다중중심성 그래프 PCA와 사전학습을 활용한 사이버 침입 탐지

본 논문은 현대 데이터 분석에서 그래프 형태로 표현되는 다양한 데이터에 대해, 단일 토폴로지 특성에 의존하는 기존 그래프 차원 축소·사전학습 기법의 한계를 극복하고자 한다. 이를 위해 저자는 ‘다중중심성 그래프 스펙트럼 분해’라는 새로운 프레임워크를 제시한다. 첫 번째 단계는 그래프 G = (V,E)로부터 여러 구조적 특성을 추출하는 것이다. 여기에는 (i) h‑홉 워크 통계(각 홉에 대한 워크 수와 가중치 합), (ii) 전통적인 중심성 지표(정도, 매개 중심성, 근접 중심성, 고유벡터 중심성, Ego 중심성, LFVC), (iii) 선택된 기준 노드 집합에 대한 최단거리 등이 포함된다. 이러한 특성들은 각각 n × 1 벡터 형태이며, 모두 n × p 행렬 X에 열로 배치된다. 각 열은 단위 정규화 후 행 평균을 빼서 중심화한다. 두 번째 단계는 이 다중중심성 행렬 X에 대해 특이값 분해(SVD)를 수행하는 것이다. 가장 큰 q개의 오른쪽 특이벡터 V_q를 선택하고, Y = X V_q를 계산한다. Y는 n × q 차원의 ‘구조 좌표’이며, 각 노드가 복합적인 중심성·거리·워크 정보를 저차원 공간에 투영한 결과이다. 이 과정을 ‘다중중심성 그래프 PCA(MC‑GPCA)’라 명명한다. MC‑GPCA를 이용해 정의된 ‘구조 차이 점수(SDS)’는 노드 i의 이웃 N_i와의 좌표 거리 제곱을 노드 차수 d_i+1 로 정규화한 값이다. SDS_i = ∑_{j∈N_i}‖row_i(Y)−row_j(Y)‖² / (d_i+1). 이 지표는 그래프 내 구조적 변동을 정량화하며, 특히 사이버 네트워크와 같이 연결 패턴이 급격히 변하는 상황에서 이상 탐지에 유용하다. 세 번째 단계는 그래프 집합 {G_ℓ}에 대한 사전학습이다. 각 그래프에서 상위 z개의 SDS 값을 추출해 열벡터로 만든 뒤, 행 평균을 제거한 행렬 Z를 구성한다. Z에 대해 K‑SVD(특이값 분해 기반 사전학습)를 적용해 사전 D (K개의 원자)와 희소 계수 행렬 C (K × g)를 학습한다. 이 과정을 ‘다중중심성 그래프 사전학습(MC‑GDL)’이라 부른다. D의 각 원자는 그래프 구조의 핵심 서브패턴을 나타내며, C는 각 그래프가 어떤 원자들의 조합으로 설명되는지를 보여준다. 희소성 제약 S에 따라 각 그래프는 제한된 수의 원자만을 사용하므로, 원자 간 차이가 명확히 드러나 공격 유형 구분에 적합하다. 실험에서는 네 가지 변형 그래프(구조 대칭성, 에지 제거, 가중치 변동, 방향 전환)를 대상으로 MC‑GPCA가 2차원 좌표에 변화를 명확히 반영함을 시각화했다. 특히 기준 노드를 하나 추가했을 때, 대칭성으로 인해 구분이 어려웠던 노드들이 거리 기반 특성 덕분에 서로 다른 좌표에 매핑되었다. 사이버 침입 탐지 실험에서는 실제 네트워크 트래픽을 시간별 그래프로 변환하고, MC‑GPCA 기반 SDS가 공격 발생 구간에 급격히 상승함을 확인했다. 이어 MC‑GDL을 적용해 정상, DoS, 포트 스캐닝, 멀웨어 등 네 가지 공격 유형을 학습했으며, 사전의 원자들은 각 공격에 특화된 구조 패턴을 포착했다. 희소 계수만을 이용한 간단한 분류기(예: SVM)로도 90 % 이상 정확도를 달성했다. 논문의 주요 기여는 다음과 같다. 1. 그래프의 다양한 중심성·거리·워크 통계를 하나의 행렬에 통합하는 다중중심성 프레임워크 제시. 2. SVD 기반의 효율적인 그래프 PCA 확장(MC‑GPCA)과 구조 차이 점수(SDS) 정의. 3. K‑SVD를 활용한 그래프 사전학습(MC‑GDL)으로 다중 그래프 집합의 저차원·희소 표현 확보. 4. 가중치·방향·비연결 그래프까지 포괄적으로 적용 가능함을 입증하고, 사이버 네트워크와 같은 실시간 이상 탐지에 효과적임을 실험적으로 증명. 이러한 접근은 기존의 단일 중심성 기반 방법보다 노드 간 미세한 구조 변화를 더 민감하게 포착하고, 다양한 그래프 유형에 일반화 가능하다는 점에서 그래프 신호 처리와 네트워크 보안 분야에 새로운 도구로 활용될 전망이다.