MI$^2$DAS: A Multi-Layer Intrusion Detection Framework with Incremental Learning for Securing Industrial IoT Networks

이 논문은 이질적인 IIoT 환경에서 기존 및 미지의 공격을 식별하고 새로운 위협에 적응할 수 있도록 개방형 인식과 증분 학습을 통합한 다계층 침입 탐지 프레임워크 MI$^2$DAS 를 제안하며, Edge-IIoTset 데이터셋을 통해 그 유효성을 입증합니다.

핵심

이 논문은 **산업용 사물인터넷 (IIoT)**을 지키기 위한 새로운 보안 시스템, **'MI2DAS'**를 소개합니다.

쉽게 비유하자면, 이 시스템은 **거대한 공장을 지키는 '스마트 경비 시스템'**과 같습니다. 기존 보안 시스템은 새로운 형태의 도둑이 나타나면 당황하거나, 너무 많은 데이터를 처리하지 못해 공황에 빠지곤 했습니다. 하지만 MI2DAS 는 3 단계로 나누어 지능적으로 대응하는 똑똑한 경비원입니다.

이 시스템이 어떻게 작동하는지 세 가지 핵심 단계로 나누어 설명해 드리겠습니다.

---

1 단계: "누가 정상이고 누가 수상한가?" (초급 경비원)

역할: 공장 입구에 서서, 들어오는 모든 사람 (데이터) 을 빠르게 스캔합니다.
작동 원리:

• 기존 방식: 도둑의 얼굴 사진 (악성 데이터) 을 미리 보여주고 "이 사람은 도둑이다"라고 가르쳤습니다. 하지만 새로운 도둑이 나타나면 모릅니다.
• MI2DAS 의 방식 (GMM 모델): "정상적인 공장 직원들의 행동 패턴"만 보고 학습합니다. 평소와 다른 수상한 움직임 (예: 평소엔 안 가던 창고로 가는 사람) 이 보이면 즉시 **"수상하다!"**라고 적색 경보를 켭니다.
• 효과: 이 단계에서는 "도둑일지도 모른다"는 사람도 모두 잡아두는 것이 중요하므로, 실수 (정상인을 잡는 것) 보다는 놓치는 것 (도둑을 놓치는 것) 을 극도로 경계합니다. 논문 결과에 따르면 이 단계에서 정상과 악성 트래픽을 구분하는 정확도가 95% 이상으로 매우 뛰어납니다.

2 단계: "이 도둑은 누구인가? 아니면 처음 보는 도둑인가?" (중급 경비원)

역할: 1 단계에서 잡힌 수상한 사람들을 분류합니다.
작동 원리:

• 알려진 도둑 (Known Attacks): 과거에 잡았던 도둑들의 특징 (예: 비밀번호 탈취, 서버 공격 등) 을 알고 있다면, "아, 이거 2024 년에 잡았던 A 형 도둑이군!"이라고 정확히 이름을 붙입니다. (랜덤 포레스트 모델 사용)
• 새로운 도둑 (Unknown Attacks): 전혀 본 적 없는 새로운 도둑이 나타나면, "이건 우리가 아는 도둑이 아니야!"라고 새로운 카테고리로 분류하여 따로 모아둡니다.
• 핵심: 기존 보안 시스템은 새로운 도둑을 모르면 그냥 지나치거나 잘못 분류했는데, MI2DAS 는 **"이건 우리가 모르는 새로운 위협이야!"**라고 바로 인지하고 다음 단계로 넘깁니다.

3 단계: "새로운 도둑을 배워서 다시 훈련하자!" (상급 경비원 & 교육관)

역할: 2 단계에서 걸러낸 '새로운 도둑'들을 분석하고, 시스템 전체를 업데이트합니다.
작동 원리:

• 문제: 새로운 도둑을 잡았지만, 정작 그 도둑이 누구인지 (라벨) 는 알 수 없습니다. 전문가가 일일이 확인하기엔 시간이 너무 걸립니다.
• 해결책 (점진적 학습):
  1. 반자동 학습 (SSL): 시스템이 "이 사람은 90% 확률로 도둑이야"라고 추측 (가짜 라벨) 을 붙여줍니다.
  2. 능동 학습 (AL): 시스템이 "이 사람은 정말 헷갈리는데, 전문가님 한번 봐주세요"라고 가장 중요한 사례만 골라 전문가에게 확인을 요청합니다.
• 결과: 이렇게 최소한의 노력으로 새로운 도둑 정보를 학습하고, 기존에 알던 도둑에 대한 지식은 잊지 않으면서 (망각 방지) 시스템 전체를 업그레이드합니다. 마치 새로운 적을 만나면 그 적의 특징을 바로 배워서 다음엔 더 잘 잡는 것처럼요.

---

왜 이 시스템이 특별한가요? (핵심 장점)

1. 데이터가 부족해도 잘해요: 산업 현장에서는 해킹 사례 (악성 데이터) 가 드물고, 정상 데이터만 많습니다. MI2DAS 는 정상 데이터만으로도 학습을 시작할 수 있습니다.
2. 새로운 위협에 즉각 대응: 제로데이 (Zero-day) 공격처럼 세상에 처음 등장하는 해킹 기법도 "이건 우리가 모르는 거야"라고 바로 잡아내고, 나중에 그 정보를 학습하여 다음엔 막아냅니다.
3. 효율성: 모든 데이터를 중앙 서버로 보내지 않고, 공장 현장 (에지) 에서 먼저 걸러내어 처리 속도를 높이고 비용을 아낍니다.

요약

이 논문은 **"산업용 IoT 를 지키는 적응형 경비 시스템"**을 제안합니다.
기존 시스템이 "알고 있는 도둑만 잡는다"면, **MI2DAS 는 "수상한 사람은 다 잡아두고, 새로운 도둑을 발견하면 즉시 배워서 다음엔 더 잘 잡는다"**는 학습형 보안을 구현했습니다. 실험 결과, 이 시스템은 새로운 공격이 등장해도 성능이 떨어지지 않고 오히려 더 똑똑해지는 것을 증명했습니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

산업용 사물인터넷 (IIoT) 의 급격한 확장은 다양한 장치와 동적인 트래픽 패턴으로 인해 정교하고 이전에 볼 수 없었던 사이버 공격에 대한 노출을 증가시켰습니다. 기존 IIoT 환경의 침입 탐지 시스템 (IDS) 은 다음과 같은 주요 한계에 직면해 있습니다.

• 데이터의 복잡성: 대규모, 고차원, 이질적인 데이터 스트림과 강한 시간적 종속성으로 인한 실시간 탐지의 어려움.
• 레이블 데이터 부족: 새로운 공격 (제로데이) 에 대한 레이블된 샘플의 부족과 심각한 클래스 불균형 (정상 트래픽이 압도적) 으로 인한 supervised 모델의 성능 저하.
• 진화하는 위협: 기존 시그니처 기반 기술이 빠르게 등장하는 새로운 공격 (Zero-day) 을 탐지하지 못함.
• 자원 제약: IIoT 장치는 계산 자원이 제한적이며, MQTT, Modbus 와 같은 경량 프로토콜을 사용하므로 무거운 딥러닝 모델 적용이 어렵습니다.

이러한 문제를 해결하기 위해 적응형 (Adaptive), 확장 가능 (Scalable) 하며 지속 학습 (Continual Learning) 이 가능한 새로운 아키텍처가 필요합니다.

2. 제안된 방법론: MI2DAS (Methodology)

저자들은 MI2DAS (Multi-layer IIoT Intrusion Detection Adaptive System) 라는 3 단계 계층형 아키텍처를 제안했습니다. 이 시스템은 엣지 디바이스와 중앙 서버 간의 협업을 통해 정상/공격 트래픽 분리, 알려진/알려지지 않은 공격 식별, 그리고 새로운 공격에 대한 적응을 수행합니다.

3 단계 계층 구조:

1. 레이어 1: 트래픽 필터링 및 정상 흐름 처리 (Data Pooling Module - Layer 1)

   • 목적: 엣지 디바이스에서 정상 트래픽과 악성 트래픽을 초기에 이진 분류 (Binary Separation) 합니다.
   • 기법: 레이블된 공격 데이터가 없는 상황을 가정하여 비지도 학습 (Unsupervised) 기반의 이상 탐지 모델을 사용합니다.
   • 모델: One-Class SVM, 가우시안 혼합 모델 (GMM), 국부 이상치 인자 (LOF) 등을 평가하였으며, GMM 이 가장 우수한 성능을 보였습니다.

2. 레이어 2: 개방형 인식 및 공격 분류 (Data Pooling Module - Layer 2 & Attack Classification Module)

   • 목적: 레이어 1 에서 탐지된 이상 트래픽을 '알려진 공격 (Known Attacks)'과 '알려지지 않은 공격 (Unknown Attacks)'으로 구분하고, 알려진 공격은 세부적으로 분류합니다.
   • 기법:
     • 개방형 인식 (Open-Set Recognition): 알려진 공격과 새로운 공격을 구분하기 위해 GMM 과 LOF 를 활용합니다. GMM 은 알려진 공격 탐지에, LOF 는 알려지지 않은 공격 탐지에 각각 강점을 보입니다.
     • 공격 분류: 알려진 공격은 지도 학습 (Supervised Learning) 모델을 사용하여 세부 분류합니다. 랜덤 포레스트 (Random Forest, RF) 가 고차원 IIoT 트래픽에서 가장 높은 성능을 보였습니다.

3. 레이어 3: 점진적 학습 및 적응적 모델링 (Incremental Attack Update Module)

   • 목적: 중앙 서버에서 새로운 공격 유형을 식별하고 기존 모델에 점진적으로 통합하여 시스템의 성능을 유지합니다.
   • 기법:
     • 반지도 학습 (Semi-Supervised Learning, SSL): 높은 신뢰도를 가진 미레이블 데이터에 가짜 레이블 (Pseudo-label) 을 부여하여 학습 데이터를 확장합니다 (Self-training, Label Spreading 등).
     • 능동 학습 (Active Learning, AL): 불확실성이 높은 샘플을 선별하여 전문가의 레이블링을 요청합니다.
     • 전략: 'One-step' (한 번에 모든 새로운 공격 통합) 과 'Multi-step' (단계적 통합) 업데이트 시나리오를 통해 재학습 (Catastrophic Forgetting) 을 방지하면서 새로운 위협에 적응합니다.

3. 주요 기여 (Key Contributions)

1. MI2DAS 아키텍처 제안: 순차적 풀링 (Pooling) 과 분류를 통합하여 정상/공격 트래픽 분리, 알려진/미지 공격 식별, 그리고 새로운 공격에 대한 점진적 적응을 가능하게 하는 통합 프레임워크를 설계했습니다.
2. 최적 모델 선정: 각 계층에 적합한 알고리즘을 체계적으로 평가하고 선정했습니다 (레이어 1: GMM, 레이어 2: GMM/LOF 혼합, 레이어 3 분류: RF).
3. 효율적인 점진적 학습: 최소한의 레이블링 노력으로 새로운 공격 클래스를 지속적으로 통합할 수 있는 반지도 학습 및 능동 학습 기반의 업데이트 모듈을 개발했습니다.
4. 광범위한 실험 검증: Edge-IIoTset 데이터셋을 사용하여 다양한 공격 분포와 점진적 학습 단계에서 시스템의 견고성과 확장성을 입증했습니다.

4. 실험 결과 (Results)

Edge-IIoTset 데이터셋을 기반으로 한 실험 결과는 다음과 같습니다.

• 레이어 1 (정상 vs 공격):

  • GMM이 가장 우수한 성능을 보였습니다.
  • 정확도 (Accuracy): 0.953, True Positive Rate (TPR): 1.000, FPR: 0.095.
  • 이는 공격을 놓치지 않으면서도 정상 트래픽을 올바르게 분류하는 데 탁월함을 의미합니다.

• 레이어 2 (알려진 vs 알려지지 않은 공격):

  • GMM은 알려진 공격 탐지에서 높은 재현율 (Recall: 0.813) 을 보였습니다.
  • LOF는 알려지지 않은 공격 탐지에서 더 높은 재현율 (Recall: 0.882) 을 보였습니다.
  • 두 모델의 상호 보완적 특성이 확인되었습니다.

• 공격 분류 (Known Attack Classification):

  • Random Forest (RF) 가 모든 메트릭에서 가장 우수한 성능을 기록했습니다.
  • Macro-F1 Score: 0.941 (±0.054).
  • SVM, LR 등 선형 모델보다 고차원 비선형 IIoT 트래픽 패턴을 잘 포착했습니다.

• 점진적 학습 (Incremental Learning):

  • Self-training 기반의 반지도 학습이 새로운 공격 클래스 통합 시 가장 높은 성능 (Macro-F1: 0.8995) 을 유지했습니다.
  • Multi-step Iteration에서 가짜 레이블 데이터를 점진적으로 학습 세트에 포함하는 'Augmentation' 전략이 Seed-based 전략보다 중간 단계에서 더 나은 성능을 보였으며, 이는 새로운 공격에 대한 적응력과 기존 지식 유지 사이의 균형을 잘 이룸을 시사합니다.

5. 의의 및 결론 (Significance & Conclusion)

이 연구는 MI2DAS를 통해 IIoT 보안의 핵심 과제인 고차원 데이터 처리, 클래스 불균형, 레이블 부족, 그리고 진화하는 제로데이 위협을 효과적으로 해결하는 프레임워크를 제시했습니다.

• 실용성: 엣지 디바이스에서의 경량화된 필터링과 중앙 서버의 정교한 분석을 결합하여 실제 IIoT 환경의 자원 제약과 실시간 요구사항을 충족합니다.
• 적응성: 새로운 공격이 등장하더라도 전체 모델을 처음부터 재학습하지 않고, 점진적 학습 (Incremental Learning) 을 통해 시스템 성능을 유지하며 새로운 위협에 대응할 수 있습니다.
• 확장성: Edge-IIoTset 데이터셋에서의 검증은 이 프레임워크가 실제 산업 환경의 복잡한 트래픽 패턴과 불균형 데이터 하에서도 견고하게 작동함을 보여줍니다.

결론적으로, MI2DAS 는 기존 IDS 의 한계를 극복하고, 지능적이고 회복력 있는 (Resilient) 차세대 산업 보안 시스템으로의 전환을 가능하게 하는 중요한 기여를 했습니다. 향후 연구에서는 딥러닝 기반 이상 탐지 기법을 도입하여 더 복잡한 공격 패턴의 인식 정확도를 높이는 방향으로 발전시킬 예정입니다.