머신러닝 기반 침입탐지 시스템 성능 비교 연구

초록

본 논문은 KDD 데이터셋을 활용해 J48, 랜덤 포레스트, 랜덤 트리, 결정표, MLP, 나이브 베이즈, 베이즈 네트워크 등 7가지 머신러닝 분류기의 침입탐지 성능을 평가한다. 주요 평가지표는 정확도, 평균 정확도, 그리고 특히 오탐(false positive)과 누락(false negative) 비율이다. 실험 결과, 결정표 분류기가 가장 낮은 false negative 값을 보였으며, 랜덤 포레스트가 전체 평균 정확도에서 최고점을 기록했다.

상세 분석

이 연구는 KDD 99 데이터셋을 기반으로 다중 분류기 성능을 비교했지만, 몇 가지 한계가 눈에 띈다. 첫째, 데이터 전처리 과정이 상세히 기술되지 않아 결측치 처리, 범주형 변수 인코딩, 정규화 방식 등이 불명확하다. 둘째, 실험에 사용된 샘플 수가 1,487 개에 불과해 원본 4,898,431 레코드 대비 극히 작은 비율이며, 이는 모델 일반화 능력을 과대평가하거나 과소평가할 위험을 내포한다. 셋째, 불균형 데이터(DoS 79 % 대비 정상 19 % 등)에도 불구하고 클래스 가중치 조정이나 오버샘플링 기법을 적용하지 않아, 높은 정확도가 실제로는 다수 클래스에 편향된 결과일 가능성이 있다. 넷째, 평가 지표가 정확도와 false positive/negative 비율에 국한돼 있으며, 정밀도·재현율·F1‑score·ROC‑AUC와 같은 종합 지표가 누락돼 있다. 다섯째, 교차 검증(k‑fold)이나 반복 실험을 통한 통계적 유의성 검증이 없으므로, 결과의 신뢰도가 낮다. 여섯째, 최신 IDS 연구에서는 네트워크 트래픽 흐름 기반 특성, 딥러닝 모델, 그리고 실시간 스트리밍 환경을 고려하지만, 본 논문은 전통적인 고정형 특성(41개)과 전통적인 분류기에만 초점을 맞추어 최신 동향과의 연계성이 부족하다. 마지막으로, 논문 전반에 걸쳐 오탈자와 문법 오류가 다수 존재해 가독성을 저해한다. 이러한 점들을 보완한다면, KDD 데이터셋을 활용한 비교 연구가 보다 설득력 있게 될 것이다.