효율적인 IoT 침입 탐지를 위한 주의 기반 CNN‑BiLSTM 하이브리드 모델

초록

본 논문은 1차원 CNN, 양방향 LSTM, 그리고 주의 메커니즘을 결합한 경량 모델을 제안한다. N‑BaIoT 데이터셋을 이용해 10개의 클래스(정상 포함) 를 구분하며, 정확도 99%와 MCC·Kappa 0.98 수준의 우수한 성능을 달성한다. 모델은 1시간 내 학습이 가능하고, 추론당 약 50 ms의 지연을 보인다.

상세 분석

제안된 아키텍처는 세 가지 핵심 요소로 구성된다. 첫째, 1D‑CNN 레이어는 128·256·128 필터와 다양한 커널 크기를 사용해 트래픽 시퀀스의 국소 패턴을 효율적으로 추출한다. 배치 정규화와 최대 풀링을 결합해 과적합을 방지하고, 0.3 ~ 0.4의 드롭아웃으로 일반화 능력을 강화한다. 둘째, Bi‑LSTM(128 유닛)은 앞뒤 방향의 시간 의존성을 동시에 학습함으로써 복잡한 공격 흐름을 포착한다. 셋째, 점곱 주의 메커니즘은 키·밸류·쿼리 행렬을 통해 중요한 시점에 가중치를 부여해 중요한 특징을 강조한다. 이러한 설계는 순수 CNN이나 단일 LSTM 대비 높은 정확도와 빠른 수렴을 가능하게 한다. 데이터 전처리 단계에서는 115개의 수치형 피처를 Min‑Max 스케일링하고, 각 클래스당 10 000개의 샘플을 균등하게 추출해 클래스 불균형을 인위적으로 해소하였다. 학습은 Adam 옵티마이저(lr = 0.001)와 sparse categorical cross‑entropy 손실을 사용했으며, 80 % 훈련·20 % 테스트 비율로 진행되었다. 실험 결과는 정확도 0.988, 평균 F1‑Score 0.988, MCC 0.986, Cohen’s Kappa 0.985 등 거의 완벽에 가까운 성능을 보여준다. 특히 Mirai와 Bashlite 계열의 다양한 변종을 모두 높은 정밀도와 재현율로 구분했으며, 혼동 행렬에서 대각선 비중이 95 % 이상으로 나타났다. 그러나 모델은 N‑BaIoT 데이터에만 최적화되었으며, 실제 현장 배포 시 발생할 수 있는 데이터 드리프트나 새로운 변종에 대한 일반화 능력은 추가 검증이 필요하다. 또한, 주의 가중치 시각화와 같은 해석 가능성 분석이 부족하고, 엣지 디바이스에서 50 ms 추론 시간은 실시간 방어 요구사항에 따라 제한적일 수 있다.