초록
전통적인 사이버보안 대응 방식은 특정 유형의 공격이 발생한 후 사용자를 보호하는 데 초점을 맞추는 경우가 많다. 또한 최근 사이버공격의 패턴은 변화무쌍하여 예측 불가능성이 높아지고 있다. 반면에, 침입 탐지에 활용되는 새로운 방법으로서 머신러닝이 점점 더 주목받고 있다. 더불어, 국지적 학습 데이터를 공유함으로써 중앙집중형 학습 방식은 모델 성능을 향상시킨다는 점이 입증되었다. 본 연구에서는 기존의 단일 전역 모델 기반 공동 학습 방식과는 달리, 여러 개의 전역 모델을 유지함으로써 각 참가자 세그먼트가 별도로 공동 학습을 수행할 수 있도록 하는 분할형 연합 학습( segmented federated learning)을 제안한다. 또한, 참가자들의 세그먼트를 동적으로 재구성함으로써 다양한 환경에 유연하게 대응할 수 있도록 하였다. 더불어, 이러한 다수의 전역 모델 간에 상호작용을 통해 파라미터를 업데이트함으로써 참가자들의 지역 네트워크(LAN) 환경에 맞는 적응성을 확보하였다. 본 연구에서는 LAN 보안 모니터링 프로젝트에서 20개 참가자의 LAN 트래픽 데이터를 2개월 간 수집한 데이터셋을 사용하였다. 이 데이터셋을 바탕으로 네트워크 이벤트를 레이블링하기 위해 세 가지 유형의 지식 기반 방법을 채택하고, CNN 모델을 학습시켰다. 최종적으로 각 레이블링 방법을 적용한 결과, 검증 정확도는 각각 0.923, 0.813, 0.877을 달성하였다.