숭실대 연구팀, 트래픽 데이터 기반 네트워크 침입 탐지 기술 개발

숭실대 연구팀이 개발한 계층적 이상탐지 방식의 구조도. 숭실대학교 제공

[아시아경제 유병돈 기자] 숭실대학교 전자정보공학부 권민혜 교수 연구팀이 네트워크 트래픽 데이터를 기반으로 이상 정도에 따른 단계별 탐지가 가능한 네트워크 침입 탐지 기술을 개발했다.

이 기술을 사용하면 이상의 정도가 큰 경우엔 선제 탐지(preemptive detection) 과정을 통해 기존의 방식 대비 신속하게 탐지할 수 있으며, 재검사 탐지(reexamination detection) 과정을 통해 기존의 방식으로는 탐지하지 못한 이상 트래픽도 정밀하게 탐지할 수 있다.

연구팀은 네트워크 트래픽 상에서 이상 정도에 따라 비정상 데이터를 즉각적으로 탐지하고, 탐지 성능을 향상하기 위해 오토인코더의 은닉층을 활용한 계층적인 이상 탐지 및 각 탐지 단계에 특화된 이상 점수 측정 방식을 제안했다.

숭실대 계효선, 김미르 석사과정, 권민혜 교수. /사진=숭실대학교 재공

네트워크 트래픽 데이터에 대한 이상 여부는 인코더의 출력(선제 탐지 과정), 디코더의 출력, 인코더로 재입력한 복원 데이터의 각 인코더 은닉층에 대한 출력(재검사 탐지 과정) 크게 세 종류의 탐지 프로세스를 통해 탐지된다. 재검사 탐지 과정에서는 복원 데이터의 복원 오차를 인코더의 은닉층을 통해 증폭시키고, 새롭게 제안된 이상 점수 측정 방식을 사용해 비정상 데이터에 대한 탐지 성능을 향상시켰다.

기존의 오토인코더 기반 이상 탐지 기술들은 디코더의 출력만을 이용하는데, 본 제안 기술에서는 선제 탐지 과정과 재검사 탐지 과정을 더해 기존에 학습된 오토인코더 모델 변화 없이도 신속하고 정밀한 탐지가 가능하다는 것이다.

계효선 학생은 "이번 연구를 진행하면서 모델의 은닉층이 가지고 있는 잠재적인 정보들을 활용하는 방법에 대해 폭넓은 고찰을 할 수 있었다. 더욱 많은 이상탐지 시스템에 본 기술이 활용되길 바란다"고 설명했다.

한편, 해당 연구는 'IEEE Signal Processing Letters'에 지난달 31일 게재됐으며, 이와 함께 대한민국 특허 출원이 완료됐다. 현재 미국 특허 출원도 함께 진행 중이다.

유병돈 기자 tamond@asiae.co.kr