다중 특징 결합으로 향상된 이상 탐지를 위한 듐스트러‑샤퍼 적용

본 논문은 네트워크 보안 및 일반적인 이상 탐지 시스템에서 발생하는 높은 오탐률과 사전 지식 의존성을 극복하기 위해, 증거 이론의 하나인 듐스트러‑샤퍼(Dempster‑Shafer, 이하 D‑S) 이론을 적용한 새로운 프레임워크를 제안한다. 서론에서는 IDS(침입 탐지 시스템)의 두 가지 주요 접근법인 서명 기반 탐지와 이상 탐지를 비교하고, 특히 이상 탐지가 새로운 공격을 탐지할 수 있는 장점에도 불구하고 사용자 행동 변화에 따른 오탐률 상승 문제를 지적한다. 이러한 문제를 해결하기 위해 다중 센서(다중 특징) 데이터를 결합하는 멀티센서 데이터 융합 기법을 도입하고, 그 구현 수단으로 D‑S 이론을 선택한다. D‑S 이론의 핵심 개념을 간략히 정리하면, 먼저 문제 영역을 정의하는 프레임 오브 디스크리멘션 Θ를 설정하고, 각 증거원(특징)마다 기본 확률 할당(bpa) 함수 m을 정의한다. bpa는 특정 가설(예: 정상, 비정상) 혹은 그들의 합집합에 질량을 할당하며, 전체 질량은 1이 된다. Belief(믿음) 함수와 Plausibility(가능성) 함수는 각각 하위 집합과 상위 집합에 대한 질량을 합산해 하한·상한을 제공한다. D‑S의 핵심 연산인 듐스트러 결합 규칙은 두 개 이상의 bpa를 결합해 새로운 bpa를 생성하며, 충돌(빈 집합에 할당된 질량) 발생 시 정규화 과정을 거친다. 이론적 장점으로는 사전 확률이 필요 없고, ‘무지’를 질량으로 표현해 불확실성을 정량화한다는 점을 들었다. 반면, Θ의 원소 수가 늘어날수록 계산 복잡도가 지수적으로 증가한다는 단점이 있다. 그러나 본 연구에서는 Θ가 {정상, 비정상} 두 개뿐이므로 실제 연산량은 매우 낮으며, 충돌 관리 문제도 모든 bpa에 {정상 또는 비정상} 질량을 비제로로 할당함으로써 완화한다. 실험 설계는 세 부분으로 구성된다. 첫 번째는 위스콘신 유방암 데이터셋(WBCD)이며, 699개의 샘플(241 악성, 458 양성)과 9개의 정규화된 정수형 특징을 사용한다. 저자는 10‑fold 교차 검증을 적용하고, 각 특징별로 훈련 데이터의 ‘수정된 중앙값’ 임계값을 도출해 bpa 함수를 정의한다. 임계값 이하이면 {정상}에, 초과이면 {비정상}에 높은 질량을 할당하고, 나머지는 {정상 또는 비정상}에 배분한다. 결측값이 있는 16개의 샘플은 해당 특징을 단순히 제외함으로써 처리한다. 실험 결과, 단일 특징만 사용할 경우 정확도는 86%~93% 수준이었으나, 3개의 특징을 조합하면 95.7%, 9개의 전체 특징을 결합하면 97.6%의 최고 정확도를 달성했다. 이는 기존 연구(일반화된 순위 최근접 이웃 96.17%, 퍼지 분류 96.7%)보다 우수하며, 결측값을 포함한 전체 데이터를 활용했다는 점에서 실용성이 강조된다. 두 번째 실험은 아이리스 데이터셋으로, 150개의 샘플을 4개의 연속형 특징과 3개의 클래스(세 종류의 아이리스)로 구성한다. 여기서는 각 특징별로 클래스 간 평균값 차이를 이용해 초기 분류를 수행하고, 겹치는 영역에 대해서는 평균값 차이를 기반으로 추가적인 bpa를 부여한다. D‑S 결합을 통해 최종 믿음 값을 계산하면, 다중 클래스 상황에서도 안정적인 분류가 가능함을 확인한다. 세 번째 실험은 실제 이메일 웜 데이터셋이다. 이 데이터는 동료가 수집한 것으로, 특징은 메일 헤더, 본문 길이, 첨부 파일 유무 등 여러 메타데이터를 포함한다. 동일한 bpa 설계와 D‑S 결합 과정을 적용했으며, 평균 실행 시간은 12초(10회 평균)로 실시간 탐지에 근접한 성능을 보였다. 오탐률 역시 기존 서명 기반 탐지에 비해 현저히 낮았다. 논의 부분에서는 D‑S 기반 시스템이 사전 지식에 의존하지 않으면서도 다중 특징을 효과적으로 결합해 정확도를 높일 수 있음을 강조한다. 또한, 계산 복잡도가 프레임 크기에 따라 급증할 수 있다는 점을 인정하고, 향후 연구에서는 초고차원 데이터에 대한 효율적인 초점 원소 축소 기법(예: Fast Möbius Transform)이나 대안 결합 규칙(Yager, Dubois‑Prade)과의 비교를 제안한다. 결론적으로, 본 연구는 D‑S 이론을 이용한 다중 특징 결합 방식이 이상 탐지 분야에서 높은 정확도와 낮은 오탐률을 동시에 달성할 수 있음을 실험적으로 입증했으며, 특히 결측값 처리와 사전 확률이 필요 없는 점에서 기존 방법보다 실용적이다. 향후 실시간 스트리밍 환경, 더 많은 클래스, 그리고 대규모 네트워크 트래픽 데이터에 대한 확장이 기대된다.