그래프프린트: 네트워크 흐름 이상 탐지를 위한 그래프 기반 분석 기법

본 논문은 네트워크 흐름 데이터를 그래프 형태로 변환하고, 그래프릿과 자동동형 궤도라는 두 가지 미시적 구조 특징을 이용해 이상 탐지를 수행하는 GraphPrints 기법을 제안한다. 연구 배경으로는 기존의 서명 기반 침입 탐지 시스템이 알려진 공격에만 효과적이며, 방대한 흐름 로그를 수동으로 분석하기에는 한계가 있다는 점을 들었다. 따라서 구조적 변화를 포착할 수 있는 그래프 분석이 필요하다고 주장한다. 시스템 파이프라인은 크게 네 단계로 구성된다. 첫 번째 단계는 실시간 흐름 캡처이다. 저자들은 오픈소스 흐름 모니터링 툴 ARGUS를 이용해 TCP/UDP 흐름 레코드를 수집하고, 각 레코드에서 시간, 소스·목적 IP, 포트, 전송 바이트 등을 추출한다. 두 번째 단계는 흐름 데이터를 그래프로 매핑하는 과정이다. 일정 시간 간격(31 초)마다 흐름을 집계해 정점은 IP, 방향성 있는 간선은 흐름을 나타내며, 간선 가중치는 총 바이트 수, 색상은 포트 특성(하위 포트 vs 고포트)으로 지정한다. 다중 흐름이 동일 IP 쌍 사이에 존재하면 가중치를 합산해 단일 색상 간선으로 축소한다. 세 번째 단계는 그래프릿 및 궤도 벡터 추출이다. 그래프릿은 크기 k (논문에서는 k=3) 이하의 모든 연결된 유도 서브그래프를 의미하며, FanMod 툴을 사용해 각 그래프에서 그래프릿 종류별 발생 횟수를 카운트한다. 이 카운트들을 모아 그래프릿 차원 벡터 g_i를 만든다. 동시에 각 정점이 속한 자동동형 궤도(예: 별형 그래프의 중심 vs 잎)의 빈도를 기록해 정점별 궤도 벡터 a_i^v를 만든다. 그래프릿은 전체 네트워크 토폴로지 변화를, 궤도는 개별 IP의 역할 변화를 반영한다. 네 번째 단계는 이상 탐지 모델링이다. 그래프 수준에서는 과거 n 개의 그래프릿 벡터 {g_i}에 대해 Minimum Covariance Determinant(MCD) 알고리즘을 적용해 강건한 다변량 정규분포(평균 μ, 공분산 Σ)를 추정한다. MCD는 데이터 중 최대 50 %까지의 이상치를 제외하고 최소 부피 타원을 찾음으로써, 기존 데이터에 섞여 있는 잠재적 이상치에 대한 영향을 최소화한다. 새로운 그래프릿 벡터 g_{new}가 들어오면 Mahalanobis 거리를 계산해 이상 점수를 산출하고, 사전에 정의한 임계값을 초과하면 해당 시간 구간을 이상으로 판정한다. 노드 수준에서는 궤도 벡터에 대해 비지도 k‑means 클러스터링을 수행한다. 클러스터 수 k는 Gap Statistic을 이용해 자동 선택했으며, 실험에서는 k=5가 최적이었다. 각 정점의 궤도 벡터와 가장 가까운 클러스터 중심 사이 거리를 이상 점수로 사용한다. 실험은 미국 오크리지 국립 연구소와 라이스 대학교가 협업한 소규모 사무실 네트워크에서 수행되었다. 정상 트래픽(유선·무선·데이터센터)과 별도로 기록한 비트토렌트 흐름을 삽입해, 비트토렌트가 발생한 24개의 시간 구간을 ‘진짜’ 이상으로 라벨링했다. 전체 데이터는 350개의 그래프(평균 1,265 정점·4,901 간선)로 구성되었으며, 40개의 IP를 무작위 샘플링해 궤도 기반 노드 분석을 수행했다. 결과는 다음과 같다. 그래프 수준에서는 100 % 탐지율과 2.84 %의 오탐률을 기록했으며, 이는 알려진 이상을 완벽히 구분하고 미지의 이상(예: IP 스캔)도 소수만 탐지했다는 의미다. 노드 수준에서는 100 % 탐지율과 0.05 %의 오탐률을 달성했다. 즉, 비트토렌트에 관여한 IP를 정확히 식별하면서 정상 IP를 거의 오탐하지 않았다. 논문의 주요 기여는 (1) 흐름 데이터를 그래프화하고 색상·방향성을 포함한 그래프릿 카운팅으로 구조적 변화를 정량화한 점, (2) MCD 기반 강건 통계 모델을 적용해 기존 데이터에 섞인 이상치에 대한 민감도를 낮춘 점, (3) 정점 수준에서 자동동형 궤도와 클러스터링을 결합해 개별 IP의 비정상 행동을 식별한 점이다. 한편 제한점으로는 그래프릿 수가 색상·방향성을 포함하면 급격히 증가해 계산 비용이 크게 늘어날 수 있다는 점, 실험이 단일 환경·단일 유형(비트토렌트) 삽입에 국한돼 실제 복합 공격에 대한 일반화 검증이 부족하다는 점, 그리고 윈도우 크기·오버랩·k값 등 하이퍼파라미터 선택이 결과에 큰 영향을 미친다는 점을 들 수 있다. 향후 연구에서는 (가) 더 큰 그래프릿(예: k=4, 5)과 색상 조합을 효율적으로 다루는 근사 카운팅 기법, (나) 다중 데이터 센터·클라우드 환경에서의 대규모 실험, (다) 실시간 스트리밍 구현과 온라인 업데이트 메커니즘을 통한 실운용 가능성 검증을 제안한다.