IoV 침입 탐지를 위한 머신러닝 기반 CAN 버스 이상 탐지

초록

**
본 연구는 CICIoV2024 벤치마크 데이터를 활용해 차량 내부 CAN 버스 트래픽을 다중 클래스 형태로 분류하는 머신러닝 기반 침입 탐지 시스템을 설계·분석한다. 데이터는 정상 트래픽과 DoS, 가스·RPM·속도·조향 휠 스푸핑 등 5가지 공격 유형으로 구성되며, 클래스 불균형·중복 데이터 문제를 사전 처리한다. PCA, LDA, ANOVA 등 세 가지 차원 축소·특징 선택 기법을 비교하고, 기존 문헌에서 보고된 과도한 성능(완벽한 정확도)과 실제 적용 시 과적합 위험을 비판적으로 검토한다.

**

상세 분석

**
이 논문은 IoV 환경에서 가장 핵심적인 통신 매개체인 CAN 버스의 보안 취약점을 머신러닝으로 해결하고자 하는 시도를 체계적으로 정리한다. 먼저 데이터셋(CICIoV2024)은 1,408,219개의 레코드와 12개의 피처(ID와 8개의 데이터 바이트, 라벨 등)로 구성되며, 정상 트래픽이 86.9%를 차지하고 공격 트래픽이 13.1%에 불과한 심각한 클래스 불균형을 보인다. 특히 DoS 공격은 특정 CAN ID(291) 하나에 집중돼 있어 단순 규칙 기반 탐지에도 높은 탐지율을 기대할 수 있지만, 스푸핑 공격은 ID 513, 476, 128, 344 등 네 개에 분산돼 있어 보다 정교한 특징 추출이 필요하다.

데이터 전처리 단계에서 저자는 중복 레코드가 99.7%에 달한다는 점을 발견하고, 이를 제거함으로써 시간적 연속성을 유지하면서도 모델이 동일한 샘플을 과도하게 학습하는 것을 방지한다. 또한 결측값이 없으며, 문자열 라벨에 존재할 수 있는 공백을 정규화해 라벨 일관성을 확보한다. 이러한 세심한 전처리는 이후 모델 학습 시 데이터 누수와 과적합을 최소화하는 데 필수적이다.

특징 분석에서는 상관 행렬을 통해 D_A_T_A3와 D_A_T_A5(0.86), D_A_T_A3와 D_A_T_A7(0.72) 사이에 높은 다중공선성이 존재함을 확인한다. 이는 동일한 차량 파라미터(예: 엔진 회전수와 가스 페달 위치)가 여러 바이트에 걸쳐 표현된 결과로 해석될 수 있다. 따라서 차원 축소 기법을 적용할 때 이러한 상관성을 고려해야 한다.

저자는 세 가지 차원 축소·특징 선택 방법을 비교한다. PCA는 라벨 정보를 무시하고 전체 분산의 95%를 7개의 주성분에 압축하지만, 새로운 축이 원래 피처와의 의미적 연결을 잃어 해석이 어렵다. LDA는 라벨을 활용해 클래스 간 평균 거리를 최대화하고 클래스 내 분산을 최소화해 4개의 선형 판별축으로 압축한다. 결과적으로 LDA가 가장 적은 차원에서도 클래스 구분을 명확히 보여준다. 마지막으로 ANOVA F‑value 기반 선택은 ID와 D_A_T_A0~2, D_A_T_A6 등 5개의 원본 피처를 그대로 유지하면서 가장 높은 통계적 차이를 보이는 피처를 선정한다. 이 방법은 모델 해석성을 크게 향상시킨다.

문헌 검토에서는 기존 연구들이 CICIoV2024 데이터에 대해 1.0에 가까운 정밀도·재현율을 보고했지만, 이는 데이터 샘플링(언더/오버샘플링)이나 레이블 누수, 혹은 과도한 모델 복잡도(히스토그램 그라디언트 부스팅, XGBoost)로 인한 결과일 가능성이 높다고 지적한다. 특히 딥러닝 기반 모델이 99.8% 이상의 정확도를 달성했을 때는 과적합을 의심해야 하며, 실제 차량 환경에서의 일반화 능력을 검증하기 위한 적대적 테스트가 필요하다.

또한 논문은 엣지 디바이스의 연산·메모리 제약을 강조한다. 고성능 DNN이나 대규모 앙상블 모델은 차량 내 실시간 IDS로 적용하기 어려우며, 대신 경량화된 트리 기반 모델이나 연합 학습·블록체인 기반 분산 검증 체계가 실용적일 수 있음을 제안한다. 전반적으로 이 연구는 데이터 전처리, 피처 엔지니어링, 차원 축소 선택, 그리고 모델 평가에 이르는 전 과정을 체계적으로 제시함으로써 향후 IoV IDS 연구가 실제 운용 환경에 맞는 견고한 파이프라인을 구축하도록 가이드한다.

**