분산 SDN을 위한 포트 수준 모니터링 기반 무학습 DDoS 탐지 및 차단

초록

본 논문은 분산형 소프트웨어 정의 네트워크(dSDN) 환경에서 포트 수준 트래픽 통계를 활용하고, 프롬프트 엔지니어링과 인‑컨텍스트 학습을 결합한 DeepSeek‑v3 대형 언어 모델을 이용해 별도 파인튜닝 없이 DDoS 공격을 실시간으로 분류한다. 이상이 감지되면 공격자 포트에서 직접 차단하고, 공격 종료 후 자동 복구 메커니즘을 통해 정상 서비스를 복구한다. 실험 결과 99.99% 정확도와 1.0 AUC를 달성해 높은 검출 효율을 입증한다.

상세 요약

이 연구는 기존 중앙집중식 SDN이 컨트롤러 단일 장애점과 확장성 한계에 직면한 문제를 해결하기 위해, 다중 로컬 컨트롤러가 협업하는 분산 SDN(dSDN) 구조를 전제로 한다. dSDN은 각 로컬 컨트롤러가 자신이 담당하는 스위치와 포트의 흐름 통계를 실시간으로 수집하도록 설계되었으며, 이러한 포트‑레벨 메트릭은 CPU·메모리 부하가 적은 경량 데이터이다. 논문은 이러한 통계 데이터를 LLM에 입력하기 위한 프롬프트 템플릿을 정교화하였다. 프롬프트는 “포트 번호, 입·출력 바이트, 패킷 수, 평균 패킷 크기, 시간 윈도우”와 같은 정형화된 항목을 나열하고, “이 데이터가 정상 트래픽인지 DDoS 공격인지 판단하라”는 질문을 포함한다.

핵심 아이디어는 사전 학습된 대형 언어 모델인 DeepSeek‑v3를 “제로‑트레이닝” 방식으로 활용한다는 점이다. 기존 머신러닝 기반 DDoS 탐지는 대규모 라벨링 데이터와 모델 재학습이 필요하지만, 여기서는 LLM이 이미 학습한 일반화된 패턴 인식 능력을 인‑컨텍스트 학습으로 전이한다. 즉, 몇 개의 정상·악성 샘플을 프롬프트에 삽입함으로써 모델이 즉시 분류 기준을 형성한다. 이 접근법은 모델 파라미터를 변경하지 않으므로 배포 비용이 낮고, 새로운 공격 변종에도 빠르게 대응할 수 있다.

탐지 파이프라인은 다음과 같이 구성된다. 1) 각 로컬 컨트롤러는 일정 시간 간격(예: 1초)으로 포트‑레벨 통계를 수집한다. 2) 수집된 메트릭은 중앙 로그 서버가 아닌 인접한 엣지 서버에 전송되어 프롬프트와 결합된다. 3) DeepSeek‑v3 API 호출을 통해 실시간 추론이 수행되고, 출력은 “benign” 또는 “malicious” 라벨과 신뢰도 점수로 반환된다. 4) 악성으로 판단된 포트에 대해 해당 로컬 컨트롤러는 OpenFlow 규칙을 삽입해 해당 포트에서 들어오는 모든 트래픽을 드롭한다. 5) 차단된 포트는 일정 비활동 기간(예: 30초) 동안 모니터링되며, 트래픽이 정상 수준으로 회복되면 자동으로 차단 규칙을 해제한다.

실험 설계는 다양한 DDoS 공격 유형(UDP 플러드, SYN 플러드, HTTP GET 플러드, 반사 공격 등)과 정상 트래픽 시나리오를 포함한다. 테스트베드로는 Mininet 기반 가상 네트워크와 실제 OpenFlow 스위치를 혼합해 dSDN 토폴로지를 구현했으며, 10개의 로컬 컨트롤러와 50개의 스위치가 배치되었다. 각 공격은 5분간 지속되었고, 포트‑레벨 메트릭은 0.5초 간격으로 수집되었다. 결과는 정확도 99.99%, 정밀도 99.97%, 재현율 100%, F1 99.98%, AUC 1.0을 기록했다. 특히, 기존 머신러닝 기반 IDS와 비교했을 때 탐지 지연이 150ms 이하로 크게 감소했으며, 컨트롤러 CPU 사용률은 3% 미만으로 유지돼 시스템 부하가 최소화되었다.

이 논문의 주요 기여는 (1) 포트‑레벨 경량 메트릭만으로도 고성능 DDoS 탐지가 가능함을 증명, (2) 대형 언어 모델을 파라미터 업데이트 없이 인‑컨텍스트 학습으로 활용하는 새로운 보안 패러다임 제시, (3) 공격자 포트에서 직접 차단함으로써 네트워크 전반에 미치는 영향을 최소화하고, (4) 자동 복구 메커니즘을 통해 서비스 가용성을 보장한다는 점이다. 다만, LLM 호출 비용과 외부 API 의존성, 프롬프트 설계의 민감도 등 실운영 적용 시 고려해야 할 과제도 남아 있다.