전술 구역 적응형 제로데이 침입 탐지 프레임워크 ZAID

초록

본 논문은 전투 현장(IoBT)에서 비정형·비IID 트래픽과 제한된 통신 환경을 고려한 협업형 침입 탐지 시스템 ZAID를 제안한다. ZAID는 전역 CNN 기반 분류기와 정상 트래픽 복원을 위한 오토인코더를 결합하고, 각 전술 구역에 경량 어댑터 모듈을 삽입해 지역 특성을 효율적으로 반영한다. 연합 학습과 의사 라벨링을 통해 구역 간 지식을 공유하면서도 원시 트래픽을 전송하지 않아 보안·대역폭 요구를 만족한다. ToN_IoT와 UNSW‑NB15 데이터셋에서 제로데이 공격을 제외한 학습 후, 미보인 MITM·DDoS·DoS 공격을 검출해 83.16%·71.64%의 정확도를 달성하였다.

상세 분석

ZAID는 전술 구역마다 서로 다른 프로토콜 혼합, 장비 구성을 갖는 비IID 트래픽 분포와 간헐적 연결이라는 IoBT 고유의 제약을 핵심 설계 목표로 삼았다. 이를 위해 먼저 전체 네트워크 트래픽을 흐름‑레벨·통계적 피처로 변환하고, 대규모 라벨링된 데이터셋으로 사전 학습된 다층 CNN(Universal Model, U)을 전역 공유 모델로 사용한다. U는 일반화된 특징 표현을 학습하지만, 구역별 특수성을 반영하기엔 파라미터가 과다하게 고정돼 있다. 따라서 각 구역 게이트웨이에 경량 어댑터(adapter) 모듈을 삽입해, 전체 네트워크 가중치는 동결한 채 어댑터 파라미터만 로컬 데이터에 맞춰 미세조정한다. 어댑터는 선형 변환 혹은 작은 컨볼루션 블록 형태로 구현돼 파라미터 효율성을 극대화한다.

보조적인 이상 탐지 신호는 정상 트래픽만으로 학습된 오토인코더(A)에서 얻는다. 입력 피처를 재구성하고 재구성 오차를 정규화해 λ_A 점수로 변환함으로써, 기존 분류기가 낮은 확신을 보이는 경우에도 제로데이 공격을 탐지할 수 있다. 두 점수 λ_U와 λ_A를 가중합하거나 의사결정 트리 형태로 결합해 최종 판단을 내린다.

협업 메커니즘은 연합 학습(Federated Learning) 기반이다. 각 구역은 어댑터 파라미터와 U의 일부 레이어(예: 최상위 FC)만 서버에 전송하고, 서버는 FedAvg 방식으로 평균을 구해 전역 파라미터를 업데이트한다. 전송량을 최소화하기 위해 압축 및 차원 축소 기법을 적용한다. 또한 라벨이 부족한 구역에서는 로컬 예측 결과를 기반으로 의사 라벨(pseudo‑label)을 생성해 자체 학습에 활용한다. 이는 비지도 학습과 반지도 학습을 결합한 형태로, 라벨 희소성을 완화한다.

실험에서는 ToN_IoT 데이터셋을 사용해 MITM, DDoS, DoS 공격을 훈련에서 제외하고 제로데이 프로토콜로 배치했다. ZAID는 기본 CNN만 사용할 때보다 평균 8~12%p 향상된 정확도와 F1‑score를 기록했으며, 특히 어댑터와 오토인코더 결합이 미보인 공격 탐지에 큰 기여를 보였다. UNSW‑NB15에 동일 프로토콜을 적용했을 때도 71.64% 정확도를 달성, 도메인 간 전이 가능성을 입증했다.

한계점으로는 (1) 어댑터와 오토인코더가 추가 연산을 요구해 극한의 저전력 디바이스에 적용 시 실시간성 확보가 어려울 수 있다, (2) 연합 학습 과정에서 악의적 업데이트(모델 중독) 방어 메커니즘이 미구현돼 실제 전투 환경에서의 보안 위험이 존재한다, (3) 피처 엔지니어링이 흐름‑레벨에 국한돼 있어 암호화된 트래픽의 미세한 변화를 포착하기엔 한계가 있다. 향후 연구에서는 경량화된 시계열 모델, 차등 프라이버시와 악성 업데이트 탐지, 그리고 멀티모달 피처(예: 사이드채널 데이터) 통합을 통해 시스템을 강화할 계획이다.