자기지도 학습 기반 네트워크 침입 탐지 기술로 이상(以上)의 정도가 큰 경우엔 선제 탐지 과정을 통해 기존의 방식 대비 신속하게 탐지할 수 있다. 솔루션은 20%의 이상 데이터를 선제적으로 탐지할 수 있어 사전 대응이 가능하며, 최종 단계에서 99%의 이상 데이터를 탐지할 수 있다.

숭실대 전자정보공학부 권민혜 교수
숭실대 전자정보공학부 권민혜 교수

인터넷 트래픽 양이 증가함에 따라 최근 상당한 수의 네트워크 침입 이벤트가 보고되고 있는 가운데 국내 연구팀이 인공지능 기반으로 네트워크 트래픽 상에서 이상의 정도에 따라 비정상 데이터를 즉각적으로 탐지하고, 탐지 성능을 향상시키기 위해 오토인코더의 은닉층을 활용한 계층적인 이상 탐지 및 각 탐지 단계에 특화된 이상 점수 측정 방식을 개발했다.

숭실대학교(총장 장범식) 전자정보공학부 권민혜 교수 연구팀이 네트워크 트래픽 데이터를 기반으로 이상 정도에 따른 단계별 탐지(계층적 탐지/hierarchical detection based) 가 가능한 인공지능(AI) 자기지도 학습(self-supervised learning) 기반 네트워크 침입 탐지 기술을 개발한 것이다.

연구팀의 오토인코더 기반 계층적 이상탐지 방식의 구조도
연구팀의 오토인코더 기반 계층적 이상탐지 방식의 구조도

이 기술을 사용하면 이상의 정도가 큰 경우엔 선제 탐지(preemptive detection) 과정을 통해 기존의 방식 대비 신속하게 탐지할 수 있으며, 재검사 탐지(reexamination detection) 과정을 통해 기존의 방식으로는 탐지하지 못한 이상 트래픽도 정밀하게 탐지할 수 있다.

또한, 이 솔루션은 20%의 이상 데이터를 선제적으로 탐지할 수 있어 사전 대응이 가능하며, 최종 단계에서 99%의 이상 데이터를 탐지할 수 있음을 확인할 수 있었다.

네트워크 트래픽 데이터에 대한 이상 여부는 인코더의 출력(선제 탐지 과정), 디코더의 출력, 인코더로 재입력한 복원 데이터의 각 인코더 은닉층에 대한 출력(재검사 탐지 과정)을 사용해 크게 세 종류의 탐지 프로세스를 통해 탐지된다. 

재검사 탐지 과정에서는 복원 데이터의 복원 오차를 인코더의 은닉층을 통해 증폭시키고, 새롭게 제안된 이상 점수 측정 방식을 사용하여 비정상 데이터에 대한 탐지 성능을 향상시켰다. 

기존의 오토인코더 기반 이상 탐지 기술들은 디코더의 출력만을 이용하는데, 본 제안 기술에서는 선제 탐지 과정과 재검사 탐지 과정을 더하여 기존에 학습된 오토인코더 모델 변화 없이도 신속하고 정밀한 탐지가 가능하다.

왼쪽부터 숭실대 계효선, 김미르 석사과정
왼쪽부터 숭실대 계효선, 김미르 석사과정

계효선 석사과정은 “이번 연구를 진행하면서 모델의 은닉층이 가지고 있는 잠재적인 정보들을 활용하는 방법에 대해 폭넓은 고찰을 할 수 있었다. 더욱 많은 이상탐지 시스템에 본 기술이 활용되길 바란다”라고 소감을 밝혔다.

한편, 숭실대 계효선 석사과정생이 제1저자, 김미르 석사과정생이 공저자, 권민혜 교수가 교신저자로 나선 이번 연구는 IEEE SCI 저널인 시그널 프로세싱 레터스(Signal Processing Letters)에 ‘네트워크 이상에 대한 계층적 탐지: 자기 지도 학습 접근 방식(Hierarchical Detection of Network Anomalies: A Self-Supervised Learning Approach-보기)’라는 제목으로 지난달 31일 게재됐다.

이 연구는 현재, 국내 특허 출원이 완료됐으며,  미국 특허 출원이 진행 중이다.

저작권자 © 인공지능신문 무단전재 및 재배포 금지