합성 네트워크 트래픽을 위한 아키텍처 선택 프레임워크

초록

본 논문은 네트워크 트래픽 데이터의 구조적 특성에 따라 생성 모델의 적합성을 평가하는 프레임워크를 제시한다. 12가지 생성 모델을 NSL‑KDD(범주형 중심)와 CIC‑IDS2017(연속형 중심) 두 데이터셋에 적용해 구조적 충실도와 실용적 효용을 동시에 측정했으며, GAN 기반 모델이 가장 안정적인 균형을 보인다는 결론을 도출한다.

상세 분석

이 연구는 합성 네트워크 트래픽 생성에서 흔히 간과되는 ‘아키텍처‑데이터 구조 적합성’ 문제를 정량화한다는 점에서 학술적 의의가 크다. 먼저 저자는 데이터 구조를 세 가지 메트릭(데이터 구조 일치도, 상관관계 차이, 확률분포 차이)으로 정의하고, 이를 ‘Fidelity Gatekeeper’로 활용해 각 모델이 원본 데이터의 구조적 특성을 얼마나 보존하는지 객관적으로 평가한다. 특히 NSL‑KDD와 CIC‑IDS2017이라는 서로 상반된 특성을 가진 두 데이터셋을 선택함으로써, 범주형 특성이 강한 경우와 연속형 특성이 지배적인 경우 각각에 최적화된 모델을 탐색한다.

실험은 N=20의 독립 실행을 통해 통계적 신뢰성을 확보했으며, 각 실행마다 동일한 하이퍼파라미터와 동일한 전처리 파이프라인을 적용해 비교 가능성을 높였다. 결과는 GAN 계열(CTGAN, CopulaGAN)이 가장 낮은 구조적 차이와 높은 downstream IDS 성능을 동시에 달성했음을 보여준다. 이는 GAN이 혼합형(범주+연속) 데이터를 다루는 데 특화된 조건부 생성 메커니즘과 판별기‑생성기 간의 경쟁 구조가 데이터의 복합 의존성을 효과적으로 학습하기 때문으로 해석된다.

반면, 전통적인 통계‑재샘플링 기법은 클래스 불균형을 완화하는 데는 유리하지만, 다변량 상관관계와 시간적 흐름을 재현하지 못해 ‘Fidelity’를 크게 손상시킨다. 이는 실험 결과에서 확률분포 차이는 낮지만 상관관계 차이가 크게 나타난 점으로 확인된다.

Diffusion 모델은 최근 탁월한 시각적·시계열적 충실도를 보이지만, 본 연구에서는 학습 단계당 수천 번의 노이즈 제거 과정과 대용량 메모리 요구량 때문에 실용적인 규모(수십만 레코드)에서는 학습 시간이 급증하고 GPU 메모리 초과 오류가 빈번히 발생했다. 따라서 현재 수준에서는 대규모 보안 시뮬레이션에 적용하기엔 비용 효율성이 낮다.

또한 VAE 계열은 구조적 재현성에서는 중간 수준을 보였으나, 희귀 공격 패턴을 재현하는 데 한계가 있었으며, 이는 잠재공간에서 연속형 표현이 이산형 특성을 충분히 포착하지 못한 것으로 판단된다.

저자는 이러한 결과를 바탕으로 ‘아키텍처 선택 프레임워크’를 제시한다. 프레임워크는 (1) 데이터 구조 분석 → (2) 적합한 메트릭 선택 → (3) 모델 후보군 평가 → (4) 최종 모델 선택의 4단계 흐름으로 구성되며, 각 단계마다 정량적 기준을 제공한다. 특히 ‘구조적 충실도와 실용적 효용을 동시에 만족하는 모델’이라는 목표를 명시함으로써, 단순 성능 비교를 넘어 실제 보안 현장에 적용 가능한 가이드라인을 제공한다는 점이 돋보인다.

이 논문의 한계로는 두 데이터셋만을 대상으로 했다는 점과, 실시간 스트리밍 트래픽 생성에 대한 평가가 부족하다는 점을 들 수 있다. 향후 연구에서는 더 다양한 프로토콜·서비스 유형을 포함한 데이터셋과, 온라인 학습·생성 시나리오를 추가해 프레임워크의 일반성을 검증할 필요가 있다.