실시간 위협 탐지를 위한 하이브리드 압축 기반 2단계 IDS

초록

본 논문은 연결·자율주행차량(CAV) 환경에서 실시간으로 사이버 위협을 탐지하기 위해, 구조적 프루닝과 정적 양자화를 결합한 하이브리드 모델 압축 기법을 적용한 2단계 침입 탐지 시스템(Fast‑IDS)을 제안한다. 첫 단계는 4계층 CNN‑BiGAN으로 정상·비정상을 구분하고, 두 번째 단계는 2계층 CNN‑1계층 LSTM 하이브리드 분류기로 19가지 알려진 공격을 97.8% 정확도로 식별한다. VeReMi Extension 데이터셋을 이용한 실험에서 모델 크기를 77.2% 감소시키고, RTX A6000, Colab CPU, Jetson Nano 등 다양한 하드웨어에서 0.195 초 이내의 추론 시간을 달성하였다.

상세 분석

FAST‑IDS는 CAV와 ITS에서 요구되는 ‘고속·고정밀·저자원’ 세 축을 동시에 만족시키기 위해 두 가지 핵심 설계를 도입한다. 첫 번째는 이중‑스테이지 아키텍처이다. 1단계에서는 4‑layer CNN에 BiGAN을 결합해 입력 데이터의 재구성 오차를 활용, 정상 트래픽과 이상 트래픽을 coarse‑grained하게 구분한다. BiGAN은 생성자와 판별자를 동시에 학습함으로써 비지도 학습 기반의 이상 탐지를 가능하게 하며, 재구성 오차 임계값을 동적으로 조정해 zero‑day 공격에 대한 민감도를 높인다. 2단계는 2‑layer CNN 뒤에 1‑layer LSTM을 배치한 CNN‑LSTM 하이브리드 구조로, 시계열 특성을 보존하면서도 공간적 특징을 추출한다. 이는 19개의 구체적 공격 유형을 다중 클래스 분류하는 fine‑grained 단계에서 97.822%의 정확도를 달성하게 한다.

두 번째 핵심은 하이브리드 모델 압축이다. 구조적 프루닝을 통해 중요도가 낮은 필터와 뉴런을 45% 이상 제거하고, 이후 static quantization(8‑bit)으로 가중치를 정밀도 낮춤으로써 전체 모델 파라미터를 77.2% 감소시켰다. 압축 후에도 92.79%의 재현율과 97.8%의 정확도를 유지한 점은, 프루닝 기준을 손실 함수 기반의 sensitivity 분석으로 정교하게 설정했기 때문이다.

실험은 VeReMi Extension 데이터셋(19종 공격, 다양한 시뮬레이션 시나리오)으로 수행했으며, RTX A6000 GPU, Google Colab CPU, NVIDIA Jetson Nano(ARM) 세 환경에서 추론 시간을 측정했다. 압축 전 대비 평균 50.05%의 latency 감소와, per‑vehicle 0.195 s 이하의 응답 시간을 기록, 실시간 적용 가능성을 입증했다. 또한, 기존 연구(예: 단일‑stage CNN, 전통적 SVM 기반 IDS)와 비교했을 때, F1‑score와 ROC‑AUC 모두 3~5%p 상승했다.

한계점으로는 1단계 BiGAN 학습 시 데이터 불균형에 민감할 수 있으며, 양자화 후 일부 극히 드문 공격 패턴에서 미세한 성능 저하가 관찰된다. 향후 연구에서는 동적 프루닝과 mixed‑precision quantization을 도입해 하드웨어‑친화적 적응형 압축을 탐색하고, federated learning을 결합해 차량 간 협업 학습을 구현할 계획이다.