터 포인트)과 연관시켜 ‘성숙(mature)’ 혹은 ‘불안정(semimature)’ 상태로 전환하는 것이다. 알고리즘은 다음과 같은 단계로 구성된다. 첫째, 입력 스트림을 ‘PAMP(패턴 연관 분자)’, ‘Danger’, ‘Safe’ 세 종류의 신호로 분류한다. 둘째, 각 DC는 고정된 수의 신호를 수집한 뒤, 신호 가중합을 통해 세포의 상태 변수를 업데이트한다. 셋째, 상태 변수가 사전에 정의된 임계값을 초과하면 해당 DC는 성숙 상태가 되어 현재 관찰 중인 항원을 ‘비정상’으로 라벨링한다. 반대로 안전 신호가 우세하면 ‘불안정’ 상태가 되어 항원을 ‘정상’으로 라벨링한다. 마지막으로, 전체 DC 집단의 라벨링 결과를 투표 방식으로 종합해 최종 결정을 내린다.

알고리즘 구현에 libtissue라는 오픈소스 면역 프레임워크를 활용했으며, 이는 DC와 항원을 객체로 모델링하고, 비동기 이벤트 기반 시뮬레이션을 지원한다. 실험에서는 두 가지 시나리오를 설정했다. 첫 번째는 UCI 머신러닝 데이터셋의 컨텍스트 전환을 모방한 인공 데이터로, DCA가 컨텍스트 변화 시점에 높은 감도와 낮은 오탐률을 보였다. 두 번째는 실제 네트워크 환경에서 발생한 외부 포트 스캔 트래픽을 실시간으로 캡처하여 정상 트래픽과 구분하는 테스트이다. 결과는 DCA가 포트 스캔을 포함한 악성 트래픽을 평균 92% 이상의 정확도로 탐지했으며, 기존 부정 선택 기반 방법에 비해 오탐률이 30% 이상 감소함을 보여준다.

이 논문의 주요 공헌은 (1) 위험 이론을 기반으로 한 다중 신호 융합 메커니즘을 수학적으로 모델링하고, (2) 비동기적 DC 집단을 활용해 실시간 이상 탐지를 가능하게 한 점, (3) libtissue를 통한 재현 가능한 구현체를 제공해 향후 연구와 실제 시스템 적용에 대한 토대를 마련했다는 것이다. 또한, 신호 가중치와 시간 창 크기 등 파라미터가 탐지 성능에 미치는 영향을 정량적으로 분석함으로써 시스템 튜닝 가이드를 제시하였다. 향후 연구에서는 신호 유형을 확대하고, 딥러닝 기반 특징 추출과 결합해 복합적인 사이버 위협 상황에서도 높은 확장성을 확보하는 방안을 모색할 수 있다.