[한국기술뉴스] 숭실대학교(총장 장범식) 전자정보공학부 권민혜 교수 연구팀이 네트워크 트래픽 데이터를 기반으로 이상 정도에 따른 단계별 탐지가 가능한 네트워크 침입 탐지 기술을 개발했다고 20일(화) 전했다.
본 기술을 사용하면 이상의 정도가 큰 경우엔 선제 탐지(preemptive detection) 과정을 통해 기존의 방식 대비 신속하게 탐지할 수 있으며, 재검사 탐지(reexamination detection) 과정을 통해 기존의 방식으로는 탐지하지 못한 이상 트래픽도 정밀하게 탐지할 수 있다.
연구팀은 네트워크 트래픽 상에서 이상의 정도에 따라 비정상 데이터를 즉각적으로 탐지하고, 탐지 성능을 향상시키기 위해 오토인코더의 은닉층을 활용한 계층적인 이상 탐지 및 각 탐지 단계에 특화된 이상 점수 측정 방식을 제안했다. 네트워크 트래픽 데이터에 대한 이상 여부는 인코더의 출력(선제 탐지 과정), 디코더의 출력, 인코더로 재입력한 복원 데이터의 각 인코더 은닉층에 대한 출력(재검사 탐지 과정)을 사용해 크게 세 종류의 탐지 프로세스를 통해 탐지된다.
재검사 탐지 과정에서는 복원 데이터의 복원 오차를 인코더의 은닉층을 통해 증폭시키고, 새롭게 제안된 이상 점수 측정 방식을 사용하여 비정상 데이터에 대한 탐지 성능을 향상시켰다. 기존의 오토인코더 기반 이상 탐지 기술들은 디코더의 출력만을 이용하는데, 본 제안 기술에서는 선제 탐지 과정과 재검사 탐지 과정을 더하여 기존에 학습된 오토인코더 모델 변화 없이도 신속하고 정밀한 탐지가 가능하다.
본 기술은 숭실대 계효선 석사과정생이 제1저자, 김미르 석사과정생이 공저자, 권민혜 교수가 교신저자로 ‘Hierarchical Detection of Network Anomalies: A Self-Supervised Learning Approach’라는 제목으로 IEEE Signal Processing Letters에 8월 31일(수) 게재됐다. 이와 함께 대한민국 특허 출원이 완료됐으며, 현재 미국특허 출원 진행 중이다.
계효선 학생은 “이번 연구를 진행하면서 모델의 은닉층이 가지고 있는 잠재적인 정보들을 활용하는 방법에 대해 폭넓은 고찰을 할 수 있었다. 더욱 많은 이상탐지 시스템에 본 기술이 활용되길 바란다”라고 소감을 밝혔다.