DAST: O-RAN의 교차 인터페이스 이상 탐지를 위한 VLM-LLM 프레임워크

O-RAN은 표준화된 개방형 인터페이스(open interfaces)를 통해 통신하는 프로그래밍 가능한 기능들을 갖춘 분산형 베이스밴드 스택(disaggregated baseband stack)을 가능하게 합니다. 멀티 벤더 구성(multi-vendor composition)을 가능하게 하는 동일한 개방성은 컴퓨팅 연속체(compute continuum)를 구성하는 논리적으로 분리된 계층 전반에 걸쳐 공격 표면(attack surface)을 확장시키기도 합니다. 이러한 위협들 중에서도, 기록된 O-RAN 위협의 대다수를 차지하는 서비스 거부(Denial-of-Service) 및 성능 저하 공격은 탐지하기가 특히 어렵습니다. 레이블이 지정된 베이스라인(labelled baselines)이 부족하고, 위협이 탐지기가 재학습되는 속도보다 빠르게 진화하며, 고차원 다변량 텔레메트리(high-dimensional multivariate telemetry)가 단일 추론 모델(monolithic inference models)을 압도하는 이러한 새로운 환경에서 전통적인 시계열 이상 탐지(Time-Series Anomaly Detection, TSAD) 방식은 실패합니다. 이러한 과제를 해결하기 위해, 우리는 3단계 VLM $\rightarrow$ LLM $\rightarrow$ VLM 파이프라인을 체인으로 연결하여 O-RAN의 교차 인터페이스 이상 탐지를 수행하는 제로샷 멀티 에이전트 프레임워크인 DAST를 제안합니다. DAST는 다변량 KPI 스트림을 시각적 표현(visual representations)으로 변환하고, O-RAN 도메인 지식에 따라 텍스트 기반의 인터페이스별 설명을 점수화하며, 고해상도 히트맵(heatmaps)에서 의심 사례를 검증하여 문제가 되는 인터페이스, 이상 시간 간격, O-RAN WG11에 부합하는 지표적 운영 영향 등급(operational impact rating) 및 결정 근거를 출력합니다. 우리는 대표적인 성능 저하 시나리오 하에서 O-RAN 테스트베드로부터 수집된 실제 네트워크 트레이스(network traces)를 사용하여 DAST를 평가하였으며, 0.910의 F1-Score와 0.843의 정확도(Accuracy)를 달성하여 최신 TSAD 베이스라인들을 능가하는 성능을 보여주었습니다.