무선 센서 네트워크를 위한 보안 이벤트 트리거 분산 칼만 필터

**1. 서론 및 연구 배경** 사이버‑물리 시스템(CPS)은 센서·통신·제어가 결합된 복합 구조로, 무선 센서 네트워크(WSN)는 이러한 CPS의 핵심 구현 형태이다. 에너지와 대역폭 제약으로 인해 센서 간의 지속적인 전송은 비현실적이며, 따라서 **이벤트‑트리거** 방식을 도입해 상태 추정 정확도와 통신 비용 사이의 균형을 맞춘다. 그러나 이벤트‑트리거 메커니즘 자체가 공격자에게 새로운 공격 표면을 제공한다는 점을 간과해 왔다. **2. 관련 연구** 시간‑트리거형 분산 칼만 필터(DKF)와 그 보안 강화 연구가 다수 존재하지만, 이벤트‑트리거 환경에서의 **위조 공격**(false data injection)이나 **서비스 거부 공격**(DoS) 등에 대한 체계적 분석은 부족했다. 기존 탐지 기법은 공격 신호를 가우시안으로 가정하거나, 단순 잔차 기반 임계값 검출에 머물렀다. **3. 주요 기여** - **공격 분석**: 비트리거와 연속‑트리거 두 종류의 공격을 수학적으로 모델링하고, 네트워크 연결성·집합 관측가능성에 미치는 영향을 정량화하였다. - **공격 탐지**: KL‑다이버전스를 k‑NN으로 비모수 추정해, 공격 신호의 분포 가정 없이 실시간 탐지를 구현하였다. - **공격 완화**: 메타‑베이즈 기반 신뢰·신임 프레임워크를 도입해, 각 센서가 자신의 1차 추정에 대한 확신도(confidence)와 이웃에 대한 신뢰도(trust)를 계산·전파하고, 이를 posterior 업데이트에 반영한다. **4. 시스템 모델** 프로세스는 선형 가우시안 동역학 x(k+1)=Ax(k)+w(k) 와 각 센서 i의 측정 y_i(k)=C_i x(k)+v_i(k) 으로 정의된다. 프로세스·측정 잡음은 i.i.d. 가우시안이며, 초기 상태는 정규분포를 따른다. 그래프 G=(V,E) 는 무방향이며, 각 노드 i는 이웃 N_i 와 정보를 교환한다. **5. 이벤트‑트리거 DKF** 센서는 예측 오차 ‖y_i(k)−C_i \tilde{x}_i(k−1)‖ 가 사전 임계값 α 보다 클 때만 ζ_i(k)=1 로 전송한다. 예측 상태 \tilde{x}_i(k) 는 ζ_i(k) 에 따라 현재 prior \bar{x}_i(k) 또는 이전 예측 A \tilde{x}_i(k−1) 중 하나를 선택한다. posterior 업데이트식은 (5)와 (12)‑(13)에 명시된 바와 같이 혁신항과 이웃 합의항을 포함한다. **6. 공격 모델링** - *비트리거 공격*: 공격자는 센서의 측정값을 조작해 ‖·‖ 조건을 항상 만족시켜 ζ_i(k)=0 로 만든다. 결과적으로 해당 노드와 연결된 에지들이 실질적으로 끊어져, 서브그래프 G\W 의 관측가능성이 파괴된다. - *연속‑트리거 공격*: 측정값에 지속적인 교란을 가해 ‖·‖ 조건을 항상 위반시켜 ζ_i(k)=1 이 연속 발생한다. 이는 통신량을 급증시키고, 배터리 소모와 네트워크 혼잡을 초래한다. **7. 공격 탐지 메커니즘** 잔차 r_i(k)=y_i(k)−C_i \bar{x}_i(k) 의 실제 분포와 정상 상황에서 기대되는 공분산 Ω_i(k) 를 기반으로 KL‑다이버전스 D_{KL}(p‖q) 를 추정한다. 여기서 p는 관측된 잔차 샘플의 경험적 분포, q는 정상 모델에 의해 정의된 가우시안 분포이다. k‑NN 방법을 이용해 비모수적으로 D_{KL}을 계산하고, 사전 정의된 임계값 τ 을 초과하면 해당 센서는 ‘공격 감지’ 상태가 된다. **8. 메타‑베이즈 기반 완화** 각 센서는 자신의 posterior \hat{x}_i(k) 에 대한 **신뢰** c_i(k) 를 c_i(k)=f\bigl(‖r_i(k)‖, D_{KL,i}(k)\bigr) 와 같이 정의하고, 이 값을 이웃에게 전송한다. 이웃 j는 수신한 c_j(k) 와 자신의 **신임** t_{ij}(k) 를 t_{ij}(k)=g\bigl(c_j(k), \text{과거 신뢰 히스토리}\bigr) 로 업데이트한다. 최종 posterior 업데이트는 \hat{x}_i(k)=\bar{x}_i(k)+c_i(k)K_i(k)r_i(k)+\gamma_i\sum_{j\in N_i}t_{ij}(k)\bigl(\tilde{x}_j(k)-\tilde{x}_i(k)\bigr) 와 같이 가중치가 적용된다. 신뢰·신임이 낮은 정보는 자동으로 억제되므로, 위조된 데이터가 필터에 미치는 영향을 확률적으로 최소화한다. **9. 이론적 분석** - 비트리거 공격 시, 서브그래프 G\W 가 (A, C_S) 관측가능성을 만족하지 않으면, 모든 i∈V에 대해 추정 오차가 유계가 아니게 된다(정리 1). - 연속‑트리거 공격에 대한 통신 비용 상한은 ∑_{k}∑_{i}ζ_i(k) ≤ K·|E| 이며, K가 커질수록 필터 수렴 속도가 감소한다(정리 2). - KL‑다이버전스 검출기의 수렴성은 k‑NN 추정기의 편향 O(N^{-1/d})와 분산 O(N^{-1})에 의해 보장되며, 임계값 τ 선택은 허위 양성률 α_{FA}와 허위 음성률 β_{FN}을 만족하도록 설계된다(정리 3). - 메타‑베이즈 보정은 신뢰·신임이 0 ≤ c_i, t_{ij} ≤ 1 범위에 있을 때, 전체 평균 제곱오차(MSE)가 정상 상황 대비 ≤ (1−ρ) 배가 되도록 하는 ρ > 0을 존재함을 보인다(정리 4). **10. 시뮬레이션** 10개의 센서와 2차 선형 시스템을 대상으로, 비트리거·연속‑트리거 각각 30 % 노드에 적용하였다. 비트리거 공격만 적용했을 때, 기존 이벤트‑트리거 DKF는 MSE가 급격히 상승하고, 네트워크 연결성이 40 % 감소한다. 제안 메타‑베이즈 보정은 MSE를 2배 이하로 억제하고, 연결성 손실을 10 % 미만으로 제한한다. 연속‑트리거 상황에서도 통신량이 3배 증가하는데, 신뢰·신임 가중치 적용 후에는 실제 전송량이 1.2배 수준으로 감소한다. **11. 결론 및 향후 연구** 본 연구는 이벤트‑트리거 DKF가 직면한 새로운 공격 벡터를 명확히 규정하고, 비가우시안 탐지와 메타‑베이즈 보정을 결합한 통합 방안을 제시한다. 향후 연구에서는 비선형 시스템, 비동기 트리거, 그리고 다중 공격(DoS + 위조) 복합 상황에 대한 확장과, 실험적 WSN 플랫폼에서의 구현을 목표로 한다.