스마트 시티를 위한 실시간 다변량 네트워크 이상 탐지 센서

본 논문은 급격히 확대되는 사물인터넷(IoT) 디바이스와 스마트 시티 인프라에서 발생하는 보안 위협에 대응하기 위해, 다변량 통계 기반 네트워크 모니터링 기법인 MSNM(Multivariate Statistical Network Monitoring)을 실제 적용 가능한 센서 형태로 구현한 MSNM‑Sensor를 제안한다. 먼저, 저자는 현재 시장에 존재하는 IDS·SIEM 솔루션이 데이터 양·다양성·실시간 요구사항을 충분히 충족시키지 못한다는 문제점을 제시한다. 특히, 기존 솔루션은 로그·패킷·시그니처를 개별적으로 처리하거나, 대규모 데이터 전송으로 인해 네트워크 부하를 초래한다. 이를 해결하기 위해 MSNM‑Sensor는 네 가지 핵심 모듈(Information Source, Parsing & Fusion, Detection, Diagnosis)로 구성된다. **Information Source** 모듈은 로컬(LIS)과 원격(RIS) 데이터를 구분한다. 로컬 소스는 방화벽 로그, NetFlow, 호스트 syslog 등 다양한 형태의 데이터를 제공하며, 원격 소스는 다른 센서가 계산한 Q‑stat와 D‑stat 값을 전송한다. **Parsing & Fusion** 단계에서는 Feature‑as‑a‑Counter(FaaC) 기법을 적용해 모든 입력을 일정 시간 창에서 카운터 형태의 정량적 피처로 변환한다. FCParser 도구가 이를 자동화하며, 다중 소스의 피처를 순차적으로 이어 붙여 고차원 피처 벡터를 만든다. 이 과정은 데이터 이질성을 해소하고, 이후 PCA 적용을 위한 정규화된 입력을 제공한다. **Detection** 모듈은 PCA를 핵심 모델로 사용한다. 학습 단계에서 정상(NOC) 데이터를 이용해 공분산 행렬을 추정하고, 고유벡터를 통해 로딩 행렬 P와 스코어 행렬 T를 도출한다. 실시간 관측값은 로딩 행렬에 투사되어 스코어 t와 잔차 e를 얻으며, 이를 기반으로 Hotelling’s T²(D‑stat)와 SPE(Q‑stat) 통계량을 계산한다. 사전 정의된 Upper Control Limit(UCL)과 비교해 통계량이 초과하면 즉시 이상을 감지한다. 또한, EWMA 기반 재학습을 60분 주기로 수행해 트래픽의 주기적 변동에 적응한다. **Diagnosis** 단계에서는 oMEDA와 같은 기여도 분석 기법을 활용해 각 피처가 이상에 미친 영향을 정량화한다. 진단 결과는 로컬 센서뿐 아니라 원격 센서와도 공유되며, Diagnosis Routing Table(DRT)은 IP 라우팅 테이블과 유사하게 로컬·원격 진단 정보를 통합해 이상 원천을 빠르게 추적한다. 시스템 특성으로는 경량성(소수의 주성분만 사용해 CPU·메모리 부하 최소화), 확장성(플러그인 방식으로 새로운 데이터 소스 추가 가능), 프라이버시 보호(원본 로그 대신 카운터만 전송) 등을 강조한다. 실험에서는 계층형 네트워크 토폴로지를 구축하고, DoS, 포트 스캔, 데이터 유출 등 대표적인 공격 시나리오를 재현하였다. 결과는 평균 검출 지연 2~3초, 검출 정확도 95% 이상, 거짓 양성률 1% 미만을 보였으며, 기존 NIDS(예: Snort)와 비교해 다중 소스 융합과 통계 기반 진단이 보다 포괄적인 상황 인식을 가능하게 함을 입증했다. 결론적으로, MSNM‑Sensor는 다변량 통계 모델의 비지도 학습 특성과 피처 카운터화·융합 전략을 결합해, 대규모 IoT·스마트 시티 환경에서 실시간, 경량, 확장 가능한 보안 모니터링 솔루션을 제공한다. 향후 작업으로는 딥러닝 기반 모델과의 하이브리드, 클라우드·엣지 연동 강화, 그리고 보다 복잡한 공격 시나리오에 대한 평가가 제시된다.