클라우드 컴퓨팅 환경에서의 로그 이상 탐지는 시스템의 신뢰성과 보안을 유지하는 데 필수적이다. 로그 메시지의 시간적 의존성을 포착하기 위해 LSTM 및 Transformer와 같은 시퀀스 모델링 아키텍처가 널리 사용되어 왔지만, 로그 구조, 용어, 사건 빈도의 분포 변화와 더불어 데이터셋 간 토큰 중복이 최소화되는 등의 이유로 제로샷 전이 시나리오에서는 그 효과가 저하된다. 이러한 문제를 해결하기 위해, 사이버보안 관련 데이터에 대해 미세 조정된 도메인 특화 사전학습 언어 모델(PLM)과 새로운 손실 함수인 Loss with Decaying Factor (LDF)를 통합한 효과적인 탐지 접근법을 제안한다. LDF는 학습 목적에 지수적 시간 감쇠 메커니즘을 도입하여, 과거 문맥과 실시간 적절성 간의 동적 균형을 보장한다. 흔히 오래된 정보를 과도하게 강조하고 높은 계산 오버헤드를 수반하는 전통적 시퀀스 모델과 달리, LDF는 로그 메시지를 시간적 근접성에 따라 동적으로 가중치 부여함으로써 학습 과정을 제약하여, 클라우드 컴퓨팅 환경이 빠르게 진화하는 특성과 부합하도록 한다. 또한 도메인 특화 PLM은 이질적인 데이터셋 전반에서 로그 데이터의 표현을 개선함으로써 의미적 불일치를 완화한다. 두 개의 슈퍼컴퓨팅 로그 데이터셋에 대한 광범위한 경험적 평가 결과, 본 접근법은 데이터셋 간 이상 탐지 성능을 실질적으로 향상시키는 것으로 나타났다. 이 연구의 주요 기여는 다음과 같다: (1) Loss with Decaying Factor (LDF)를 도입하여 과거 문맥과 실시간 적절성 간의 동적 균형을 조절하는 것; 및 (2) 이질적인 클라우드 환경 전반에서 제로샷 로그 이상 탐지의 일반화를 향상시키기 위해 도메인 특화 PLM을 통합하는 것이다.

시스템 로그에서 이상 탐지 과제를 다루기 위한 복잡성을 해결하기 위해, 심층 학습 기반의 다수 방법들이 개발되어 왔으며, 그 과정에서 두 가지 중요한 과제가 제기된다. 첫째, 모델 복잡도와 하위 탐지 모델을 위한 의미론적으로 유의미한 표현을 생성하는 능력 사이의 균형을 맞추는 일은 섬세한 문제이다. 둘째, 이러한 방법들은 일반적으로 효과적인 학습을 위해 대규모의 라벨링 데이터에 의존한다. 이 두 과제를 각각 따로 해결하려는 노력에도 불구하고, 두 문제를 동시에 그리고 효율적으로 다루는 포괄적 해결책은 아직 부족하다. 이에 대응하여, 우리는 기존 방법들의 한계를 극복하기 위해 트랜스포머의 양방향 인코더 표현으로부터 컨텍스트 의미 정보 추출 능력을 활용하고, 시암 네트워크의 소수 샷 학습 능력을 결합한 종합적 솔루션인 SaRLog를 제안한다. 수축 손실(contractive loss)을 특징으로 하는 시암 네트워크는, 맞춤형 도메인 특화로 파인튜닝된 BERT 위에 구현된다. 비교 분석을 통해 SaRLog의 효과가 기존 기준선 방법들에 비해 검증되었으며, BGL 및 Thunderbird 데이터셋에서 각각 최대 31.2%와 46.7%의 F1 점수 향상을 보였다. 또한, 소수 샷 학습 능력을 평가하기 위한 추가 실험 분석은 SaRLog의 견고성과 일반화 효율성을 강조한다. 따라서 데이터셋 변동성을 극복하고 모델 일반화를 향상시킴으로써, SaRLog는 로그 이상 탐지를 진전시키며 복잡한 로그 데이터의 도전 과제를 효과적으로 처리한다.

융합 환경의 과도한 상호연결성으로 인해 블렌디드 환경의 인터넷(Internet of Blended Environments, IoBE)이 등장하였다. 그 결과, 사이버 보안 위협이 발생할 수 있는 환경과 아키텍처가 지속적으로 다양화되면서 보안 사고가 증가하고 있다. 그러나 기존 탐지 시스템은 상관관계 분석이 부족하여, 이에 해당하는 다양한 공격 경로 및 공격 체인을 효과적으로 탐지할 수 없다. 본 논문에서는 지식 그래프 임베딩(knowledge graph embedding) 기술을 적용하여 IoBE와 같은 복잡한 환경에서 블렌디드 위협을 예측하는 데이터 예측 기법을 제안한다. 또한 제안한 기법의 성능을 검증한다.

대규모 데이터셋에 존재하는 중복되거나 무관한 특징은 기계학습 모델의 효율성을 유의미하게 저해하여, 성능이 급격히 저하될 수 있다. 본 논문은 MLP(다층 퍼셉트론, multilayer perceptron) 네트워크를 이용한 다중 클래스 네트워크 이상(anomalies) 탐지를 위해 IGRF-RFE를 제안한다. IGRF-RFE는 속도를 위한 필터(filter) 방법의 특성과 관련성 탐색을 위한 래퍼(wrapper) 방법의 특성을 모두 활용하는 하이브리드 특징 선택(feature selection) 기법이다. 제1단계에서는 정보 이득(information gain, IG)과 랜덤 포레스트(random forest, RF)를 각각 사용하는 두 가지 필터 방법의 조합을 통해 특징 부분집합(feature subset) 탐색 공간을 축소한다. 이 두 필터 방법을 결합함으로써, IG에 의해 고주파 값(high-frequency values)이 선택된 덜 중요한 특징들의 영향이 RF에 의해 보다 효과적으로 관리되어, 특징 부분집합 탐색 공간에 포함될 보다 관련성 높은 특징들이 도출된다. 제2단계에서는 유사한 특징들의 관련성을 고려하면서, 차원(feature dimension)을 추가로 감소시키기 위해 재귀적 특징 제거(RFE, recursive feature elimination)를 제공하는 기계학습 기반 래퍼 방법을 사용한다. UNSW-NB15 데이터셋을 기반으로 한 실험 결과는, 제안한 방법이 특징 공간(feature space)을 줄이면서도 더 관련성 높은 특징을 선택할 수 있어 이상 탐지 정확도를 향상시킬 수 있음을 확인하였다. 그 결과, 특징이 42에서 23으로 감소하였고, MLP의 다중 분류 정확도는 82.25%에서 84.24%로 향상되었다.

대규모 사물인터넷(IoT)의 출현과 고도로 연결된 네트워크 환경의 확산을 활용하는 새로운 기술들은 최근 수년간 빠르게 증가해 왔다. 이러한 기술들은 스마트 팩토리, 디지털 헬스케어, 스마트 그리드 등 다양한 환경에서 활용되고 있으며, 보안에 대한 우려는 더욱 커지고 있다. 우리는 보안 인력의 개입 없이도 급격히 증가하는 보안 사고에 대해 신속하게 탐지하고 자동으로 대응할 필요가 대두됨에 따라, 새로운 개념 정의를 통해 다양한 환경에서 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response; SOAR)을 운영하고자 한다. 이 새롭게 부상하는 영역에서 관련된 보안 우려를 이해하는 데 도움을 주기 위해, 다양한 융합 환경이 상호 연결되어 있으며 데이터를 자동화로 분석하는 인터넷 오브 블렌디드 환경(Internet of Blended Environment; IoBE)의 정의를 제시한다. 우리는 IoBE에서 다양한 공격 표면을 통해 보안 취약점을 악용하는 보안 위협을 블렌디드 위협(Blended Threat; BT)으로 정의한다. BT 대응 과정을 자동화하여 최소한의 인간 개입으로 보안 사고에 대응하기 위한 새로운 SOAR-CUBE 아키텍처를 제안한다. 우리의 아키텍처에서 보안 오케스트레이션, 자동화 및 대응(SOAR) 구성요소는 위협 데이터를 수집하고 데이터에 대한 상관분석을 수행하는 위협 인텔리전스 기능과 이기종 보안 기술들을 연계하는 데 사용된다. SOAR는 IoBE에 적용되는 환경에 따라 BT 유형별로 각 보안 기술을 배포·설치하고, 사이버 킬 체인 단계에 따라 이를 동적으로 조합함으로써 피해를 최소화하고 BT에 효율적으로 대응할 수 있도록, 블렌디드 환경의 협력 유닛(Collaborative Units of Blended Environment; CUBE) 하에서 운영된다.

최근 데이터 센터 사고들은 ISO 22301 및 ISO/IEC 27001에 따른 인증이 실제 운영 회복탄력성을 보장하지 못함을 보여주었다. 본 연구는 NIST 위험 관리 프레임워크의 확장인 가용성 보증 프레임워크(Availability Assurance Framework, RMF-A)를 제시하며, 여기에 가용성 보증 단계를 도입한다. RMF-A는 ISO 기반의 관리 통제를 NIST의 증거 기반 평가와 결합하고, Availability Evidence Model(AEM)과 Availability Assurance Index(AAI)를 사용한다. AEM은 측정 가능한 지표—복구율(recovery rate, RR), 복구 시간(recovery time, RTO), 탐지 유효성(Detection Effectiveness, DET)—을 정의하며, AAI는 이를 집계해 정량적 보증 점수로 산출한다. Google Cluster Trace, Azure Cloud Trace, LANL HPC Logs의 세 가지 공개 데이터셋을 사용한 검증 결과, 일관된 보증 결과가 확인되었다. 즉, Google은 AAI=0.758(ATO-Conditional), Azure는 AAI=0.720(ATO-Conditional), LANL HPC는 AAI=0.744(ATO-Conditional)였다. 이러한 결과는 RMF-A가 운영 회복탄력성을 정량화하고 지속적 가용성을 보장하기 위한 재현 가능한 증거 기반 접근법임을 확인한다.

자율주행과 같은 특수 목적 응용을 위한 대규모 언어 모델(LLM)의 학습은 데이터 프라이버시 측면에서 중대한 도전 과제를 겪는다. 연합 학습(Federated Learning, FL)은 개인정보를 보존하면서 로컬 데이터의 사용을 가능하게 함으로써 이러한 문제에 대한 해결책을 제공한다. 본 논문에서는 자율주행 차량에서 LLM 학습의 효율성을 향상시키기 위한 새로운 전략인 기울기 우선순위 기반 연합 학습(Gradient Priority-based Federated Learning, FedGPL)을 제안한다. FedGPL은 서버에서 기울기를 사전 계산하여 중요한 모델 계층을 식별하고, 차량이 로컬 데이터를 활용해 해당 계층만을 선택적으로 업데이트할 수 있도록 한다. 이러한 선택적 업데이트는 계산 부담을 감소시키고 기울기 데이터 전송을 최소화한다. 실험 결과, FedGPL은 기존 방법과 비교 가능한 정확도를 달성하면서도 계산 및 통신 비용을 유의미하게 절감하는 것으로 나타나, 자율주행을 위한 고도화된 언어 모델 학습을 위한 유망한 접근법임을 보여준다.

스마트 제조 환경이 계속 발전함에 따라, 운영 기술(OT) 시스템은 외부 네트워크 및 클라우드 기반 플랫폼과의 통합이 점차 확대되고 있다. 그러나 많은 제조 시설은 여전히 지원 종료(end-of-support)/수명 종료(life) 운영체제에서 구동되는 레거시 시스템을 사용하고 있으며, 중단된 보안 업데이트에 의존하고 있다. 이러한 시스템에 대해 다른 네트워크로부터 격리하는 주변부(perimeter) 기반 보안 모델만으로 사이버 위협과 위험을 완화하기는 어렵다. 이러한 제약을 해결하기 위해, 현장 적용 가능성을 고려하여 레거시 제조 환경에 맞춤화된 Zero Trust 기반 보안 아키텍처를 제안한다. 본 아키텍처는 National Institute of Standards and Technology(NIST) Cybersecurity Framework 2.0에서 제시한 여섯 가지 핵심 기능—identify, protect, detect, respond, recover, and govern—을 제조 환경의 보안 과제에 특화하여 적용한다. 이를 위해 본 아키텍처는 자산 식별, 정책 기반 접근 제어, 보안 SMB 게이트웨이 전송, 자동화된 이상 징후 탐지 및 대응, 클린 이미지 복구, 그리고 조직 거버넌스 절차를 결합한다. 본 연구는 시나리오 기반 시뮬레이션을 통해 제안한 아키텍처의 효과성과 확장성을 검증한다. EoSL 방어 강화와 게이트웨이 기반 주변부 통제를 함께 적용할 때, 아키텍처는 전체 위협 억제를 약 99% 달성하고 핵심 자산의 감염률을 98% 감소시켜, 대규모 레거시 OT 환경에서의 높은 회복탄력성과 확장성을 입증한다.

네트워크 환경에서 암호화에 대한 요구가 지속적으로 증가함에 따라 웹 브라우저는 점점 더 하이퍼텍스트 전송 프로토콜 보안(HTTPS)을 채택하고 있다. 암호화된 악성 네트워크 트래픽이 증가하고 있음에도 불구하고, 암호화 자체는 이러한 행위를 분석하기 위해 접근 가능한 데이터의 범위를 제한한다. 이를 완화하기 위해 여러 연구에서는 메타데이터와 페이로드 바이트를 분석하여 암호화된 네트워크 트래픽을 살펴보았다. 최근 연구는 나아가 그래프 신경망을 활용하여 악성 암호화 트래픽 내의 구조적 데이터 패턴을 분석하는 방식을 제시하였다. 본 연구는 트래픽 네트워크에서 노드 간의 대칭적 또는 비대칭적 공간 관계를 모델링하고 특성 차원 축소를 최적화할 수 있는 그래프 신경망 기반 향상된 암호화 트래픽 분석을 제안하였다. 제안된 방법은 전송계층-보안(TLS) 세션 데이터 내의 핵심 특성들—IP 주소, 포트, CipherSuite, MessageLen 및 JA3 특성—을 활용하여 악성 네트워크 트래픽을 분류한 뒤, 정상 및 악성 네트워크 트래픽 데이터 간의 상관관계를 분석하였다. 제안 접근법은 효율성 측면에서 기존 모델을 능가하였으며, 더 적은 특성을 사용하면서도 높은 정확도 99.5%를 유지하였다. 이는 더 적은 특성에 기반하여 고정밀로 악성 네트워크 트래픽을 분류할 수 있다는 점에서 연구적 가치를 보여준다.

클라우드 컴퓨팅 환경에서의 로그 이상 탐지는 시스템의 신뢰성과 보안을 유지하는 데 필수적이다. 로그 메시지의 시간적 의존성을 포착하기 위해 LSTM 및 Transformer와 같은 시퀀스 모델링 아키텍처가 널리 사용되어 왔지만, 로그 구조, 용어, 사건 빈도의 분포 변화와 더불어 데이터셋 간 토큰 중복이 최소화되는 등의 이유로 제로샷 전이 시나리오에서는 그 효과가 저하된다. 이러한 문제를 해결하기 위해, 사이버보안 관련 데이터에 대해 미세 조정된 도메인 특화 사전학습 언어 모델(PLM)과 새로운 손실 함수인 Loss with Decaying Factor (LDF)를 통합한 효과적인 탐지 접근법을 제안한다. LDF는 학습 목적에 지수적 시간 감쇠 메커니즘을 도입하여, 과거 문맥과 실시간 적절성 간의 동적 균형을 보장한다. 흔히 오래된 정보를 과도하게 강조하고 높은 계산 오버헤드를 수반하는 전통적 시퀀스 모델과 달리, LDF는 로그 메시지를 시간적 근접성에 따라 동적으로 가중치 부여함으로써 학습 과정을 제약하여, 클라우드 컴퓨팅 환경이 빠르게 진화하는 특성과 부합하도록 한다. 또한 도메인 특화 PLM은 이질적인 데이터셋 전반에서 로그 데이터의 표현을 개선함으로써 의미적 불일치를 완화한다. 두 개의 슈퍼컴퓨팅 로그 데이터셋에 대한 광범위한 경험적 평가 결과, 본 접근법은 데이터셋 간 이상 탐지 성능을 실질적으로 향상시키는 것으로 나타났다. 이 연구의 주요 기여는 다음과 같다: (1) Loss with Decaying Factor (LDF)를 도입하여 과거 문맥과 실시간 적절성 간의 동적 균형을 조절하는 것; 및 (2) 이질적인 클라우드 환경 전반에서 제로샷 로그 이상 탐지의 일반화를 향상시키기 위해 도메인 특화 PLM을 통합하는 것이다.

시스템 로그에서 이상 탐지 과제를 다루기 위한 복잡성을 해결하기 위해, 심층 학습 기반의 다수 방법들이 개발되어 왔으며, 그 과정에서 두 가지 중요한 과제가 제기된다. 첫째, 모델 복잡도와 하위 탐지 모델을 위한 의미론적으로 유의미한 표현을 생성하는 능력 사이의 균형을 맞추는 일은 섬세한 문제이다. 둘째, 이러한 방법들은 일반적으로 효과적인 학습을 위해 대규모의 라벨링 데이터에 의존한다. 이 두 과제를 각각 따로 해결하려는 노력에도 불구하고, 두 문제를 동시에 그리고 효율적으로 다루는 포괄적 해결책은 아직 부족하다. 이에 대응하여, 우리는 기존 방법들의 한계를 극복하기 위해 트랜스포머의 양방향 인코더 표현으로부터 컨텍스트 의미 정보 추출 능력을 활용하고, 시암 네트워크의 소수 샷 학습 능력을 결합한 종합적 솔루션인 SaRLog를 제안한다. 수축 손실(contractive loss)을 특징으로 하는 시암 네트워크는, 맞춤형 도메인 특화로 파인튜닝된 BERT 위에 구현된다. 비교 분석을 통해 SaRLog의 효과가 기존 기준선 방법들에 비해 검증되었으며, BGL 및 Thunderbird 데이터셋에서 각각 최대 31.2%와 46.7%의 F1 점수 향상을 보였다. 또한, 소수 샷 학습 능력을 평가하기 위한 추가 실험 분석은 SaRLog의 견고성과 일반화 효율성을 강조한다. 따라서 데이터셋 변동성을 극복하고 모델 일반화를 향상시킴으로써, SaRLog는 로그 이상 탐지를 진전시키며 복잡한 로그 데이터의 도전 과제를 효과적으로 처리한다.

융합 환경의 과도한 상호연결성으로 인해 블렌디드 환경의 인터넷(Internet of Blended Environments, IoBE)이 등장하였다. 그 결과, 사이버 보안 위협이 발생할 수 있는 환경과 아키텍처가 지속적으로 다양화되면서 보안 사고가 증가하고 있다. 그러나 기존 탐지 시스템은 상관관계 분석이 부족하여, 이에 해당하는 다양한 공격 경로 및 공격 체인을 효과적으로 탐지할 수 없다. 본 논문에서는 지식 그래프 임베딩(knowledge graph embedding) 기술을 적용하여 IoBE와 같은 복잡한 환경에서 블렌디드 위협을 예측하는 데이터 예측 기법을 제안한다. 또한 제안한 기법의 성능을 검증한다.

대규모 데이터셋에 존재하는 중복되거나 무관한 특징은 기계학습 모델의 효율성을 유의미하게 저해하여, 성능이 급격히 저하될 수 있다. 본 논문은 MLP(다층 퍼셉트론, multilayer perceptron) 네트워크를 이용한 다중 클래스 네트워크 이상(anomalies) 탐지를 위해 IGRF-RFE를 제안한다. IGRF-RFE는 속도를 위한 필터(filter) 방법의 특성과 관련성 탐색을 위한 래퍼(wrapper) 방법의 특성을 모두 활용하는 하이브리드 특징 선택(feature selection) 기법이다. 제1단계에서는 정보 이득(information gain, IG)과 랜덤 포레스트(random forest, RF)를 각각 사용하는 두 가지 필터 방법의 조합을 통해 특징 부분집합(feature subset) 탐색 공간을 축소한다. 이 두 필터 방법을 결합함으로써, IG에 의해 고주파 값(high-frequency values)이 선택된 덜 중요한 특징들의 영향이 RF에 의해 보다 효과적으로 관리되어, 특징 부분집합 탐색 공간에 포함될 보다 관련성 높은 특징들이 도출된다. 제2단계에서는 유사한 특징들의 관련성을 고려하면서, 차원(feature dimension)을 추가로 감소시키기 위해 재귀적 특징 제거(RFE, recursive feature elimination)를 제공하는 기계학습 기반 래퍼 방법을 사용한다. UNSW-NB15 데이터셋을 기반으로 한 실험 결과는, 제안한 방법이 특징 공간(feature space)을 줄이면서도 더 관련성 높은 특징을 선택할 수 있어 이상 탐지 정확도를 향상시킬 수 있음을 확인하였다. 그 결과, 특징이 42에서 23으로 감소하였고, MLP의 다중 분류 정확도는 82.25%에서 84.24%로 향상되었다.