CANGuard: A Spatio-Temporal CNN-GRU-Attention Hybrid Architecture for Intrusion Detection in In-Vehicle CAN Networks

이 논문은 차량 CAN 네트워크의 침입 탐지를 위해 CNN, GRU, 어텐션 메커니즘을 결합한 'CANGuard'라는 새로운 시공간 딥러닝 아키텍처를 제안하고, CICIoV2024 데이터셋에서 기존 최첨단 방법보다 우수한 성능을 입증했습니다.

핵심

🚗 차가 해킹당하지 않게 지켜주는 'CANGuard' 이야기

이 논문은 현대 자동차의 두뇌라고 할 수 있는 **'CAN 버스 (차량 내부 통신망)'**를 해킹으로부터 지키기 위해 개발된 새로운 보안 시스템, CANGuard에 대한 내용입니다.

너무 어려운 기술 용어 대신, 일상적인 비유를 들어 쉽게 설명해 드릴게요.

---

1. 왜 이 연구가 필요한가요? (문제 상황)

옛날 자동차는 기계 부품으로만 되어 있어 해커가 침입하기 어려웠습니다. 하지만 요즘 자동차는 **'사물인터넷 (IoV)'**의 일부분이 되어, 외부와 끊임없이 소통합니다. 마치 스마트폰처럼 말이죠.

하지만 이 연결성이 약점이 되기도 합니다. 해커들이 자동차의 통신망 (CAN 버스) 에 침입하면 다음과 같은 끔찍한 일이 일어날 수 있습니다.

• DoS 공격 (공격): 해커가 쓰레기 메시지만 쏟아부어 통신망을 마비시킵니다. (비유: 도로에 쓰레기를 가득 쌓아 차량이 멈추게 만드는 것)
• 스푸핑 공격 (가짜): 해커가 가짜 운전석이나 브레이크 신호를 보내 차량을 조종합니다. (비유: 가짜 운전사가 몰래 핸들을 꺾거나 브레이크를 밟는 것)

이런 공격을 막기 위해 기존의 보안 시스템들은 조금 부족했습니다. 마치 단순히 문만 잠그는 자물쇠처럼, 복잡한 해킹 수법을 놓치거나 오해를 자주 했기 때문입니다.

2. CANGuard 는 무엇인가요? (해결책)

저자들은 이 문제를 해결하기 위해 CANGuard라는 새로운 시스템을 만들었습니다. 이 시스템은 세 명의 '명예로운 경비원'이 팀을 이루어 작동합니다.

🕵️‍♂️ 1 명: CNN (공간 탐정)

• 역할: CAN 버스에서 오가는 데이터의 모양과 패턴을 봅니다.
• 비유: 지문 감식관처럼, "이 데이터 조각의 생김새가 정상적인가, 아니면 해커가 변조한 흔적이 있는가?"를 순간적으로 파악합니다.

⏳ 2 명: GRU (시간 탐정)

• 역할: 데이터가 시간 순서대로 어떻게 변하는지 기억합니다.
• 비유: 과거의 사건을 기억하는 형사처럼, "방금 전엔 정상인데, 1 초 뒤에 갑자기 속도가 0 으로 떨어졌다면? 이건 이상해!"라고 시간의 흐름 속에서 이상을 감지합니다.

👁️ 3 명: 어텐션 (Attention, 초점 조절기)

• 역할: 수많은 데이터 중에서 가장 중요한 부분에 집중합니다.
• 비유: 폭포수처럼 쏟아지는 정보 속에서 "아, 저기! 저 데이터 조각이 진짜 위험해!"라고 손가락으로 가리키며 팀원들의 시선을 집중시킵니다.

이 세 명이 합쳐진 하이브리드 시스템은 해커의 정교한 공격도 놓치지 않고 찾아냅니다.

3. 어떻게 테스트했나요? (실험)

저자들은 CICIoV2024라는 거대한 데이터 세트를 사용했습니다. 이는 실제 자동차 통신 데이터를 바탕으로 만든, 해킹 시나리오가 포함된 방대한 자료입니다.

• 결과: CANGuard 는 **99.89%**의 정확도로 해킹을 찾아냈습니다.
• 비교: 기존에 있던 다른 최신 기술들 (96~98% 수준) 보다 훨씬 더 정확하고 빠릅니다. 마치 초고성능 스포츠카가 일반 승용차보다 훨씬 빠르게 목적지에 도달하는 것과 같습니다.

4. 왜 이 시스템이 특별한가요? (장점)

1. 혼합된 힘: 공간 (CNN) 과 시간 (GRU) 을 동시에 분석하므로, 해커가 어떤 수법을 쓰든 잡아냅니다.
2. 투명한 의사결정 (SHAP 분석): 단순히 "해킹이다"라고만 말하는 게 아니라, "왜 해킹이라고 생각했는지" 그 이유를 설명해 줍니다.
   • 예: "데이터의 4 번째와 5 번째 바이트 (정보 조각) 가 비정상적으로 변해서 해킹으로 판단했습니다."
   • 이는 마치 수사 보고서처럼 어떤 증거로 범인을 잡았는지 명확히 보여줍니다.

5. 결론: 앞으로의 전망

이 연구는 자동차가 더 스마트해지고 연결되는 세상에서, 승객의 안전을 지키는 강력한 방패가 될 수 있음을 보여줍니다.

물론 아직은 실험실 단계이고, 실제 도로에서 실시간으로 작동하는지 더 검증해야 할 과제가 남아있습니다. 하지만 CANGuard 는 미래의 자율주행차와 스마트 시티가 해커로부터 안전하게 지킬 수 있는 튼튼한 기초를 닦아주었습니다.

한 줄 요약:

"CANGuard 는 자동차의 두뇌를 지키기 위해, 모양을 보고 (CNN), 시간을 기억하고 (GRU), 중요한 곳에 집중하는 (Attention) 3 인조 팀이 되어 해커를 척척 잡아내는 똑똑한 보안 시스템입니다."

기술 요약

1. 문제 정의 (Problem Statement)

• 배경: 사물인터넷 (IoV, Internet of Vehicles) 의 발전으로 차량과 인프라 간의 연결성이 강화되었으나, 이로 인해 사이버 보안 위협이 급증하고 있습니다.
• 핵심 취약점: 차량 내부 통신의 표준인 CAN(Controller Area Network) 버스는 인증 및 암호화 기능이 부재하여 매우 취약합니다.
• 주요 위협:
  • DoS (Denial-of-Service) 공격: CAN 버스에 과도한 메시지를 flooding 하여 통신 마비 및 차량 오작동을 유발.
  • Spoofing (스푸핑) 공격: 악성 데이터를 주입하여 전자제어유닛 (ECU) 을 사칭, 가속, 제동, 조향 등 차량 기능 조작 및 안전 사고 유발.
• 기존 연구의 한계: 기존 머신러닝 기반 침입 탐지 시스템 (IDS) 은 시간적 (Temporal) 모델링 능력 부족, 중요 특징에 대한 주의 집중 부족, 높은 오탐지 (False Positive) 비율 등의 한계로 실용화에 제약이 있었습니다.

2. 제안 방법론 (Methodology)

이 논문은 CANGuard라는 새로운 시공간 (Spatio-Temporal) 딥러닝 아키텍처를 제안하며, 다음과 같은 단계로 구성됩니다.

A. 데이터셋 및 전처리

• 데이터셋: CICIoV2024 데이터셋 사용 (약 140 만 개 샘플, 12 개 특징).
  • 클래스: 정상 (BENIGN), DoS, 가스 (GAS), RPM, 속도 (SPEED), 조향 (STEERING WHEEL) 스푸핑 등 6 가지.
• 전처리 과정:
  • 시계열 시퀀스 구성: 슬라이딩 윈도우를 적용하여 시간적 종속성을 모델링 (T 개의 연속된 시간 스텝).
  • 불균형 데이터 처리: 소수 클래스를 위해 BorderlineSMOTE를 적용하여 오버샘플링 수행.
  • 특징 스케일링: Z-score 표준화 적용.

B. CANGuard 아키텍처 (CNN-GRU-Attention)

세 가지 핵심 구성 요소를 결합한 하이브리드 모델입니다.

1. CNN (Convolutional Neural Network) 모듈:
   • 역할: 공간적 특징 (Spatial Features) 추출.
   • 구조: 3 개의 Conv1D 레이어 (필터 수: 64, 128, 256), 배치 정규화, Max Pooling, Dropout 적용.
   • 효과: CAN 메시지 페이로드의 지역적 패턴을 추출.
2. GRU (Gated Recurrent Unit) 모듈:
   • 역할: 시간적 종속성 (Temporal Dependencies) 학습.
   • 구조: 2 개의 양방향 (Bidirectional) GRU 레이어 (단위: 128, 64) 스택.
   • 효과: 시퀀스 내 이전 및 후속 컨텍스트를 모두 고려하여 시간적 패턴 인식.
3. Attention Mechanism (주의 메커니즘):
   • 역할: 중요한 시간적 특징에 가중치 부여 및 모델 해석 가능성 향상.
   • 작동: 각 시간 스텝의 GRU 출력에 대해 가중치 ($\alpha_t$) 를 계산하여 가장 정보량이 많은 특징에 집중하도록 함.
4. 분류 레이어:
   • 완전 연결 (Fully Connected) 레이어 (256, 128 뉴런) 와 Softmax 출력층을 통해 6 클래스 분류 수행.

C. 학습 및 최적화

• 옵티마이저: Adam (학습률 0.001).
• 정규화: Dropout (0.3), L2 정규화, 배치 정규화, 그라디언트 클리핑.
• 조기 종료 (Early Stopping): 과적합 방지.

3. 주요 기여 (Key Contributions)

1. CANGuard 모델 개발: IoV 환경의 CAN 버스 트래픽에 최적화된 CNN-GRU-Attention 하이브리드 침입 탐지 모델 제안.
2. 시퀀스 인식 표현: CAN 메시지의 시간적 페이로드 종속성을 포착하는 시퀀스 기반 특징 공학 적용.
3. 성분별 제거 실험 (Ablation Study): CNN, GRU, Attention 모듈의 개별 및 결합 효과를 정량화하여 각 구성 요소의 기여도 입증.
4. 해석 가능성 (Interpretability): SHAP (SHapley Additive exPlanations) 분석을 통해 CAN 페이로드의 개별 바이트 (DATA 0~7) 가 공격 탐지에 미치는 영향을 시각화 및 설명.
5. 강력한 베이스라인 확립: CICIoV2024 데이터셋에서 다중 클래스 침입 탐지를 위한 새로운 성능 기준 설정.

4. 실험 결과 (Results)

• 성능 지표: CICIoV2024 데이터셋에서 정확도 (Accuracy), 정밀도 (Precision), 재현율 (Recall), F1-Score가 모두 **99.89%**를 기록.
• 기존 연구 대비:
  • Neto et al. 의 DNN 모델 (정확도 96%, F1 78%) 보다 월등히 우수.
  • Logistic Regression, AdaBoost, Random Forest 등 전통적 머신러닝 모델 및 다른 최신 딥러닝 모델 (CICIDS2017, UNSW-NB15 데이터셋 기반) 보다 높은 성능 달성.
• Ablation Study 결과:
  • CNN Only: 공간 패턴 추출은 우수하나 시간적 종속성 부족으로 재현율 제한 (99.33%).
  • GRU Only: 시간적 패턴은 우수하나 공간 특징 부재로 재현율 저하 (99.04%).
  • CNN+GRU: 두 모듈의 시너지로 정확도 99.86% 달성.
  • CNN+GRU+Attn (최종): Attention 추가로 정확도 **99.89%**로 최종 최적화. (Attention 만으로 2.45% 의 정확도 향상 효과 입증).
• SHAP 분석 결과:
  • DATA 4와 DATA 5 바이트가 공격 탐지에 가장 중요한 특징임을 확인 (스푸핑 공격 시 속도, RPM 등 신호 조작이 주로 이 바이트에서 발생).
  • DATA 0, 1, 2 는 상대적으로 중요도가 낮음.

5. 의의 및 결론 (Significance & Conclusion)

• 실용성: 제안된 CANGuard 모델은 실시간으로 CAN 버스 통신을 보호할 수 있는 확장 가능하고 강력한 솔루션을 제공함.
• 해석 가능성: 단순한 블랙박스 모델이 아닌, SHAP 분석을 통해 어떤 데이터 바이트가 공격으로 판단되었는지 설명 가능하여 신뢰성 확보.
• 한계 및 향후 과제: 현재는 단일 벤치마크 데이터셋 (CICIoV2024) 에 대한 오프라인 평가에 국한됨. 향후 실시간 CAN 버스 모니터링, 교차 데이터셋 평가, 적대적 공격 (Adversarial Attacks) 에 대한 견고성 분석을 통해 실제 IoV 환경 적용을 목표로 함.

요약하자면, 이 논문은 차량 네트워크의 보안 위협을 해결하기 위해 공간적 특징 추출 (CNN), 시간적 패턴 인식 (GRU), 그리고 중요 특징 집중 (Attention) 을 통합한 CANGuard 모델을 제안하였으며, 이를 통해 기존 방법론을 압도하는 높은 탐지 정확도와 해석 가능성을 입증했습니다.