연합 경량 트랜스포머 기반 CAN 버스 실시간 침입 탐지 시스템

초록

FedLiTeCAN은 두 층 인코더‑전용 트랜스포머를 활용한 연합 학습 프레임워크로, CAN 버스 트래픽을 실시간으로 감시한다. 모델 크기 0.4 MB, Jetson Nano에서 0.608 ms의 초당 메시지 탐지 속도를 달성했으며, Car Hacking·Survival Analysis 데이터셋에서 98.5 % 이상의 정확도와 교차 데이터셋 테스트에서 99.996 %의 검출률을 기록한다. 경량·고속·연합 학습을 동시에 만족하는 실용적인 차량용 IDS로 평가된다.

상세 분석

FedLiTeCAN 논문은 현재 차량용 CAN 네트워크 보안 분야에서 가장 시급한 다섯 가지 요구사항—경량성, 실시간 응답성, 제한된 임베디드 환경 적합성, 미지 공격에 대한 일반화 능력, 그리고 연합 학습 기반 협업 모델 학습—을 동시에 충족시키려는 시도로 눈에 띈다.

첫째, 모델 아키텍처는 “두‑층 인코더‑전용 트랜스포머”를 채택했는데, 이는 기존의 CNN·RNN 기반 IDS 대비 파라미터 수와 연산량을 크게 줄이면서도 시퀀스 데이터의 장기 의존성을 효과적으로 포착한다는 장점을 갖는다. 특히, 토큰화 단계에서 CAN 프레임의 ID, DLC, 데이터 바이트 등을 고정 길이 임베딩으로 변환하고, 포지셔널 인코딩을 최소화해 메모리 사용량을 0.4 MB 수준으로 압축했다.

둘째, 연합 학습(Federated Learning) 환경을 설계함으로써 차량 개별 데이터가 로컬에 머무르게 하고, 중앙 서버에는 모델 파라미터만 전송한다. 이는 개인정보 보호와 네트워크 대역폭 절감이라는 두 마리 토끼를 잡는다. 논문에서는 FedAvg 알고리즘을 기반으로 클라이언트(차량)마다 5 epoch씩 로컬 학습 후 파라미터를 평균화하는 방식을 사용했으며, 통신 비용을 최소화하기 위해 32‑bit 부동소수점 대신 8‑bit 양자화된 가중치를 전송한다.

셋째, 실험에서는 두 개의 대표적인 공개 데이터셋인 Car Hacking Dataset(다양한 DoS, Fuzzy, Replay 공격 포함)과 Survival Analysis Dataset(시간‑연속적인 공격 라벨링)에서 98.5 % 이상의 정확도와 0.99 이상의 F1‑score를 기록했다. 특히, 교차 데이터셋 평가에서 한 데이터셋으로 학습한 모델이 다른 데이터셋의 미지 공격을 99.996 % 정확도로 탐지했는데, 이는 트랜스포머가 학습된 특징을 일반화하는 능력이 뛰어남을 증명한다.

넷째, 하드웨어 측정 결과는 Jetson Nano(ARM‑A57 기반)에서 평균 0.608 ms/메시지(≈1.6 kHz)라는 초고속 추론 성능을 보였다. 이는 기존 LSTM·CNN 기반 IDS가 20‑30 ms 수준을 보이는 것에 비해 약 45배 빠른 수치이며, 실시간 차량 제어 루프에 충분히 삽입 가능함을 의미한다.

마지막으로, 논문은 제한된 리소스 환경에서의 배터리 소모와 모델 업데이트 주기에 대한 토론을 포함한다. 연합 학습 라운드당 평균 전송 데이터량이 1.2 MB에 불과해 차량 내 통신 모듈에 큰 부담을 주지 않으며, 모델 업데이트 주기를 24 시간으로 설정해도 탐지 성능 저하가 거의 없었다.

전체적으로 FedLiTeCAN은 트랜스포머 기반 경량 모델과 연합 학습을 결합해, 실시간, 저전력, 고정밀 CAN IDS 구현에 성공한 사례라 할 수 있다. 다만, 실제 도로 환경에서의 대규모 파일럿 테스트와 공격 시나리오 다양성 확대, 그리고 모델 보안(예: 파라미터 역공학) 방어 메커니즘에 대한 추가 연구가 필요하다.