Core Concepts
IG(Interpretable Generalization Mechanism)는 네트워크 트래픽의 정상 및 비정상 행위를 정확하게 구분할 수 있는 일관된 패턴을 식별하여, 네트워크 침입을 효과적으로 탐지하고 해석 가능한 의사결정 과정을 제공한다.
Abstract
이 연구에서는 침입 탐지 시스템(IDS)을 위한 해석 가능한 일반화 메커니즘(IG)을 제안했다. IG는 네트워크 트래픽의 정상 및 비정상 행위를 구분하는 일관된 패턴을 식별하여, 침입을 정확하게 탐지할 뿐만 아니라 의사결정 과정의 해석 가능성을 높인다.
IG의 주요 장점은 다음과 같다:
해석 가능성: IG는 일관된 패턴을 활용하여 정상 및 비정상 트래픽을 구분하므로, 의사결정 과정을 이해할 수 있다.
포렌식 분석: 일관된 패턴의 조합을 통해 침입 경로를 파악할 수 있어, 사이버 보안 강화에 기여한다.
재현성: IG의 전체 프로세스(데이터 준비, 학습, 테스트, 평가, 추론)가 재현 가능하여 신뢰할 수 있는 결과를 제공한다.
효과성: IG는 실제 데이터셋에서 정상 및 비정상 트래픽을 정확하게 식별한다. 특히 학습 데이터 비율이 낮은 경우에도 높은 AUC 성능을 보인다.
일반화 능력: IG는 다양한 데이터셋과 학습-테스트 비율에서 우수한 성능을 보이며, 학습에 포함되지 않은 새로운 비정상 사례도 식별할 수 있다.
이를 통해 IG는 설명 가능하고 신뢰할 수 있는 AI 기반 보안 솔루션 개발에 기여할 것으로 기대된다.
Stats
정상 트래픽의 지속 시간(dur)은 0.0~613.0 범위이다.
정상 트래픽의 전송 프로토콜(trnspt)은 대부분 17이다.
정상 트래픽의 서비스 수(srvs)는 0.0~288.0 범위이다.
비정상 트래픽의 지속 시간(dur)은 0.0~613.0 범위이다.
비정상 트래픽의 전송 프로토콜(trnspt)은 대부분 1.0~6.0 범위이다.
비정상 트래픽의 소스 패킷 수(src_pkts)는 1.0~427.0 범위이다.
비정상 트래픽의 목적지 패킷 수(dst_pkts)는 0.0~20.0 범위이다.