개념 드리프트를 극복하는 평생형 침입 탐지 시스템 METANOIA

초록

METANOIA는 증분 학습을 기반으로 실시간 프로벤스 그래프를 지속적으로 학습하며, 개념 드리프트에 의해 발생하는 높은 오탐률을 낮춘다. 의사 엣지 연결로 재학습 시 망각을 방지하고, 의심 상태 전이로 악성 학습을 차단한다. 경로‑레벨 필터링으로 정확한 알림을 제공하고, 미니‑그래프 구성으로 공격 시나리오를 자동 재구성한다. DARPA APT 데이터셋 등에서 기존 PIDS 대비 윈도우·그래프·노드 수준 정밀도가 각각 30 %, 54 %, 29 % 향상되었다.

상세 분석

본 논문은 기존 프로벤스 기반 침입 탐지 시스템(PIDS)이 오프라인·정적 데이터에 의존함으로써 스트리밍 환경에서 발생하는 개념 드리프트(concept drift)를 제대로 반영하지 못하는 문제점을 정확히 짚어냈다. 개념 드리프트는 사용자의 업무 전환, 신규 소프트웨어 배포 등 정상 행위의 분포가 시간에 따라 변하는 현상으로, 기존 모델은 학습 시점의 경계만을 고정해 두어 잦은 오탐을 초래한다. 이를 해결하기 위해 저자들은 증분 학습(incremental learning)을 새로운 탐지 패러다임으로 제시했으며, 이 과정에서 네 가지 핵심 과제(C1‑C4)를 정의하였다.

C1 (망각 방지)에서는 장기 운영 시 새로운 데이터에 과도하게 적응하면서 과거 정상 패턴을 잊는 ‘catastrophic forgetting’ 현상을 의사 엣지(pseudo‑edge) 연결로 완화한다. 의사 엣지는 과거 그래프 구조를 가상으로 보존해 모델이 이전 작업을 재현하도록 돕는다.

C2 (악성 학습 방지)에서는 재현 학습 과정에서 악성 샘플이 재학습되는 ‘discrimination paradox’를 피하기 위해 의심 상태(suspicious state)를 전이(transfer)시켜, 의심 노드만을 선택적으로 재학습 대상으로 지정한다. 이렇게 하면 악성 행동이 모델에 내재되는 위험을 최소화한다.

C3 (정밀 알림)에서는 경로‑레벨 필터링을 적용해 단순히 이상을 탐지하는 수준을 넘어, 실제 공격에 연관된 경로만을 추출한다. 이는 노드·엣지 수준의 잡음을 억제하고, 보안 운영자가 처리해야 할 알림 수를 크게 감소시킨다.

C4 (공격 시나리오 재구성)에서는 대규모 프로벤스 그래프를 미니‑그래프(mini‑graph)로 압축해 핵심 의존 관계만을 시각화한다. 이를 통해 수동 조사 비용을 크게 절감하고, 공격 전파 경로와 피해 범위를 빠르게 파악할 수 있다.

구현 측면에서 METANOIA는 프로벤스 스트리밍 파이프라인 위에 노드 유형(AN, SN, RN)과 상태 전이 모듈을 삽입하고, 그래프 신경망 기반 임베딩을 증분 업데이트한다. 실험은 DARPA APT 데이터와 공개 벤치마크를 사용했으며, 기존 최첨단 PIDS(Unicorn, KAIR‑OS, ProGrapher, ThreatTrace)와 비교해 윈도우‑레벨 정밀도 30 %·그래프‑레벨 54 %·노드‑레벨 29 % 향상을 기록했다.

한계점으로는 의사 엣지 생성 기준이 정적 규칙에 의존한다는 점, 그리고 대규모 실서비스 적용 시 메모리·연산 오버헤드가 아직 충분히 최적화되지 않았다는 점을 들 수 있다. 향후 연구에서는 동적 엣지 가중치 학습과 경량화된 그래프 압축 기법을 도입해 실시간 성능을 더욱 끌어올릴 여지가 있다.