Application of Artificial Intelligence to Network Forensics: Survey, Challenges and Future Directions
Abstract
네트워크 포렌식은 내부 및 외부의 네트워크 공격에 대한 인식과 조사, 네트워크 프로토콜의 리버스 엔지니어링과 네트워크 장치의 계측되지 않은 조사에 중점을 둔다. 이 분야는 디지털 포렌식, 사고 대응, 네트워크 보안이 교차하는 지점에 위치한다. 네트워크 공격은 소프트웨어와 하드웨어의 취약점 그리고 통신 프로토콜을 악용한다. 네트워크 포렌식 조사의 범위는 인터넷 전체에서 한 대의 기기 네트워크 트래픽까지 다양하게 확장될 수 있다. 네트워크 분석 도구(NAT)는 보안 전문가와 법 집행 기관이 네트워크 트래픽을 캡쳐, 식별, 분석하는 데 도움을 준다. 그러나 대부분, 분석해야 할 데이터의 양이 워낙 방대해, 일부 NAT 자동화 기능이 있더라도 네트워크 트래픽 조사는 여전히 힘든 과정이다. 게다가 자동화 시스템에서 발생하는 높은 빈도의 오탐 경보로 인해 전문가의 상당한 시간이 낭비되고 있따. 이와 같은 전 세계적인 문제를 해결하기 위해 인공지능 기반 접근법이 점차 활용되어 공격을 자동 감지하고 네트워크 트래픽 분류 정확도를 높이고 있다.
이 논문은 네트워크 포렌식과 관련하여 전문가 시스템, 머신러닝, 딥러닝, 앙상블.하이브리드 접근법의 최첨단 연구 동향을 종합적으로 조사한다. 여기에는 네트워크 트래픽 분석, 침입 탐지 시스템, IoT 기기, 클라우드 포렌식, DNS 터널링, 스마트 그리드 포렌식, 차량 포렌식 등 다양한 응용 분야가 포함된다. 위에서 언급한 각 응용 분야별로 현재의 주요 과제와 미래 연구 방향에 대해서도 함께 논의한다.
ⅲ. STATE OF THE ART
(생략) 이 섹션에서는 다양한 AI 기술들이 네트워크 포렌식의 다양한 응용 분야에 어떻게 적용되었는지 검토해보자.
B. 침입 탐지 시스템 (IDS)
네트워크 기반 침입 탐지 시스템(NIDS: Network-based itrusion detection system)은 네트워크 트래픽에서 적대적이거나 의심스러운 행동을 감지하고 방지하는 메커니즘이다. NIDS는 기존 기업 시스템과 조직이 보안 통제를 강화하고 네트워크 환경을 보호하는 데 도움을 줄 수 있다. 공격을 식별하는 방식에는 시그니처 기반과 이상 기반 접근법이 있다.
- 시그니처 기반 방법은 알려진 취약점 라이브러리와 네트워크 트래픽을 비교하여 악성 행위를 감지하는 룰 기반 시스템을 사용한다.
- 이상 기반 방법은 인공지능 기술을 활용하여 정상 패턴에서 벗어난 비정상 행동을 자동으로 탐지한다. 가장 안전한 시스템조차도 목적을 가진 외부자 또는 권한을 남용하는 내부자에 의해 악용될 수 있다.
IDS를 기반으로 한 AI 아키텍쳐가 도입되면서 외부의 공격자나 내부의 특권 남용 등 다양한 위협에 대응할 수 있게 되었다. Denning은 IDES(Intrusion Detection Expert System, 침입 탐지 전문가 시스템)을 제안해, 이상 탐지 원리에 기반을 둔 시스템을 설계했으며, 이는 특정 대상에 종속되지 않고 통계 모델과 규칙을 적용한다. 이 연구는 주체(subject)와 객체(object), 자원, 시간과 같은 지표를 활용하여 오탐을 줄이는데 초점을 맞췄다.
Signature 기반 IDS는 오탐 비율이 낮은 반면, 새로운 공격이나 이전에 알려지지 않은 공격을 발견할 수 없는 한계가 있다. 이를 보완하기 위해 머신러닝이 새 패턴의 공격 탐지에 적용되고 있다. ML 모델 트레이닝에는 공개된 데이터셋(KDD99, CIC-IDS2017 등)이 많이 사용된다.
특이값 탐지 및 데이터 불균형 문제에 대응하기 위해 Isolation Forest, 유전 알고리즘, 랜덤 포레스트, LightGBM 등 다양한 샘플링과 특성 선택 기법이 도입되었다.
결정 트리, K-NN, SVM, DNN 등 각기 다른 ML 알고리즘마다 장단점이 있으며, 데이터의 불균형, 소규모 샘플의 탐지력 보강, 오탐/누락 최소화가 주요 과제로 남아있다.
딥러닝 기반 IDS에서는 CNN, LSTM 등 네트워크 데이터를 시공간적으로 이해하는 모델이 적용된다. 모델의 성능 향상을 위해 클래스 불균형 최적화, 하이퍼파라미터 튜닝 등이 병행된다. RNN, CNN-LSTM, GRU 등 다양한 구조의 신경망이 데이터셋(NSL-KDD, UNSW-NB15, CIC-IDS2017 등)에서 실험되고 있다.
최근에는 연합학습(Federated Learning)을 통해 개인정보를 중앙 서버에 모으지 않아도 분산 환경 하에서 모델을 학습시킬 수 있게 하여, 데이터 프라이버시와 효율 모두를 고려하는 연구가 주목받고 있다.
현재의 과제 및 미래 방향
- 공개 데이터셋 중심 연구의 한계 → 실제 네트워크 트래픽 반영 여부 불투명
- 다중 요인 환경에서의 분류와 높은 오탐률이 여전한 문제
- IoT 등 실시간, 온라인의 경량화된 이상 탐지 시스템 개발이 큰 도전
- 데이터셋 편향, 실제 환경 적응성 부족 등의 이슈 존재
- 통합적(앙상블, 하이브리드) 접근법 연구가 필요
- 네트워크 각 계층별 보안 특성을 고려한 탐지 전략 필요
아직 전체 부분은 다 읽지 못했고, IDS와 관련된 부분을 위주로 읽었다.
마저 읽을 예정입니다.
