특권 정보 활용 원클래스 SVM으로 악성코드 탐지 혁신

본 논문은 이상 탐지(anomaly detection) 문제를 원클래스 분류 기법으로 접근하면서, 학습 단계에서만 이용 가능한 특권 정보(Privileged Information, PI)를 효과적으로 활용하는 새로운 프레임워크를 제시한다. 기존의 원클래스 SVM(One‑Class SVM)과 SVDD(Support Vector Data Description)는 정상(‘normal’) 데이터의 경계 혹은 구형 영역을 정의하고, 테스트 시 해당 영역 밖에 있는 샘플을 이상으로 판단한다. 이러한 방법들은 훈련 데이터만을 이용해 경계를 학습하기 때문에, 학습에만 존재하는 추가적인 메타 정보가 있더라도 활용하지 못한다는 한계가 있다. 논문은 이러한 한계를 극복하기 위해 슬랙 변수 ξ_i 를 특권 특징 공간의 선형 모델로 표현한다. 구체적으로 ξ_i = (φ⁎(x_i⁎)·w⁎) + b⁎ 로 두고, 여기서 x_i⁎ 은 특권 정보, φ⁎는 특권 특징 공간의 매핑, w⁎와 b⁎는 해당 공간의 가중치와 편향이다(식 4). 이 모델링은 Vapnik이 제안한 SVM+ 개념을 원클래스 설정에 적용한 것으로, 특권 정보가 정상 경계의 위치를 보다 정확히 추정하도록 돕는다. 원클래스 SVM+의 최적화 문제는 다음과 같다. \