UNAD+: 미지의 네트워크 공격 탐지를 위한 설명 가능한 하이브리드 프레임워크

이전에 본 적 없는 네트워크 공격을 탐지하는 것은 침입 탐지 시스템(Intrusion Detection Systems, IDS)에 있어 여전히 주요한 과제로 남아 있습니다. 지도 학습(Supervised Learning) 방식은 알려진 공격 클래스에 대해서는 종종 우수한 성능을 보이지만, 새로운 공격 유형이 학습 데이터에 포함되어 있지 않을 경우 한계가 있습니다. 비지도 학습(Unsupervised Learning) 방식은 레이블이 지정된 공격 샘플을 필요로 하지 않기 때문에 제로 데이 공격(Zero-day attacks)을 탐지하는 데 더 적합하지만, 종종 높은 오탐률(False Positive Rates)로 인해 실제 환경에서의 유용성이 제한됩니다. 본 논문은 이전에 제안된 Unknown Network Attack Detector (UNAD)에서 파생된, 미지의 네트워크 공격 탐지를 위한 향상된 프레임워크인 UNAD+를 제시합니다. UNAD+는 정상 데이터만을 사용하는 비지도 앙상블(Benign-only unsupervised ensemble)과 가중 다수결 투표(Weighted Majority Voting, WMV), 의사 레이블링(Pseudo-labelled)된 탐지 결과로 학습되는 지도 정제(Supervised refinement) 단계, 그리고 국소적(Local) 및 전역적(Global) 설명을 모두 제공하는 사후 설명 가능성(Post hoc explainability) 계층을 결합합니다. 이 프레임워크는 CICIDS2017 및 NSL-KDD 벤치마크 데이터셋을 통해 평가되었습니다. 결과에 따르면 UNAD+는 기존 UNAD 프레임워크보다 개선된 성능을 보였으며, 벤치마크 데이터셋 전반에서 98% 이상의 F1-score를 달성하는 동시에 오탐을 크게 줄였고, 통합된 설명 가능성을 통해 투명성과 배포 적합성을 향상시켰습니다.