숨겨진 네트워크 탐지를 위한 최적 이론과 실천

논문은 먼저 네트워크 탐지를 그래프 분할(Graph Partitioning, GP) 문제의 특수 형태로 정의한다. 여기서 목표는 거대한 배경 그래프 안에 숨겨진 작은 서브그래프, 즉 위협 네트워크의 구성원을 정확히 식별하는 것이다. 기존 연구에서는 커뮤니티 탐지, 정규화된 컷, 최대 흐름, 퍼스널라이즈드 페이지랭크(PPR) 등 다양한 연결성 기반 방법이 제안되었으며, 대부분은 그래프 라플라시안의 스펙트럼 특성을 이용해 전역적인 최적화를 수행한다. 저자는 이러한 스펙트럼 기반 접근법을 ‘예측 기반’이라 부르고, 라플라시안 행렬 \(L=I-D^{-1/2}AD^{-1/2}\) 또는 비대칭 라플라시안 \(\mathcal{L}=I-D^{-1}A\) 의 고유값·고유벡터를 통해 최소 컷, 정규화 전도도, 랜덤 워크 등 다양한 목적 함수를 최소화한다. 그러나 이러한 방법은 탐지 확률을 직접적인 목표로 삼지 않으며, 특히 위협 서브그래프가 희소하고 동적으로 활성화될 때 성능이 급격히 저하된다. 이에 대비해 논문은 베이지안 프레임워크를 도입한다. 사전 확률 \(p_i\) 와 관측된 엣지 활성화 \(y_{ij}\) 를 이용해 각 정점이 위협에 속할 사후 확률을 계산하고, 로그우도비 \(\Lambda = \log\frac{p(\mathbf{y}|H_1)}{p(\mathbf{y}|H_0)}\) 를 임계값과 비교하는 Neyman‑Pearson 검정기를 설계한다. 핵심은 라플라시안 방정식 \(\mathcal{L}v=0\) 에 경계조건을 부여해 위협 노드에 높은 ‘전파 강도’를 할당하고, 나머지 정점에서는 조화함수 해를 구함으로써 위협 확산을 수치적으로 모델링한다. 이 과정을 ‘공간‑시간 위협 전파(Space‑Time Threat Propagation, STTP)’라 명명하고, 알고리즘적으로는 선형 시스템 \((I-D^{-1}A)v = b\) 을 풀어 각 정점의 위협 점수를 얻는다. 저자는 이 검정기가 고정된 허위 경보율(FA) 하에서 탐지 확률(PD)을 최대화함을 정리와 증명을 통해 보여준다. 또한, 은밀한 네트워크의 현실적인 특성을 반영하기 위해 혼합 멤버십 스토캐스틱 블록 모델(Mixed‑Membership SBM)을 제안한다. 여기서는 배경 그래프가 여러 ‘중립’ 커뮤니티로 구성되고, 위협 서브그래프는 특정 멤버십 비율을 가진 셀들로 이루어진다. 모델은 시간에 따라 엣지 활성화 확률이 변하는 동적 특성을 포함하며, 파라미터 \(p_{in}, p_{out}\) 등을 통해 셀 간 협조 정도를 조절한다. 이 모델을 기반으로 Monte Carlo 시뮬레이션을 수행해 STTP와 전통적인 스펙트럼 기반 커뮤니티 탐지(예: 정규화 컷, PPR, 라플라시안 기반 클러스터링)의 ROC 곡선을 비교한다. 실험 결과, STTP는 특히 \(p_{in}\) 가 낮고 \(p_{out}\) 가 높은 경우, 즉 위협 네트워크가 드물게 연결되고 배경과 혼합되는 상황에서 높은 탐지율과 낮은 위양성률을 유지한다. 반면 스펙트럼 방법은 연결성이 강한 클러스터를 잘 찾지만, 희소한 위협 서브그래프를 놓치는 경향이 있다. 마지막으로 논문은 실용적인 적용 가능성을 논의한다. ISR(Information, Surveillance, Reconnaissance) 센서, 와이드‑에어리어 모션 이미지(WAMI) 등에서 얻은 실시간 관측 데이터를 사전 정보와 결합해 STTP를 실행하면, 동적인 위협 전파를 실시간으로 추적할 수 있다. 또한, 라플라시안 기반 해가 선형 시스템 형태이므로 대규모 그래프에도 효율적인 수치 해법(예: Conjugate Gradient)으로 적용 가능하다. 결론적으로, 네트워크 탐지는 단순히 그래프를 분할하는 문제가 아니라, 탐지 확률을 최적화하는 베이지안 문제이며, 공간‑시간 위협 전파는 이론적 최적성을 보장하면서 실시간 적용성을 갖춘 실용적인 솔루션임을 입증한다.