시계열 그래프 데이터 다중 레벨 이상 탐지

본 논문은 라벨이 부착된 스트리밍 그래프 시퀀스에서 이상을 탐지하고, 그 이상이 발생한 구체적 위치와 맥락을 동시에 제공하는 다중‑스케일 프레임워크를 제안한다. 기존 연구는 정적 그래프나 라벨이 없는 동적 그래프에 초점을 맞추었으나, 라벨과 커뮤니티 구조가 동시에 존재하는 상황에서는 기존 방법이 이상 원인을 정확히 파악하기 어렵다. 이를 해결하기 위해 저자들은 BTER(Block Two‑Level Erdős‑Rényi) 모델을 일반화한 GBTER(Generalized BTER) 모델을 설계하였다. GBTER는 (1) 각 노드의 기대 차수 λᵢ, (2) 명시적인 커뮤니티 할당 {Cⱼ}, (3) 각 커뮤니티별 내부 연결 확률 pⱼ을 입력으로 받아 두 단계의 에지 생성 과정을 수행한다. 첫 단계에서는 각 커뮤니티 내부를 ER( |Cⱼ|, pⱼ ) 로 샘플링하고, 두 번째 단계에서는 남은 차수를 Chung‑Lu 방식으로 보완한다. 이 과정은 커뮤니티 크기·밀도·클러스터링 계수를 자유롭게 지정할 수 있게 하여 실제 소셜·사이버 네트워크의 복합 구조를 정밀히 재현한다. 모델 파라미터 추정은 베이지안 학습을 기반으로 한다. 커뮤니티 탐지는 확장 가능한 Markov Clustering 알고리즘을 사용해 관측된 그래프들의 가중합 그래프에서 커뮤니티를 추출한다. 내부 에지 밀도 pⱼ은 Beta 사전분포와 관측된 내부 에지 수를 이용한 MAP 추정으로 얻으며, 기대 차수 λᵢ는 Poisson‑Gamma 계층 모델을 통해 각 노드별 사후 모드값을 계산한다. 이렇게 학습된 GBTER 인스턴스는 그래프 전체, 서브그래프(커뮤니티), 개별 노드에 대한 발생 확률을 명시적으로 제공한다. 확률을 활용한 두 종류의 다중‑스케일 이상 탐지기가 제안된다. 첫 번째인 Multi‑Scale Probability Detector는 전체 그래프의 발생 확률을 직접 계산하고, 이를 서브그래프·노드 수준으로 분해해 p‑값을 도출한다. 그러나 라벨이 있는 경우 동형 그래프가 다수 존재해 전체 확률이 과소평가되는 문제가 있다. 이를 보완하기 위해 두 번째인 Multi‑Scale Statistics Detector는 GBTER가 정의하는 통계량(예: 커뮤니티 내 에지 수, 노드 차수 분포) 기반으로 이상 여부를 판단한다. 두 탐지기 모두 Monte‑Carlo 시뮬레이션을 통해 p‑값을 추정하고, 사전 정의된 알파 임계값 이하이면 이상으로 판정한다. 실험에서는 합성 데이터와 실제 NCAA 풋볼 스케줄 데이터를 사용하였다. 합성 실험에서는 라벨이 있는 커뮤니티 구조가 명시된 경우, 제안된 통계 기반 탐지기가 기존 Gaussian 기반 탐지기보다 높은 검출률과 낮은 오탐률을 보였다. NCAA 데이터에서는 팀·컨퍼런스 이동이라는 실제 이상 사건을 완전 재현(Recall = 1)하면서 정밀도 0.786 이상을 달성했다. 또한, 탐지 결과를 시각화하는 인터랙티브 도구를 제공해 사용자가 그래프‑레벨 이상에서 구체적인 노드·커뮤니티까지 ‘줌‑인’할 수 있게 하였다. 본 연구의 주요 기여는 다음과 같다. 첫째, 라벨이 있는 동적 그래프에 특화된 확률 모델(GBTER) 설계. 둘째, 계층적 확률·통계 기반 이상 탐지 기법 제시. 셋째, 스트리밍 환경에 적합하도록 파라미터를 실시간 업데이트하는 프레임워크 구현. 넷째, 탐지 결과를 직관적으로 탐색할 수 있는 시각화 인터페이스 제공. 특히 커뮤니티 구조를 명시적으로 제어할 수 있는 GBTER 모델은 사이버 보안, 금융 거래 네트워크 등 라벨과 계층 구조가 중요한 도메인에 널리 활용될 가능성이 크다.