네트워크 침입 탐지를 위한 대조 사전 학습을 통한 특징 분포 변화 완화

대조 사전 학습을 통해 특징 분포 변화에 강인한 모델을 제안하고, 수치 특징 임베딩 전략이 모델 성능을 향상시킬 수 있음을 보여줌.

이 연구는 네트워크 침입 탐지 문제에서 특징 분포 변화 문제를 해결하기 위해 대조 사전 학습 기반 모델 SwapCon을 제안했다. 주요 내용은 다음과 같다: Kyoto2006+ 데이터셋을 사용하여 시간에 따른 특징 분포 변화를 확인했다. 대조 사전 학습을 통해 시간 불변적인 특징 정보를 모델에 압축하고, 미세 조정 단계에서 이를 정제하는 SwapCon 모델을 제안했다. 다양한 수치 특징 임베딩 전략을 적용하여 모델 성능을 향상시켰다. SwapCon 모델이 XGBoost와 KNN 기반 모델에 비해 큰 성능 향상을 보였다. 사전 학습 모델이 특징 분포 변화에 더 강인한 것을 확인했다.

특징 분포 변화로 인해 IID 분할에 비해 NEAR 분할에서 성능이 0.5%~4% 감소하고, FAR 분할에서 최대 50% 감소했다. 사전 학습을 적용하면 NEAR 분할에서 약 1%의 성능 향상을 보였다. 모델 크기가 클수록 IID와 NEAR 분할에서 성능이 좋지만, FAR 분할에서 일반화 성능이 낮아졌다. PLE 수치 특징 임베딩 방식이 IID, NEAR, FAR 분할에서 각각 0.5%, 0.7%, 0.6%의 성능 향상을 보였다.

"모델 사전 학습은 특징 분포 변화에 대한 강인성을 약 10% 향상시킬 수 있다." "특징 분포 변화는 모델 성능을 심각하게 저하시킬 수 있다."