이 논문은 계층적 다중 라벨 분류와 동적 신뢰 평가 시스템을 통합하여 위협 탐지의 정확도를 높이고 오탐 건수를 줄이기 위해 클라우드 기반 시스템에서 머신러닝(ML) 기반의 적응형 네트워크 보안 혁신 솔루션을 제안합니다.
Method Article
이 논문은 계층적 다중 라벨 분류와 동적 신뢰 평가 시스템을 통합하여 위협 탐지의 정확도를 높이고 오탐 건수를 줄이기 위해 클라우드 기반 시스템에서 머신러닝(ML) 기반의 적응형 네트워크 보안 혁신 솔루션을 제안합니다.
본 연구는 적응형 머신러닝(ML), 계층적 다중 라벨 분류(HMC), 클라우드 모델을 기반으로 한 동적 신뢰 평가 메커니즘을 통합하여 클라우드 컴퓨팅 환경에서 네트워크 보안 상황 인식과 위험 경고를 위한 새로운 프레임워크를 제안합니다. 제로데이 익스플로잇, 분산 서비스 거부(DDoS), 봇넷과 같은 신흥 사이버 공격의 복잡성, 다양성, 실시간 특성은 전통적인 규칙 기반 및 정적 탐지 방법에 큰 도전을 제기합니다. 이러한 문제를 해결하기 위해 우리는 Ryu OpenFlow 컨트롤러와 OpenFlow 스위치를 활용한 효과적인 SDN 기반 클라우드 아키텍처를 개발했습니다. 이 아키텍처는 실시간 링크 정보 수집, 동적 스케줄링, 확장 가능하고 신뢰할 수 있는 데이터 전송을 가능하게 합니다. 제안된 계층적 분류 프레임워크는 다중 클래스 문제를 이진 작업으로 분해하여 샘플 불균형의 영향을 완화하고 사용자 루트(U2R)를 포함한 저주파 공격 인식을 향상시킬 수 있습니다. AdaBoost와 Bagging을 포함한 앙상블 학습 기법은 세밀한 공격 유형의 탐지 정확도를 더욱 향상시킵니다. DDoS 데이터셋, 클라우드 트래픽 데이터, Mininet과 EstiNet에서의 시뮬레이션을 대상으로 한 실험은 ML-HMC-트러스트 접근법이 탐지 정밀도를 크게 향상시키고 오탐을 줄이며 실시간 대응을 가능하게 함을 보여줍니다. 이 결과들은 적응형 학습, 계층적 분류, 동적 신뢰 평가 통합이 대규모 클라우드 플랫폼을 보호하는 데 견고하고 확장 가능한 솔루션을 제공함을 확인시켜 줍니다.
클라우드 컴퓨팅 기술이 다양한 산업에 널리 적용됨에 따라 정보 시스템 내 데이터의 규모와 양이 빠르게 증가하고 있으며, 네트워크 위협은 더욱 복잡하고 숨겨져 있으며 역동적으로 변하고 있습니다 1,2. 규칙과 정적 모델에 기반한 전통적인 보안 방어 메커니즘은 변화하는 공격 전략, 제로데이 취약점, 대규모 분산 공격에 직면했을 때 정확한 조기 경보와 실시간 탐지 요구를 충족하지 못합니다. 3. 따라서 적응형 ML 알고리즘을 활용해 클라우드 컴퓨팅 플랫폼 내에서 분산 데이터 처리 및 지능형 분석 기능을 완전히 통합하여 네트워크 보안 상황에 대한 포괄적인 인식과 정보 위험에 대한 효과적인 조기 경보를 달성하는 것은 현재 정보 보안 환경에서 중요한 과제입니다4. 이 연구는 기존 보안 보호 시스템 개선에 이론적으로 중요한 의미를 가질 뿐만 아니라, 국가 핵심 정보 인프라와 기업핵심 데이터의 보안 확보에 강력한 지원을 제공합니다.
클라우드 컴퓨팅 환경에서 네트워크 보안 상황 인식과 정보 위험 경고를 실현하는 데에는 여러 도전 과제가 있습니다: 클라우드 플랫폼에 집계된 데이터 유형이 많고 소스가 복잡하여 데이터 전처리, 특징 추출 및 융합 작업이 점점 더 어렵게 만듭니다; 증가하는 네트워크 트래픽과 급변하는 공격 시나리오에 직면하면서, 시스템은 매우 짧은 시간 내에 대응해야 하며, 실시간 탐지 및 경고가 기술적 병목 현상이 되었습니다; 일반 트래픽의 양은 공격 트래픽과 매우 다르며, 전통적인 알고리즘은 U2R, 네트워크 공격 등 작은 표본 범주를 처리할 때 정확도가 낮아 오판 위험이 큽니다; 복잡한 네트워크 환경에서 신뢰 관계는 여러 요인에 의해 영향을 받으며 무작위적이고 불확실합니다 6,7. 고정된 임계값에 기반한 전통적인 신뢰 평가 방법은 실제 상태를 반영하기 어렵고 비정상적인 데이터에 의해 쉽게 방해받습니다. 이러한 다차원적 한계를 해결하기 위해, 본 연구는 적응형 머신러닝, 계층적 다중 라벨 분류, 동적 클라우드 모델 기반 신뢰 평가 메커니즘을 시너지 결합한 통합 프레임워크를 제시합니다. SDN 기반 클라우드 환경에서 적용된 이러한 기법의 융합은 점진적 정교화를 넘어 저주파 공격의 세분화된 인식, 실시간 신뢰 적응, 그리고 기존 방법들이 동시에 달성하지 못한 확장 가능한 상황 인식을 가능하게 합니다.
클라우드 컴퓨팅 환경은 방대하고 매우 동적이며 이기종적인 네트워크 트래픽을 생성하여, 전통적인 침입 탐지 시스템(IDS)은 U2R, R2L과 같은 정교하고 소수의 공격 유형을 정확히 식별하지 못합니다. 기존의 딥러닝(DL) 기반 IDS 솔루션은 탐지 정확도를 향상시키지만, 여전히 높은 계산 오버헤드, 느린 실시간 응답, 네트워크 엔터티 간 불확실하거나 변화하는 신뢰 관계 처리 부실로 어려움을 겪고 있습니다. 더불어, 대부분의 현재 모델은 평면 분류기로 작동하며, 세밀하고 계층적인 의사결정이나 동적 신뢰 평가 메커니즘이 부족합니다. 이러한 한계는 대규모 클라우드 환경에서 실시간 탐지, 정확한 소수자 계층 인식, 신뢰할 수 있는 신뢰 인식 위험 평가를 동시에 제공할 수 있는 IDS 개발에 중요한 격차를 만듭니다.
기존 네트워크 보안 상황 인식 및 정보 위험 경고 연구에서는 K-최근접 이웃(KNN)과 지원 벡터 기계(SVM)와 같은 방법을 사용하여 네트워크 트래픽을 분류하고 탐지합니다. 이 알고리즘들은 특히 대량의 데이터를 예비 검증할 때 높은 계산 효율성과 쉬운 구현이라는 장점을 가지고 있습니다 8,9. 하지만 주요 단점은 여러 측면에서 나타납니다: 클라우드 환경에서 대부분의 일반 트래픽과 소수의 공격 샘플에 직면했을 때, 이러한 전통적인 ML 방식은 종종 몇몇 범주의 정보를 무시하여 세분화된 공격(예: U2R, 네트워크 취약점 공격 등)에 대한 인식률이 낮아집니다; 단일 모델은 일반적으로 노이즈와 데이터 이상치에 민감하며, 동적으로 변화하는 공격 시나리오에 적응할 능력이 부족하고, 과적합이나 일반화 부족에 취약합니다10,11.
최근 몇 년간, 다중 계층 인식기(MLP), CNN, 순환신경망(RNN), 장기 단기 기억 네트워크(LSTM), 게이트 재귀 유닛(GRU)과 같은 DL 기법이 네트워크 보안 분야에서 점점 더 많이 적용되고 있습니다. 딥 신경망의 강력한 특징 학습 및 비선형 매핑 기능을 바탕으로, 이러한 방법들은 전통적인 ML12에 비해 탐지 정확도를 크게 향상시키고 복잡한 공격 동작을 포착하는 능력을 향상시켰습니다. 하지만 컴퓨팅 자원과 학습 데이터에 대한 요구가 높습니다. 특히 클라우드 컴퓨팅 환경의 빅데이터 트래픽 맥락에서는 학습 오버헤드와 실시간 추론 속도 측면에서 여전히 개선의 여지가 있습니다. 샘플이 적은 클래스를 식별할 때, 데이터 불균형으로 인해 DL 모델은 클래스편향 13 때문에 일부 세밀한 공격(예: U2R, 봇넷)에 대해 낮은 탐지율을 보입니다. 데이터 불균형과 다중 클래스 공격 식별을 다루는 단일 모델의 한계를 보완하기 위해, 일부 연구에서는 여러 분류기의 결정을 결합하여 전체 예측 정확도를 확장하는 앙상블 학습 기반 해법(Bagging and Boosting)을 제안했습니다14. 동시에, 계층적 다중 분류(Hierarchical Multiclass Classification, HMC) 아키텍처는 다중 클래스 분류 문제를 여러 이진 분류 하위 문제로 분해하여 샘플 수가 적은 클래스에 대해 보다 정교한 인식을 달성합니다. 하지만 통합 모델은 특히 클라우드 컴퓨팅 실시간 모니터링 시스템에서 실시간 요구가 시스템 자원에 대한 부담을 증가시키기 때문에 높은 컴퓨팅 자원 사용과 증가하는 대응 시간 증가 등의 문제에 자주 직면합니다(15).
네트워크 내 동적 신뢰 관계 평가 문제에 대응하기 위해 일부 연구에서는 클라우드 모델 이론이 도입되었는데, 이는 각 개체의 신뢰 속성의 모호성과 무작위성을 기술하여 신뢰 연계 클라우드를 구성한 후, 구름 물방울, 엔트로피, 슈퍼 엔트로피 및 기타 지표를 이용해 정량적 평가를 수행합니다.. 실시간으로 업데이트된 네트워크 신뢰 데이터를 다룰 때, 기존 클라우드 모델 방법의 업데이트 속도와 계산 효율성이 고주파 동적 경고의 요구사항을 충족하기 어려울 수 있습니다; 이 모델은 평가 데이터에 매우 민감하며, 비정상적인 데이터나 노이즈 정보는 전체 신뢰 평가에 상당한 간섭을 일으켜 이후 위험 경고 결정에 영향을 미칠 수 있습니다.
탐지 정확도, 실시간 성능, 데이터 밸런스 처리, 신뢰 평가 분야의 현재 연구의 많은 한계를 고려할 때, 본 논문은 클라우드 컴퓨팅 환경에서 네트워크 보안 상황 인식 및 정보 위험 경고를 위해 적응형 머신러닝 알고리즘, 계층적 다중 클래스 분류 전략, 클라우드 모델 신뢰 평가를 포괄적으로 활용하는 새로운 방어 시스템을 제안합니다.
이 연구는 클라우드컴퓨팅 기술을 활용하여 지능형 선박 네트워크의 실시간 사이버보안을 다룹니다. 악의적 공격을 위한 데이터를 검사하기 위한 다중 센서 노드 프레임워크를 제안하며, 자율 실행 보호 전략 노드를 사용해 위협을 가로채는 방식을 제안합니다. 결과는 바이러스 침입 탐지 및 방어율이 85-95%, 거짓 양성률이 2.56%로, 다른 알고리즘보다 훨씬 우수한 성능을 보여줍니다. 하지만 이 접근법은 실제 배포 시 높은 연산 자원과 클라우드 인프라 제한을 요구합니다. Aslan 등은 클라우드 컴퓨팅 환경에서 지능형 행동 기반 악성코드 탐지 시스템을 제공합니다. 가상 머신 전반에 걸쳐 악성코드 데이터셋을 생성하고, 학습 기반 및 규칙 기반 탐지 에이전트를 활용해 악성코드와 무해한 샘플을 분류하는 선택된 기능을 사용했습니다. 10,000개의 프로그램 샘플에 대한 평가에서는 검출률과 FPR이 향상된 높은 성능을 보였습니다. 그럼에도 불구하고, 이 방법은 지속적으로 변하는 악성코드 변종과 대규모 및 실시간 클라우드 배포로 인해 확장성 문제를 안고 있었습니다.
이러한 연구들이 기여한 중요한 기여에도 불구하고, 더 상세한 비교를 통해 기존 솔루션의 대다수는 클라우드 환경에서 실시간 상황 인식이나 동적 신뢰 모델의 가정과 요구사항을 충족하지 못하고 있음을 알 수 있습니다. 기존의 ML 기법은 공간에 고정된 특징 경계를 가정하며, 클래스 불균형과 매우 동적인 트래픽 역학 8,9,10에서 실패합니다. DL 모델은 뛰어난 특징 추출 능력과 연관되어 있으나 계산 능력이 많이 소요되어 실시간 모니터링에서 추론 과정이 느리고 비현실적이다12,13. 앙상블 및 HMC 기반 접근법이 더 정확하지만, 더 많은 지연 시간과 자원이 필요하며, 현재 대규모 클라우드에는 적용되지 않고 있습니다14,15. 한편, 클라우드 모델 신뢰 평가 기법은 불확실성을 잘 포착하지만 노이즈가 많은 데이터에 매우 민감하며 고빈도 공격스트림 16, 17, 18, 19에서는 신뢰 값을 효율적으로 업데이트하지 못합니다. 최근 클라우드 기반 IDS 프레임워크조차도 실시간 탐지와 신뢰 인식 의사결정 모두에 대한 견고하고 통합된 지원이 부족하다20,21. 이러한 제한 사항들은 효율적이고 통합적이며 신뢰 기반 침입 탐지 프레임워크의 필요성을 강조합니다. 이 연구는 적응형 머신러닝, HMC, 클라우드 기반 동적 신뢰 평가를 SDN 지원 클라우드 아키텍처 내에 통합하여 실시간 탐지, 소수자 계층 정확도 향상, 불확실성 인식 위험 평가를 가능하게 하여 이러한 한계를 극복합니다.
이 논문의 혁신은 주로 다음 측면에 반영되어 있습니다: Ryu OpenFlow 컨트롤러와 OpenFlow 스위치를 기반으로 한 효율적인 분산 네트워크 아키텍처가 구축되어 링크 정보의 실시간 수집과 동적 스케줄링이 가능하며, 이를 통해 데이터 전송 효율성과 처리를 크게 향상시킵니다.
데이터 불균형과 소표본 공격 식별로 인한 어려움을 고려하여, 상향식 HMC 프레임워크가 설계되었고, AdaBoost와 Bagging 같은 통합 학습 기법이 도입되어 세분화된 공격 범주의 탐지 정확도를 크게 향상시킵니다.
클라우드 모델 이론은 신뢰 연계 클라우드를 구축하는 데 사용됩니다. 역생성기와 유사성 계산을 통해 네트워크 내 각 주체의 신뢰 상태를 동적으로 평가하여 위험 경고의 정량적 근거를 제공하고 비정상적인 거래가 저가 또는 높은 가격에 의해 발생하는 신용 투기를 효과적으로 억제합니다.
참고: 이 프로토콜은 클라우드 기반 네트워크 보안 상황 인식 시스템을 구축하고 동적 신뢰 평가를 통한 계층적 분류를 구현하는 방법을 설명합니다. 아래 단계를 따라 클라우드 네트워크 토폴로지를 설계하고, 데이터 흐름을 수집 및 주석 처리하며, 계층적 다중 클래스 분류 및 신뢰 평가 모듈을 배포하세요. 그림 1 은 실시간 공격 탐지를 위한 적응형 머신러닝, 계층적 분류, 신뢰 평가를 통합한 제안된 SDN-클라우드 프레임워크를 보여줍니다.
1. 클라우드 네트워크 토폴로지 설계
참고: 진행 전에 OpenStack, Ryu, Mininet에 대한 관리자 접근 권한을 확인하세요.
2. 데이터 흐름 수집 및 주석 전략
주의: 데이터 프라이버시 규정(예: GDPR, 지역 사이버 보안 정책)을 반드시 준수해야 합니다. 사용자 식별자와 IP 주소를 미리 익명화하세요.
3. 계층적 분류 및 신뢰 평가 통합 아키텍처
4. 신뢰 클라우드 모델의 계산 및 구현 (그림 5)














5. 공격 탐지 성능의 실험적 검증
실험적 검증 및 성능 분석
클라우드 기반 검증
제안된 알고리즘의 효율성과 타당성을 시험하기 위해 제어 네트워크 실험실 환경에서 시뮬레이션 테스트가 수행되었습니다. 검증은 Windows 운영체제에서 수행되었으며, 핵심 알고리즘은 VC(Visual C++) 프로그래밍 도구로 코딩되었습니다.
실험 데이터의 경우, 침입 탐지 및 네트워크 행동 모델링에서 흔히 사용되는 공개된 KDDCUP_10% 데이터셋(http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html)을 선택했습니다. 일반적인 실험 과정은 결과의 비교 가능성과 신뢰성을 보장하기 위해 앞서 설명한 접근법과 매우 유사합니다.
주요 알고리즘 매개변수는 다음과 같이 설정되었습니다: 시간 간격 T = 10초; 샘플링 라운드 수 h = 20; 데이터 샘플 n = 1000.
이 매개변수들을 사용하여 신뢰 클라우드 모델의 디지털 특성을 계산했습니다. 그 후 클라우드 유사성 알고리즘을 사용해 후보 중 가장 유사한 신뢰 클라우드를 식별하여 네트워크 상태를 분류하고 평가할 수 있게 되었습니다.
표 2는 선택된 시스템 샘플의 값과 네트워크 분석 상황의 결과를 보여줍니다. 이 결과는 제안된 클라우드 기반 신뢰 평가 시스템이 다면적인 네트워크 환경의 역동성과 불확실성을 효율적으로 표현하고 캡슐화할 잠재력을 지니고 있음을 확인시켜 줍니다.
이 실험은 실시간 신뢰 평가와 결합된 클라우드 모델 구현 가능성을 확인하고, 적응형 보안 관리 시스템에서의 추가 적용을 위한 프레임워크를 제공합니다.
공격 검증
본 실험에서 제안된 알고리즘의 성능을 철저히 검증하기 위해서는 클라우드 컴퓨팅 환경 내에서 이진 분류, 다중 분류, HMC의 공격 탐지 능력을 평가해야 합니다. 실험 평가는 세 가지 주요 단계로 나뉩니다: AI 모듈의 기능 점검을 위한 DDoS 공격 데이터 적용, 다양한 ML 알고리즘의 기능 평가, 그리고 공격 예측을 위한 DL 모델의 기능 분석 등입니다.
이진 분류 성능 검증
실험의 1단계에서는 DDoS 공격 데이터셋을 AI 모듈을 검증하는 데 사용되었으며, 이 모듈의 주요 목적은 클라우드 컴퓨팅 환경에서 모델의 예측 정확도를 테스트하는 것이었습니다. 우리는 5배 교차 검증 방식을 사용했으며, 훈련 데이터와 테스트 데이터의 비율을 8:2로 설정했습니다. 즉, 데이터의 80%는 훈련에, 20%는 테스트에 사용되었습니다. 각 실험에서는 서로 다른 테스트 세트를 사용해 모델을 검증하여 각 샘플이 한 번씩 테스트 세트로 나타나는지 확인했습니다. 훈련 과정은 5시대에 걸쳐 진행되었고, 평균 결과가 산정되었습니다.
데이터셋은 정상과 비정상 두 그룹으로 분류됩니다. 서로 다른 분류기의 성능을 비교하기 위해 다음 8가지 일반적인 ML 분류기가 선택되었습니다: 결정 트리(DT), 랜덤 포레스트(RF), 순진한 베이즈 알고리즘(NB), K-최근접 이웃(KNN), 지지 벡터 기계(RBF 커널)(SVM-RBF), 선형 지지 벡터 기계(L-SVM), 그리고 앙상블 학습을 위한 배깅 및 부스트 알고리즘. 성능 비교 결과는 그림 6에 나와 있습니다. 이 분류기들의 성능 비교를 통해 DDoS 공격 탐지에서의 성능을 포괄적으로 평가할 수 있습니다 20,21.
다중 분류 성능 검증
실험의 두 번째 단계에서는 데이터셋이 DDoS, U2R(사용자 투 루트 공격), R2L(원격 로컬 공격), 일반 데이터 등 다양한 유형의 네트워크 공격을 포함하는 다중 분류 문제로 확장되었습니다. 다중 분류 문제는 모델이 여러 공격 유형을 식별하고 조직하는 능력을 시험합니다.
검증에는 MLP, CNN, RNN, 장기 단기 기억(LSTM) 네트워크, GRU 네트워크 등 다섯 개의 DL 분류기가 사용되었습니다. 각 모델의 구체적인 매개변수 설정은 표 1, 표 3, 표 4에 제시되어 있습니다. 다중 분류 검증을 수행할 때, 모델의 정밀도와 회상성을 여러 범주에 걸쳐 상세히 평가했습니다.
HMC의 다중 분류 성능 검증
세 번째 단계에서는 HMC 알고리즘을 사용하여 위에 언급된 모든 ML 및 DL 모델의 다중 분류 작업에서의 성능을 비교했습니다. HMC 알고리즘은 복잡한 다중 클래스 문제를 여러 이진 분류 하위 문제로 분해하여 미세한 공격(예: U2R, R2L 등)을 탐지하는 정확도를 크게 향상시킵니다. HMC의 장점은 전통적인 분류 방법에 비해 공격 탐지 정확도를 향상시켜 입증되었습니다.
실험 결과 및 분석
위 세 단계의 실험을 통해 각 분류기와 DL 모델의 다양한 공격 유형에서의 성능 지표를 얻었습니다. 표 3은 정확도, 회상률, F1 값 등과 같은 다양한 분류 방법에서의 성과 지표를 보여줍니다. 실험에서 HMC는 특히 U2R 및 R2L 공격을 다룰 때 다중 클래스 공격 탐지에서 높은 정확도와 견고함을 보여주었습니다. 전통적인 SVM 및 RF 방법에 비해 HMC는 상당한 개선을 이루었습니다.
이러한 실험 결과를 통해 우리는 제안된 AI 모듈의 클라우드 컴퓨팅 환경에서 공격 탐지의 효과를 검증하고, 이후 모델 최적화 및 애플리케이션 배포를 위한 신뢰할 수 있는 기반을 마련했습니다.
실험 결과는 ML 모델 중에서 결정 트리(DT), 랜덤 포레스트(RF), 그리고 앙상블 방법(Bagging, Boosting)이 우수한 성능을 보였으며, F1 점수는 1.0에 달했습니다. 이는 DDoS 패턴을 일반 트래픽과 구분하는 견고함과 정확성을 입증합니다. 반면, 순진한 베이즈(NB) 모델은 비정상 패킷 예측에서 F1 점수 0.62로 저조한 성과를 냈으며, 이는 복잡한 공격 유형에 직면했을 때 오분류 위험이 있음을 나타냅니다.
그림 7은 MLP, CNN, RNN, LSTM, GRU의 성과를 보여줍니다. 매개변수를 최적화한 결과, DL 모델의 이진 F1 점수는 각각 0.93과 0.98로, DL 모델이 특히 시계열 데이터와 복잡한 패턴 인식을 처리할 때 딥 데이터 특성을 효과적으로 포착하고 전통적인 ML 모델보다 더 우수한 성능을 보였음을 나타냅니다.
종합적인 분석 결과, 의사결정 트리, 앙상블 학습 방법, 신경망 모델 모두 DDoS 공격 탐지에 우수한 성능을 보였지만, 특정 응용 분야에서는 적합한 모델 선택에 여전히 공격 유형, 데이터 양, 컴퓨팅 자원 등의 요소를 고려해야 합니다. 모델의 탐지 능력을 더욱 향상시키기 위해 향후 여러 모델을 통합하여 더 높은 정확도와 낮은 오경보율을 달성할 수 있습니다.
그림 8은 DL 모델이 전통적인 ML 기준선보다 우수한 성능을 보여준다. 특히 불균형 데이터셋에서 F1 값을 0.96에서 0.99 사이로 유지한다. 하지만 U2R 클래스의 예측 성능은 세분화된 카테고리에서 여전히 수준이 낮으며, 사이버 공격 분류 성능은 단 0.49에 불과합니다. 그림 9 와 그림 10의 합산 결과에 따르면, U2R, 사이버 공격, BFA, 봇넷 등 일부 샘플 범주의 인식 성능은 개선되어야 합니다.
세 번째 단계에서는 이전 분류기와 동일하지만 소수 등급에 집중하는 13개의 단일 분류기가 사용되어 HMC의 성능을 비교했습니다. 결과에 따르면 AdaBoost 기반 HMC 설계가 포장보다 더 우수한 성능을 보였습니다. U2R 클래스에서는 AdaBoost 기반 HMC가 F1 점수 0.5(초기 F1 점수는 0)인 반면, 포장 기반 HMC는 소수 클래스의 F1 점수 0.67(초기 F1은 0.4)입니다. AdaBoost 기반 HMC는 네트워크 공격 클래스에서 F1 점수 0.88(원래 F1은 0.71)를 받았고, Bagging 기반 HMC는 네트워크 공격 클래스에서 F1 점수 0.9(원래 F1은 0)를 받았습니다. 이 결과들은 AdaBoost와 Bagging과 같은 앙상블 학습 전략이 소수 클래스에 대한 다중 분류기의 예측 능력을 크게 향상시킨다는 것을 보여줍니다.
공격 시뮬레이션 사례
실제 네트워크 환경에서 제안된 모델의 실용성과 견고성을 더욱 검증하기 위해, 본 논문은 공격 시뮬레이션 사례를 설계하고 구현했으며, DDoS 공격 시나리오에 대한 시뮬레이션 실험을 수행하였습니다. 시뮬레이션 환경은 가상 클라우드 컴퓨팅 플랫폼 위에 구축되었으며, 여러 가상 호스트를 사용하여 일반 사용자와 공격자 간의 상호작용을 시뮬레이션합니다. 시뮬레이션 시나리오에는 정상적인 비즈니스 접근과 악성 트래픽이 공존하는 혼합 네트워크 환경이 포함됩니다.
실험에서 공격자는 여러 소스 IP를 통해 대상 서버에 UDP 플러드 공격과 SYN 플러드 공격을 가해 대상 시스템 자원을 고갈시키고 정상 서비스의 가용성에 영향을 미치려 시도했습니다. 시스템은 끊임없이 네트워크 트래픽 정보를 수집하며, 전송 속도, 세션 지속 시간, 포트 접근 빈도, 비정상 연결 수와 관련된 주요 특성 매개변수를 사용합니다.
제안된 신뢰 평가 및 공격 탐지 모델은 모니터링 노드에 구현되어 실시간 트래픽을 분석하고 분류합니다. 시스템은 신뢰 클라우드 모델과 다중 분류 식별 메커니즘을 통해 공격 초기 단계에서 성공적인 식별을 기록하고, 의심스러운 대상을 낮은 신뢰로 태그하여 대응 메커니즘을 활성화할 수 있습니다.
시뮬레이션 결과에 따르면, 시뮬레이션된 공격 트래픽이 전체 트래픽의 30% 이상을 차지합니다. 제안된 시스템은 시뮬레이션된 DDoS 조건에서 96%의 탐지 정확도, 3%의 낮은 오탐률, 2초 미만의 응답 지연을 달성했습니다. 이 결과는 이 모델이 분산 공격 대응과 시스템 보안 방어 능력 강화에 있어 유망한 응용 기회를 갖고 있음을 확인시켜 줍니다.
더불어, 이 실험은 다라운드 공격과 비연속 공격의 시험도 확장시켰다. 이 모델은 높은 검출 안정성을 유지하며, 이는 복잡한 동적 네트워크 조건에서 우수한 일반화 능력을 나타냅니다. 향후 데이터 인젝션, 피싱 공격 등 공격 유형이 확장되어 다양한 위협에 대한 모델의 유연성과 확장성을 완전히 시험할 예정입니다.
표 5는 성과 개선의 통계적 유의성을 나타냅니다. 이 표는 주요 성과 지표 측면에서 제안된 Adaptive ML-HMC-Trust 프레임워크와 비교한 쌍 t-검정 결과를 보여줍니다. 표는 평균 및 표준편차 값, t-값, p-값, 그리고 정확도, F1 점수, 소수자 집단 검출률, 오탐성률, 탐지 지연 등의 유의수준으로 구성되어 있습니다.

그림 1: 방법론 흐름 표현. 실시간 공격 탐지를 위한 적응형 머신러닝, 계층적 분류, 신뢰 평가를 통합한 제안된 SDN-클라우드 프레임워크를 보여주는 플로우차트입니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭하세요.

그림 2: 클라우드 서비스 아키텍처. 그림은 연구에 적용된 일반 클라우드 서비스 모델인 제어 계층, 데이터 전달 계층, 서비스 계층을 보여줍니다. 아키텍처는 Ryu OpenFlow 컨트롤러, Open vSwitch 노드, 가상화된 클라우드 호스트로 구성되어 있습니다. 연결은 모두 실시간 데이터 흐름과 링크 상태 상호작용입니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.

그림 3: 네트워크 위상 모형. 그림은 클라우드 환경에서 구축된 3계층 가상 네트워크 토폴로지를 보여줍니다. 여기에는 호스트 노드, 스위칭 계층, 시뮬레이션된 링크 지연 및 대역폭 제한이 포함됩니다. 이 토폴로지는 트래픽 분리, 다중 경로 라우팅, 공격 흐름 재디렉션(실시간)을 가능하게 합니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.

그림 4: HMC 기반 보안 탐지 아키텍처. 그림은 앙상블 학습, 신뢰 평가, 다단계 위협 탐지를 결합한 다중 클래스 분류 계층 구조를 보여줍니다. 블록들은 분류 단계를 나타내며, 거친 분수에서 미세분화로 공격 탐지의 흐름을 나타냅니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.

그림 5: 클라우드 모델 기반 신뢰 평가 프로세스. 그림은 일반적인 신뢰 클라우드 생성, 속성 추출, 속성 클라우드 형성, 클라우드 유사도 계산, 신뢰 수준 분류, 동적 신뢰 업데이트 과정을 거치는 신뢰 평가 과정의 6단계를 나타냅니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.

그림 6: DDoS 데이터셋에서의 머신러닝 성능. 그림은 8개의 고전적 ML 모델이 일반 공격 트래픽과 DDoS 공격 트래픽의 이진 배열에서 어떻게 작동하는지 살펴봅니다. 지표는 회상력, 정확도, F1 점수, 그리고 일반 정확도입니다. 오류 바는 5배 교차 검증을 통해 변동성을 반영합니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.

그림 7: DDoS 데이터셋에서의 딥러닝 모델 성능. 그림은 MLP, CNN, RNN, LSTM, GRU 모델의 이진 분류 성능을 보여줍니다. 측정은 일련의 훈련 주기에서 모델 성능을 나타냅니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.

그림 8: HMC와 단일 머신러닝 분류기 성능 비교. 그림은 계층적 다중 분류와 U2R, R2L 같은 소수자 공격의 전통적인 분류기를 비교한 것입니다. F1 점수가 제시되며, 반복 실험 간 변동을 나타내는 오차 바도 포함되어 있습니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.

그림 9: HMC와 딥러닝 분류기 성능 비교. 이 값은 DL 모델에서 HMC를 이용한 다중 클래스 탐지 향상을 나타냅니다. 소수 성능이 강조되며, 단일 DL 모델에 비해 크게 향상되었습니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.

그림 10: DDoS 공격 시뮬레이션 결과. 그림은 공격 시뮬레이션에서 실험의 실시간 모니터링 출력을 보여주며, 트래픽 속도, 비정상 연결 수, 탐지 방법의 응답 시간, 시스템 분류 출력을 나타냅니다. 눈금바는 시간(초 단위)과 교통량을 나타냅니다. 이 그림의 더 큰 버전을 보시려면 여기를 클릭해 주세요.
| 모델 | 학습 속도 | 배치 크기 | 시대 | 활성화 기능 |
| MLP | 0.001 | 64 | 30 | ReLU |
| CNN | 0.0005 | 32 | 50 | 리키리루 |
| RNN | 0.001 | 64 | 40 | 탄 |
| LSTM | 0.0001 | 128 | 60 | 시그모이드 |
| 으르 | 0.001 | 64 | 45 | ReLU |
표 1: 딥러닝 모델 매개변수 설정. 이 표는 딥러닝 실험의 하이퍼파라미터를 포함합니다: 배치 크기, 학습률, 에포크 수, 아키텍처 명세.
| 샘플 ID | 샘플링 시간(초) | 신탁 등급 ExEx | 엔트로피 에넨넨 | 하이퍼 엔트로피 헤헤헤 | 유사도 점수 | 신뢰 수준 |
| 1 | 10 | 0.75 | 0.65 | 0.8 | 0.85 | 높게 |
| 2 | 20 | 0.8 | 0.6 | 0.75 | 0.82 | 높게 |
| 3 | 30 | 0.68 | 0.7 | 0.85 | 0.8 | 매체 |
| 4 | 40 | 0.6 | 0.72 | 0.9 | 0.78 | 매체 |
| 5 | 50 | 0.5 | 0.8 | 0.95 | 0.7 | 낮게 |
| 6 | 60 | 0.45 | 0.85 | 0.96 | 0.65 | 낮게 |
표 2: 시스템 샘플 값 및 네트워크 상황 분석. 이 표는 트래픽 통계, 신뢰 값, 분류 출력 등 클라우드 환경의 샘플 값을 제공합니다.
| 분류기 | 정확성 | 정밀도 | 리콜 | F1 점수 |
| 의사결정 트리(DT) | 85.20% | 84.30% | 86.10% | 85.20% |
| 랜덤 포레스트 (RF) | 90.10% | 89.30% | 91.00% | 90.10% |
| 순진한 베이즈 (NB) | 82.50% | 81.70% | 83.40% | 82.50% |
| K-최근접 이웃 (KNN) | 87.40% | 86.80% | 88.10% | 87.40% |
| SVM-RBF | 88.90% | 88.10% | 89.50% | 88.80% |
| 선형 SVM (L-SVM) | 87.80% | 87.20% | 88.50% | 87.80% |
| 포장 | 91.20% | 90.50% | 91.70% | 91.10% |
| 부스트 | 92.30% | 91.90% | 92.60% | 92.20% |
표 3: 머신러닝 분류기 성능 비교. 표는 테스트된 모든 ML 모델의 회상율, 정밀도, 정확도, F1 점수를 제시합니다.
| 모델 | 정확성 | 정밀도 | 리콜 | F1 점수 |
| MLP | 89.50% | 88.70% | 90.30% | 89.50% |
| CNN | 91.20% | 90.70% | 91.50% | 91.10% |
| RNN | 88.30% | 87.60% | 88.80% | 88.20% |
| LSTM | 92.10% | 91.80% | 92.40% | 92.10% |
| 으르 | 91.80% | 91.40% | 92.10% | 91.70% |
표 4: 딥러닝 분류기 성능 비교. 이 표는 다중 클래스 탐지를 기반으로 한 MLP, CNN, RNN, LSTM, GRU 모델의 성능 지표를 제시합니다.
| 성과 지표 | 기준 평균(SD) | 제안된 모델 평균(SD) | t-값 | p-값 | 의의 |
| 정확성 | 0.89 (0.04) | 0.96 (0.02) | 8.72 | <0.001 | 중요함 |
| F1-점수 | 0.84 (0.05) | 0.94 (0.03) | 9.15 | <0.001 | 중요함 |
| 소수민족 계급 탐지(U2R/R2L) | 0.52 (0.08) | 0.81 (0.06) | 10.44 | <0.001 | 중요함 |
| 위양성률 | 0.11 (0.03) | 0.04 (0.02) | –7.98 | <0.001 | 중요함 |
| 탐지 지연 (초) | 3.10 (0.41) | 1.82 (0.33) | –9.27 | <0.001 | 중요함 |
표 5: 성과 개선의 통계적 유의성. 이 표는 주요 성능 지표 측면에서 제안된 Adaptive ML -HMC-Trust 프레임워크와 비교한 쌍 t-검정 결과를 보여줍니다. 표는 평균 및 표준편차 값, t-값, p-값, 그리고 정확도, F1 점수, 소수자 집단 검출률, 오탐성률, 탐지 지연 등의 유의수준으로 구성되어 있습니다.
이 프로토콜의 효과적인 배포는 클라우드 기반 아키텍처 내에서 중요한 단계에 의존합니다. Ryu OpenFlow 컨트롤러의 적절한 구성, Open vSwitch 규칙의 올바른 설정, 그리고 다층 토폴로지의 견고한 형성이 완전한 트래픽 캡처를 보장하는 데 필수적입니다. Ryu를 컨트롤러로, Open vSwitch를 스위칭 플랫폼으로 선택한 것은 시스템의 실용성을 크게 강화합니다; 가볍고 모듈화되며 완전 프로그래밍 가능한 특성 덕분에 실시간 네트워크 모니터링, 동적 흐름 제어, 클라우드 인프라 전반의 확장 가능한 보안 관리에 이상적입니다. 마찬가지로, 정리, 정규화, 주석 작성 등 전처리 파이프라인도 계층적 분류 중 편향을 방지하기 위해 정확히 실행되어야 하며, 이는 클라우드 보안 분석의 본질적인 복잡성을 해결합니다.
배치 과정에서 최적의 성능을 보장하기 위해 여러 조정이 필요했습니다. 앙상블 모델은 처음에 소수 계층에서 과적합을 보였으며, 이는 약한 학습자 깊이와 투표 가중치를 조정해야 했으며, 이는 이상 탐지에서 발견되는 도전과 유사합니다. 노이즈 트래픽으로 인한 신뢰 가치 변동성을 완화하기 위해 클라우드 모델 엔트로피와 붕괴 매개변수가 재조정되었습니다. 더 나아가, Kafka-Spark 파이프라인의 스트리밍 병목 현상은 고처리량 클라우드 환경을 지원하기 위해 주제 분할을 확장함으로써 해결되었습니다.
Mininet과 EstiNet에서의 시뮬레이션 실험 결과, 그리고 실제 클라우드 트래픽 및 DDoS 데이터셋을 이용한 평가는 제안된 ML-HMC-트러스트 융합 접근법이 탐지 정밀도, 오탐 감소, 실시간 반응성에서 명확한 향상을 제공함을 보여줍니다. 이는 적응형 학습 알고리즘을 계층적 분류 모델과 정렬하여 복잡한 다중 클래스 공격 탐지 과제를 분해하는 효과성을 확인시켜 줍니다. 이 접근법은 동적 공격 기법과 소수 범주 위협에 대응하는 기존의 비반응적이고 규칙 기반 프레임워크에 비해 상당한 장점을 제공합니다. 구체적으로, HMC와 AdaBoost 및 Bagging을 결합함으로써 이 프로토콜은 U2R, R2L과 같은 희귀 공격 클래스의 세분화 탐지에서 더 높은 정확도를 달성하여 단일 ML 모델의 클래스 불균형 한계를 해결합니다. 또한, 동적 신뢰 모델은 불확실한 상황에서 의사결정 능력을 향상시킵니다.
이러한 발전에도 불구하고, 프로토콜은 관련 연구에서 보고된 몇 가지 제한 사항의 영향을 받습니다. 머신러닝 기법은 특히 U2R 및 R2L 공격에서 극심한 데이터 불균형에 직면해 있습니다. 딥러닝 모델은 강력하지만 상당한 연산 자원을 요구하며 실시간 클라우드 시나리오에서 지연 시간을 보일 수 있습니다12,13. 앙상블 학습은 일반화를 향상시키지만 자원 소비와 추론 시간을 증가시킵니다14. 마찬가지로, 클라우드 모델 신뢰 시스템은 노이즈가 있거나 동적으로 진화하는 행동 입력에 취약함을 보여주었으며, 이는 이전 연구 결과와 일치합니다. 제안된 방법은 대규모 클라우드 및 엣지 환경에 적합한 모듈식 설계를 특징으로 하며, 연합 학습, 안개 컴퓨팅, 분산 IoT 클라우드 시스템과의 통합을 가능하게 합니다. 현재 연구는 중간 규모 시나리오에서의 기능 검증에 초점을 맞추었으나, 향후 연구는 대규모의 고분산 클라우드 환경과 다중 컨트롤러 SDN 아키텍처로 확장되어 내결함성을 향상시킬 것입니다. 계획된 확장 계획에는 강화 학습 기반 신뢰 적응, 제로데이 기능, 그리고 피싱과 봇넷과 같은 신흥 위협에 대응하기 위한 위협 인텔리전스 피드와의 심화 통합 조사도 포함됩니다. SDN 생태계 내에서 적응형 머신러닝, HMC, 신뢰 평가를 통합함으로써, 이 연구는 보다 지능적이고 회복력 있으며 선제적인 클라우드 방어 시스템으로 나아가는 전략적 경로를 제시합니다.
저자들은 공개할 것이 없습니다.
저자들은 상하이 양성자 및 중이온 센터 정보부에 이 연구에 필요한 필수 컴퓨팅 자원과 연구 환경을 제공해 주신 데 깊은 감사를 표합니다. 또한 시스템 설계 및 테스트 단계에서 귀중한 기술적 통찰을 제공해 준 동료들에게도 감사의 뜻을 전합니다.
| Name | Company | Catalog Number | Comments |
|---|---|---|---|
| AdaBoost (앙상블 학습 라이브러리) | Scikit-learn, Python | https://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.html | 소프트웨어 |
| 포장 분류기 | Scikit-learn, Python | https://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.html | 소프트웨어 |
| 클라우드 모델 신뢰 평가 코드 | 맞춤형 구현 | 해당 없음 | 알고리즘/소프트웨어 |
| 합성곱 신경망(CNN) | 텐서플로우 / 파이토치 | https://www.tensorflow.org/tutorials/images/cnn | 소프트웨어 |
| 딥러닝 프레임워크 (MLP, RNN, LSTM, GRU) | 텐서플로우 / 파이토치 | 소프트웨어 | |
| EstiNet 네트워크 시뮬레이터 | 에스티넷 테크놀로지스 | https://sites.google.com/view/estinet-network-simulator | 소프트웨어 |
| Kafka (Data Streaming Platform) | 아파치 재단 | https://kafka.apache.org/ | 소프트웨어 |
| KDD 컵 10% 데이터셋 | UCI 머신러닝 저장소 | http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html | 데이터셋 |
| 미니넷 에뮬레이터 | 미니넷 프로젝트 | 미니넷 2.3.1 | SDN 토폴로지, 대역폭, 혼합 공격 시뮬레이션을 위한 네트워크 에뮬레이션. |
| 오픈 vSwitch (OVS) | 오픈 vSwitch 조직 | OVS 3.2.2 | 플로우테이블 제어 및 공격 트래픽 리디렉션을 구현하는 가상 스위치. |
| 오픈스택 클라우드 플랫폼 | 오픈 인프라 재단 | https://www.openstack.org/ | 클라우드 소프트웨어 |
| 파이썬 3.x | 파이썬 소프트웨어 재단 | https://www.python.org/downloads/ | 프로그래밍 언어 |
| 류 SDN 컨트롤러 | NTT 연구소 D | 류 4.34 | 실시간 네트워크 트래픽 캡처 및 상황 인식을 위한 SDN 컨트롤러. |
| 스파크 스트리밍 프레임워크 | 아파치 재단 | https://spark.apache.org/docs/latest/streaming-programming-guide.html | 소프트웨어 |
| Visual C++ (VC++) 컴파일러 | 마이크로소프트 | https://visualstudio.microsoft.com/ | 소프트웨어 |
| 윈도우 11 워크스테이션 | 마이크로소프트 | 윈도우 11 프로 23H2 | OS는 모델 컴파일, 학습, 테스트에 사용됩니다. |
Request permission to reuse the text or figures of this JoVE article
Request Permission