네트워크 트래픽 이상징후 탐지율 향상을 위한 자기지도학습 기반의 오토인코더 최적화 연구

Abstract

With the development of network and communication technologies, the volume of network traffic is rapidly growing. This has led to an increase of cyber threats, and it is necessary to efficiently detect various types of network attacks. Network Intrusion Detection Systems (NIDSs) can be classified into two types: signature detection and anomaly detection. Signature detection is highly effective in detecting known attacks, but is insufficient against unknown or novel attacks. Anomaly detection is able to detect unknown and novel attacks, but produces a high false positive rate. Recently, deep learning has achieved great success in various areas such as computer vision, speech recognition, healthcare, etc. In the field of network security, many researchers use deep learning methods to improve detection of network anomalies. However, most of the datasets used in previous studies are out of date and may not represent current patterns of network traffic. Some of these datasets do not cover the variety of attack and are unreliable to use. Moreover, most NIDSs based on supervised learning require data labeling and may suffer from data imbalance problem. In this study, we propose a self-supervised network anomaly detection method using autoencoders. Our proposed model uses only benign data for training. In addition, we study the performance of the proposed model on an up-to-date dataset, named CICIDS2017. We compare the performance of the proposed model with those of a conventional support vector machine model and a deep neural network model. The experimental results show that the proposed model outperforms the two baseline models in terms of accuracy, F1-score and novelty detection rate. We believe that these findings will contribute to the development of NIDS.

네트워크 기술의 발전에 따라 네트워크 트래픽이 급격히 증가하고 있다. 이와 함께 네트워크를 통한 사이버 위협 역시 나날이 늘어가면서 다양한 형태의 네트워크 공격을 효율적으로 탐지할 수 있는 방법이 요구되고 있다. 네트워크 침입탐지시스템에서 주로 사용되고 있는 시그니처 탐지 방식은 이미 알려진 공격 유형에는 효과적이지만, 새로운 공격 유형에는 즉각적인 탐지 및 대처가 어렵다. 이상징후 탐지 방식은 새로운 공격 유형에 대한 탐지가 가능하지만, 오탐이 발생할 가능성이 높아 실제 보안 시스템에 적용하기에는 아직 부족한 실정이다. 최근 딥러닝 기술이 다양한 분야에서 우수한 성능을 보이면서, 네트워크 침입탐지시스템에도 딥러닝을 활용하는 연구가 활발히 이루어지고 있다. 하지만 대다수의 연구에서 사용되는 데이터셋은 수집 시기가 너무 오래되어 최신 네트워크 침입 패턴을 제대로 반영하지 못하고, 실제 네트워크 트래픽을 완벽하게 표현할 수 없다는 한계가 있다. 게다가 지도학습 기반의 대다수 탐지 모델은 학습에 사용할 데이터를 레이블링해야 하는 어려움이 있고, 네트워크 트래픽의 특성상 클래스 불균형에 따른 문제가 발생할 수 있다. 따라서 이러한 문제를 해결할 수 있는 보다 지능적이고 효과적인 네트워크 침입탐지 기법이 필요하다. 본 연구에서는 정상 트래픽 데이터만으로 모델을 학습할 수 있는 오토인코더를 이용한 네트워크 침입탐지 기법을 제안한다. 그리고 최근에 수집된 트래픽 데이터셋을 사용하여 모델의 탐지 성능을 확인한다. 제안 모델의 적합성을 판단하기 위해, 지도학습 기반의 서포트벡터머신 모델, 심층신경망 모델과 탐지 결과를 비교하고 그 효과를 검증한다. 실험을 통해 제안한 모델의 최적화된 구조를 찾고 그 성능을 검증한 결과, 탐지 성능이 서포트벡터머신 모델보다 F1 스코어 기준 5%p 이상 높게 측정되었고, 기존 두 모델보다 새로운 공격 유형에 대한 탐지율이 우수함을 확인했다. 본 연구에서 제안한 자기지도학습 기반의 오토인코더를 이용한 네트워크 이상징후 탐지 모델은 날이 갈수록 진화하는 사이버 위협에 대응할 수 있는 네트워크 침입탐지시스템의 기반이 될 것으로 기대한다.