그래프 기반 마이크로서비스 성능 탐지가 마이크로서비스 침입 탐지에 사용될 수 있는가?

마이크로서비스 (Microservice) 시스템은 메트릭 (metrics), 로그 (logs), 분산 추적 (distributed traces)을 포함한 풍부한 텔레메트리 (telemetry) 스트림을 노출합니다. 기존의 성능 이상 탐지 (performance anomaly detection) 방법들은 이러한 시스템을 노드가 서비스를 나타내고 에지가 런타임 의존성 (runtime dependencies)을 나타내는 그래프 (graphs)로 모델링하는 추세입니다. 본 논문은 그래프 기반 마이크로서비스 성능 탐지가 마이크로서비스 침입 탐지 (microservice intrusion detection)를 위한 기반으로도 사용될 수 있는지 질문합니다. 우리는 Docker Compose 기반의 합성 이커머스 마이크로서비스 벤치마크를 배포하고, 정상 워크로드 하에서 5가지 공격 유형에 대해 50회의 통제된 실험을 수행하며 메트릭, 로그, 분산 추적을 수집합니다. 각 요청 추적 (request trace)은 타임스탬프가 찍힌 로그와 서비스별 성능 메트릭에서 유도된 다중 모드 (multi-modal) 노드 특징을 가진 요청 수준의 호출 그래프 (invocation graph)로 변환됩니다. 첫 번째 베이스라인으로서, 우리는 21,438개의 요청 그래프에 대해 6-way 분류를 수행하는 2층 그래프 합성곱 신경망 (Graph Convolutional Network, GCN)을 학습시킵니다. 이 모델은 그래프 수준의 무작위 분할 (graph-level random split) 하에서 96.2%의 테스트 정확도와 0.955의 매크로 F1 (macro F1) 점수를 달성합니다. 이후 우리는 모달리티 절제 연구 (modality ablation), 실험 수준 분할 평가 (trial-level split evaluation), 비그래프 베이스라인 비교 (non-graph baseline comparison), 런타임 분석 (runtime analysis), t-SNE 시각화 (t-SNE visualization), 혼동 행렬 분석 (confusion-matrix analysis), 그리고 오류 사례 검사 (error-case inspection)를 수행합니다. 더 엄격한 실험 수준 (trial-level) 결과에 따르면, 추적 구조 (trace structure)만으로는 불충분하며, 로그와 메트릭이 탐지 성능을 향상시키고, 현재로서는 강력한 평탄화된 베이스라인 (flattened baselines)이 엔지니어링된 특징 집합 (engineered feature set) 상에서 얕은 그래프 모델 (shallow graph model)보다 더 나은 성능을 보임을 나타냅니다.