핵심 개념
본 논문은 설명 가능한 인공지능(XAI) 기반 시각적 분석 방법을 사용하여 ML 기반 침입 탐지 시스템에서 발생하는 오탐(FP)과 미탐(FN)을 효과적으로 식별하고, 이를 통해 보안 분석가의 의사 결정을 지원하는 방법론을 제시합니다.
초록
SHAP 플롯 시각적 분석을 통한 ML 기반 침입 탐지 오분류 진단
본 논문은 ICDM 2024의 MLC 워크샵에서 채택된 연구 논문으로, ML 기반 침입 탐지 시스템에서 오분류, 특히 오탐(FP)과 미탐(FN)을 진단하기 위한 새로운 시각적 분석 방법론을 제안합니다. 설명 가능한 인공지능(XAI) 기술 중 하나인 SHAP(SHapley Additive exPlanations) 플롯을 활용하여 특징 중요도를 시각적으로 분석하고, 이를 통해 보안 분석가가 잠재적인 오분류를 식별하고 효과적인 의사 결정을 내릴 수 있도록 지원합니다.
본 논문에서는 세 가지 네트워크 트래픽 데이터 세트(CIC-IoT-2023, NF-UQ-NIDS-v2, HIKARI 2021)를 사용하여 제안된 방법론을 평가합니다. 먼저 데이터 세트를 80:20 비율로 학습 및 테스트 데이터로 분할하고, 클래스 불균형 문제를 해결하기 위해 오버샘플링(SMOTE), 언더샘플링 또는 두 가지 방법을 모두 적용합니다.
분류 모델로는 Decision Tree, XGBoost, Random Forest와 같은 트리 기반 분류기를 사용하고, 성능 지표로는 정확도, 정밀도, 재현율, F1 점수 및 Brier 점수를 사용합니다. XAI 모듈로는 SHAP을 사용하여 모델의 예측 결과에 대한 설명력을 제공합니다.
SHAP 플롯 분석 및 활용 방법
그룹별 SHAP 플롯 생성: 먼저, True Positive (TP), True Negative (TN), False Positive (FP), False Negative (FN) 그룹에 대한 SHAP 플롯을 생성하고, 각 그룹에서 중요도가 높은 상위 20개 특징을 추출합니다.
개별 인스턴스 SHAP 값 매핑: 새로운 트래픽 데이터에 대한 예측 결과가 공격(positive)으로 분류되면, TP 그룹 및 FP 그룹의 SHAP 플롯과 비교하여 개별 인스턴스의 특징 중요도를 시각적으로 보여주는 겹쳐진 막대 그래프를 생성합니다. 예측 결과가 정상(negative)으로 분류되면 TN 그룹 및 FN 그룹의 SHAP 플롯과 비교합니다.
겹쳐진 SHAP 플롯 시각적 분석: 분석가는 겹쳐진 막대 그래프를 통해 개별 인스턴스의 특징 중요도가 어떤 그룹과 유사한지 시각적으로 비교 분석합니다. 겹치는 막대 수가 많을수록 해당 그룹에 더 가까운 인스턴스임을 나타냅니다. 이를 통해 분석가는 예측 결과가 TP, TN, FP, FN 중 어떤 그룹에 속하는지 판단하고, 그에 따라 적절한 조치를 취할 수 있습니다.