How the Graph Construction Technique Shapes Performance in IoT Botnet Detection

본 논문은 IoT 봇넷 탐지를 위해 VAE 로 차원을 축소하고 다양한 그래프 구성 기법을 적용한 GAT 모델을 평가한 결과, 가브리엘 그래프가 97.56% 의 정확도로 가장 우수한 성능을 보임을 입증했습니다.

핵심

🕵️‍♂️ 핵심 비유: "수사관과 친구 관계도"

상상해 보세요. 경찰이 마피아 조직을 잡으려는데, 용의자들이 서로 얼굴도 모르고 따로따로 행동하는 것처럼 보인다고 가정해 봅시다.

1. 기존 방식 (일반 머신러닝): 각 용의자 (데이터) 를 따로따로 조사합니다. "이 사람은 의심스럽네, 저 사람은 깨끗하네"라고 판단합니다. 하지만 서로 연결된 관계를 모르면 조직의 실체를 파악하기 어렵습니다.
2. 이 연구의 방식 (그래프 신경망, GNN): 용의자들을 친구 관계도로 연결합니다. "A 는 B 와 자주 연락하고, B 는 C 와 같은 술집에 갔다"는 식으로 연결고리를 만들어 분석합니다. 이렇게 하면 조직의 구조를 훨씬 잘 파악할 수 있습니다.

그런데 여기서 중요한 질문이 생깁니다. "누구를 누구와 친구 (연결) 로 만들 것인가?"

이 논문은 **"친구를 사귀는 기준 (그래프를 만드는 방법)"**이 수사 결과 (해킹 탐지 성능) 에 얼마나 큰 영향을 미치는지 5 가지 다른 방식으로 실험해 본 것입니다.

---

🛠️ 실험 과정: 5 가지 다른 '친구 사귀기' 규칙

연구진은 IoT 기기에서 나온 방대한 데이터 (115 가지 특징) 를 먼저 **VAE(변분 오토인코더)**라는 도구를 이용해 6 가지 핵심 특징으로 압축했습니다. (마치 복잡한 사건 기록을 6 가지 핵심 키워드로 요약하는 것과 같습니다.)

그리고 이 요약된 데이터를 바탕으로 5 가지 다른 규칙으로 '친구 관계도'를 그렸습니다.

1. k-NN (가까운 이웃): "가장 가까운 3 명과 친구가 되자." (거리가 가까운 사람끼리 연결)
2. MNN (상호 이웃): "너도 나를 친구로 생각하고, 나도 너를 친구로 생각할 때만 친구가 되자." (서로가 서로를 인정해야 연결)
3. SNN (공유 이웃): "우리가 공통으로 아는 친구가 많으면 친구가 되자." (같은 친구를 많이 사귀는 사람끼리 연결)
4. ε-반경 (반경 내): "내 반경 0.5 미터 안에 있는 사람과 친구가 되자." (정해진 거리 안에만 연결)
5. Gabriel Graph (게브리얼 그래프): "나와 너를 지름으로 하는 원 안에 다른 사람이 없으면 친구가 되자." (오직 서로만 있는 순수한 관계만 연결)

이렇게 만든 5 가지 관계도 (그래프) 를 각각 **GAT(그래프 어텐션 네트워크)**라는 최신 AI 모델에 먹여보았습니다. 이 AI 는 "누가 누구를 주목해야 할지"를 스스로 학습하며 해커를 찾아냅니다.

---

🏆 결과: 누가 이겼을까?

결과는 매우 명확했습니다. "친구 사귀는 기준 (그래프 만드는 법)"에 따라 성적이 천차만별이었습니다.

• 🥇 최고의 성적: 게브리얼 그래프 (Gabriel Graph)

  • 성적: 97.56% 정답률
  • 비유: 이 방식은 "서로만 있는 순수한 관계"만 연결했습니다. 마치 "너와 나 사이에는 제 3 자가 끼어들지 않는 진정한 동맹"만 인정하는 것입니다. 이 방식이 해커들의 진짜 패턴을 가장 깔끔하게 찾아냈습니다. 잡음 (불필요한 연결) 이 없어서 AI 가 해커를 매우 정확하게 식별했습니다.

• 🥈 나쁘지 않은 성적: k-NN 과 ε-반경 그래프 (약 95% 대)

  • 비유: "가까운 사람"이나 "정해진 거리 내"의 사람과 연결하는 방식도 꽤 잘 작동했습니다.

• 🥉 최저 성적: SNN (공유 이웃)

  • 성적: 78.56% 정답률
  • 비유: "공통 친구가 많으면 연결하자"는 방식은 실패했습니다. 마치 "우리가 같은 학교를 나왔으니 친구가 되자"라고 해서, 실제로는 전혀 다른 부류인 사람까지 억지로 묶어버린 꼴이 되었습니다. 이로 인해 그래프가 너무 복잡해지거나 조각나서 AI 가 혼란을 겪고 해커를 놓쳤습니다.

---

💡 결론: 왜 이 연구가 중요한가?

이 논문의 핵심 메시지는 다음과 같습니다.

"좋은 AI 모델을 쓴다고 해서 무조건 해킹을 잘 찾아내는 게 아니다. 데이터를 어떻게 '연결'하느냐 (그래프를 어떻게 그리느냐) 가 훨씬 더 중요하다."

IoT 보안 시스템을 만들 때, 단순히 최신 AI 기술을 도입하는 것만으로는 부족합니다. 데이터 사이의 관계를 어떻게 정의하느냐에 따라 시스템의 성능이 20% 이상이나 달라질 수 있다는 것을 이 연구가 증명했습니다.

한 줄 요약:
해커를 잡는 수사관에게 가장 중요한 건 최신 총기 (AI 모델) 가 아니라, **누구를 '동료'로 묶을지 정하는 '관계도 그리기 전략'**입니다. 이 연구는 그중에서도 **'게브리얼 그래프'**라는 전략이 가장 효과적임을 찾아냈습니다.

기술 요약

논문 요약: IoT 봇넷 탐지 성능에 미치는 그래프 구성 기법의 영향

1. 연구 배경 및 문제 제기 (Problem)

• 배경: 사물인터넷 (IoT) 기반 봇넷 공격이 증가함에 따라 이를 탐지하기 위한 고급 학습 모델에 대한 관심이 높아지고 있습니다. 최근 연구들은 장기적인 특징 의존성을 모델링하기 위한 '어텐션 (Attention)' 메커니즘과 데이터 인스턴스 간의 관계를 포착하기 위한 '그래프 신경망 (GNN)'을 결합하는 추세입니다.
• 문제: GNN 은 그래프 구조의 입력 데이터를 필요로 하지만, NetFlow 캡처 (.pcaps) 에서 추출된 데이터는 일반적으로 테이블 형식 (.csv) 입니다. 따라서 GNN 을 적용하기 위해 테이블 데이터를 그래프로 변환하는 과정이 필수적입니다.
• 핵심 질문: 기존 연구에서는 다양한 그래프 구성 방법 (노드 간 연결 방식) 이 GNN 모델의 분류 성능에 어떤 영향을 미치는지에 대한 체계적인 분석이 부족했습니다. 어떤 그래프 구성 기법이 IoT 봇넷 탐지 성능을 최적화하는지 규명하는 것이 본 연구의 목적입니다.

2. 방법론 (Methodology)

본 연구는 N-BaIoT 데이터셋을 기반으로 한 Graph Attention Network (GAT) 모델을 사용하여 다섯 가지 그래프 구성 기법의 성능을 비교 평가했습니다.

• 데이터셋:
  • N-BaIoT: 9 개의 IoT 장치에서 수집된 NetFlow 데이터로, 'Normal', 'Mirai', 'Gafgyt' 세 가지 클래스로 구성됨.
  • 전처리: 중복 제거 후 클래스 불균형을 해결하기 위해 'Normal'과 'Mirai'는 50 만 개, 'Gafgyt'는 약 23 만 개로 다운샘플링하여 총 123 만 2 천 258 개의 인스턴스를 사용함.
• 차원 축소 (Dimensionality Reduction):
  • 고차원 (115 차원) 특징 공간의 계산 부하를 줄이고 노이즈를 제거하기 위해 변분 오토인코더 (VAE) 를 사용함.
  • 기존 연구 (Wasswa et al. [2025b]) 에 따라 VAE 를 통해 원본 데이터를 6 차원 잠재 공간 (Latent Space) 으로 매핑함.
• 그래프 구성 기법 (Graph Construction Techniques):
  변환된 6 차원 데이터를 기반으로 다음 5 가지 방법으로 그래프를 생성함:
  1. k-Nearest Neighbors (kNN): 각 노드를 $k$개의 가장 가까운 이웃과 연결.
  2. Mutual Nearest Neighbors (MNN): 양방향으로 서로의 이웃일 때만 연결 (노이즈 감소).
  3. Shared Nearest Neighbors (SNN): 공통 이웃의 수가 임계값 이상일 때 연결 (밀도 기반).
  4. $\epsilon$-radius Graph: 미리 정의된 거리 ($\epsilon$) 이내인 노드끼리 연결.
  5. Gabriel Graph: 두 노드 $A, B$를 연결하는 직경을 가진 원 (또는 초구) 내부에 다른 노드가 없을 때만 연결 (기하학적 구조 보존).
• 모델 아키텍처:
  • 생성된 그래프 데이터에 그래프 어텐션 네트워크 (GAT) 를 적용하여 트래픽을 분류.
  • GAT 는 어텐션 메커니즘을 통해 특징 간의 장기 의존성과 그래프 구조를 통한 국소적 관계를 동시에 학습.
  • 학습 파라미터: Adam 옵티마이저, 학습률 0.01, 100 에포크, 배치 크기 128.

3. 주요 기여 (Key Contributions)

1. 그래프 구성 기법의 체계적 비교: IoT 봇넷 탐지라는 특정 도메인에서 kNN, MNN, SNN, Gabriel, $\epsilon$-radius 등 5 가지 그래프 구성 기법이 GAT 모델 성능에 미치는 영향을 정량적으로 비교 분석함.
2. 최적의 그래프 구조 규명: 고차원 NetFlow 데이터를 저차원 잠재 공간으로 변환한 후, 어떤 그래프 연결 방식이 가장 효과적인 탐지 성능을 발휘하는지 실증적으로 증명함.
3. VAE 와 GAT 의 통합 프레임워크: 차원 축소 (VAE) 와 그래프 기반 분류 (GAT) 를 결합한 효율적인 IoT 보안 프레임워크를 제시하고, 그 성능을 다양한 그래프 토폴로지에서 검증함.

4. 실험 결과 (Results)

실험은 정확도 (Accuracy), 정밀도 (Precision), 재현율 (Recall), F1-Score 를 기준으로 평가되었습니다.

• 성능 순위:
  • 최고 성능: Gabriel Graph가 97.56% 의 정확도를 기록하여 가장 우수한 성능을 보임.
  • 중간 성능: $\epsilon$-radius Graph (95.67%) 와 kNN Graph (95.54%) 가 그 뒤를 이음.
  • 최저 성능: SNN (Shared Nearest Neighbors) 이 78.56% 로 가장 낮은 성능을 기록함. MNN 은 84.14% 로 두 번째로 낮음.
• 세부 분석:
  • Gabriel Graph: 세 가지 클래스 (Normal, Mirai, Gafgyt) 모두에서 높은 정밀도, 재현율, F1-Score 를 일관되게 기록함.
  • SNN 의 한계: 'Mirai'나 'Normal' 클래스에서는 높은 점수를 기록했으나, 'Gafgyt' 클래스에서 정밀도 (0.534), 재현율 (0.436), F1-Score (0.480) 가 매우 낮아 전체 성능을 저하시킴. 이는 SNN 이 그래프를 과도하게 분할 (fragmentation) 하여 관련 있는 트래픽 인스턴스 간의 연결을 끊었기 때문으로 분석됨.

5. 논의 및 의의 (Significance)

• Gabriel Graph 의 우수성 이유: Gabriel Graph 는 두 노드 사이에 다른 노드가 존재하지 않을 때만 연결하는 기하학적 원리를 따릅니다. 이는 6 차원 잠재 공간에서 트래픽 패턴의 국소적 밀도 (local density) 와 전역적 분리 (global separation) 를 동시에 보존하여, 서로 다른 클래스 간의 경계를 명확히 하는 데 기여한 것으로 판단됩니다.
• SNN 의 실패 원인: 공통 이웃에 의존하는 SNN 은 이질적이지만 관련 있는 트래픽 인스턴스 간의 연결을 끊어 그래프의 연결성을 해치고 클래스 표현을 불균형하게 만들었습니다.
• 실무적 시사점: IoT 보안 시스템에서 GNN 을 도입할 때, 단순히 데이터를 그래프로 변환하는 것뿐만 아니라 어떤 그래프 구성 알고리즘을 선택하느냐가 모델의 최종 성능을 결정하는 핵심 요소임을 강조합니다. 특히 Gabriel Graph 와 같은 기하학적 기반의 그래프 구성이 복잡한 IoT 트래픽 분류에 효과적임을 입증했습니다.

결론적으로, 본 연구는 IoT 봇넷 탐지를 위한 GNN 기반 모델의 성능 향상을 위해 데이터의 그래프 변환 전략이 매우 중요하며, N-BaIoT 데이터셋의 특성상 Gabriel Graph가 가장 효과적인 구성 방법임을 규명했습니다.