IDS 알림 시계열 위험 예측과 조기 경고 시각화

초록

본 논문은 대규모 IDS(침입 탐지 시스템) 알림 데이터를 분당 집계하여 강도, 변동성, 모멘텀이라는 세 가지 시계열 특성을 추출하고, 이를 기반으로 XGBoost 모델을 학습시켜 향후 95번째 백분위수를 초과하는 고강도 알림 발생 여부를 예측한다. 실험 결과 91% 정확도, 89% 재현율, 98% 정밀도를 달성했으며, 조기 경고 시각화 도구를 제시해 운영자에게 위험 상승을 사전에 알릴 수 있음을 보였다.

상세 분석

이 연구는 사이버 위협 텔레메트리의 “시간적 미세구조”가 향후 급격한 알림 폭증을 예고한다는 가설을 정량화한다. 먼저 원시 Suricata 로그(251백만 건, 3개월)를 분당 알림 수로 변환하고, 각 분에 대해 (1) 강도(intensity) – 단순 카운트, (2) 변동성(volatility) – 최근 5분 구간의 표준편차, (3) 모멘텀(momentum) – 가중 이동 평균(WMA) 기반의 방향성 지표를 계산한다. 이러한 특성은 금융 분야에서 극단 이벤트를 예측하기 위해 사용되는 ‘극단 레짐 포캐스팅(extreme‑regime forecasting)’과 직접적인 개념적 연계가 있다.

특징 엔지니어링 단계에서 저자들은 심각도(severity)별로 스트라타(strata)를 나누어 각 스트라타에 대해 별도 시계열을 구축함으로써 클래스 불균형을 완화하고, 고강도 구간을 95번째 백분위수 초과로 정의한다. 라벨링은 미래 시점 t+1의 강도가 이 임계값을 넘는지를 이진 변수로 표시한다.

모델링에는 XGBoost 기반의 그래디언트 부스팅 트리(GBT)를 선택했으며, 하이퍼파라미터는 교차 검증을 통해 최적화하였다. 입력 피처는 현재 시점의 강도·변동성·모멘텀 외에도 1~5분 지연(lag) 피처를 포함해 시계열 의존성을 포착한다. 학습·검증은 시간 순서대로 70:15:15 비율로 분할했으며, 데이터 누수 방지를 위해 시계열 차단을 적용하였다.

평가 결과는 정확도 91%, 재현율 89%, 정밀도 98%로, 특히 높은 정밀도가 운영 현장에서 오탐으로 인한 경보 피로를 최소화하는 데 유리함을 시사한다. ROC‑AUC와 PR‑AUC 역시 0.94 이상을 기록해 모델의 전반적 판별력이 뛰어남을 확인한다.

비교 실험에서는 포아송·헐크스(Hawkes) 프로세스 기반의 베이스라인과 전통적인 ARIMA, LSTM 등을 적용했지만, 이들 모델은 변동성·모멘텀 신호를 충분히 활용하지 못해 정확도가 70% 이하로 떨어졌다. 이는 사이버 알림이 단순 포아송 과정이 아니라, 공격자 행동에 의해 유발되는 자기강화적 버스트(burst)를 포함한다는 점을 뒷받침한다.

시각화 측면에서는 실시간 알림 강도 그래프 위에 예측된 고강도 구간을 색상(예: 빨간색)으로 오버레이하는 경량 UI를 구현했다. 이 도구는 SOC 운영자가 “예상되는 폭증”을 한눈에 파악하고, 인력 배치나 자동화 규칙을 사전 조정할 수 있게 한다.

한계점으로는 (1) 단일 기관(공공 대학) 데이터에 국한돼 일반화 가능성이 제한적이며, (2) 라벨링 기준인 95번째 백분위수가 절대적인 위험 임계값이라기보다 경험적 기준이라는 점, (3) 실시간 배포 시 모델 업데이트 주기와 데이터 파이프라인 지연이 성능에 미치는 영향에 대한 정량적 분석이 부족하다는 점을 들 수 있다. 향후 연구에서는 다기관 데이터셋을 통한 교차 검증, 베이지안 업데이트를 통한 온라인 학습, 그리고 공격자 행동 모델과의 통합을 제안한다.