인터넷 사물인터넷(Internet of Things, IoT) 기기의 수가 증가함에 따라 사이버 공격을 방지하기 위해 이들을 최신 상태로 유지하는 것이 중요하다. 전통적인 중앙집중형 전달 방식은 확장성 측면에서 적합하지 않을 뿐 아니라, 소규모 벤더에게는 운영 비용이 과도할 수 있다. 따라서 완전히 안전하면서도 확장 가능하고, 동시에 비용 효율적인 펌웨어 업데이트 배포 전략을 찾는 문제는 여전히 해결되지 않은 개방형 연구 과제이다. 본 논문은 블록체인을 활용하는 IoT 생태계를 위한 안전한 분산형 펌웨어 업데이트 배포 서비스인 Patchman을 제안함으로써 이러한 문제들에 답하고자 한다. 새로운 펌웨어 패치가 사용 가능해지면, 벤더는 누구나 펌웨어 배포자(firmware distributor)로 참여할 수 있도록 스마트 계약(smart contract)에 입찰을 수행한다. 표적 장치에 대한 성공적인 배포가 이루어질 때마다 배포자는 토큰(tokens)으로 보상을 받는다. 한편, 장치는 업데이트를 성공적으로 설치할 때마다 평판 점수(reputation score)를 획득한다. 견고성과 공정성을 보장하기 위해 우리는 검증 가능한 전달 증명(proof-of-delivery)과 설치 증명(proof-of-installation)을 사용하는 안전한 공정 교환 프로토콜을 개발한다. 이러한 증명은 블록체인에서 보상 및 평판 점수와 교환될 수 있으며, 증명 보유자(proof-holder)가 펌웨어 배포 및 펌웨어 설치 작업을 성공적으로 처리했음을 입증한다. 이를 통해 중앙 제3자 통제 없이도 펌웨어 업데이트 배포를 안전하게 수행할 수 있다. 우리의 평가 결과는 우리가 구상한 다섯 가지 보안 목표에 본 구현이 부합함을 보여준다. 또한 악의적 행위를 예치금(deposit) 몰수와 함께 다음 업데이트 작업에 참여할 때 기본 예치금 가치의 최대 4배까지 추가로 지불하도록 요구하여 성공적으로 처벌하였다. 이는 본 프로토콜의 공정성을 보장한다. 더 나아가, 제로-지식 증명(Zero-Knowledge Proofs)에 의존하는 기존 연구에 비해 낮은 처리 지연 오버헤드를 생성한다. 또한 본 접근 방식은 기존 연구보다 더 많은 기능을 지원함에도 불구하고, 가스 사용량(gas usage) 측면에서 경쟁력 있는 결과를 산출하였으며, 제안의 효율성을 입증한다.

침입 탐지 시스템(Intrusion Detection Systems, IDS)은 악의적 활동으로부터 컴퓨터 네트워크를 보호하는 데 있어 핵심적인 역할을 수행한다. 그러나 IDS의 효능은 실제 세계 데이터셋에서 지속적으로 발생하는 클래스 불균형이라는 난제에 의해 일관되게 저해된다. 리샘플링 기법, 앙상블 방법, 비용 민감 학습, 데이터 증강 등 다양한 방법들이 불균형 분류 문제를 각각의 관점에서 해결해 왔음에도 불구하고, IDS 성능을 향상시키기 위한 효과적인 하이브리드 방법론을 목표로 하는 연구는 문헌상에서 주목할 만한 공백이 존재한다. 이러한 공백을 해소하기 위해, 본 연구에서는 앙상블 분류 프레임워크 내에서 하이브리드 언더샘플링과 오버샘플링 전략을 통합하는 혁신적인 방법론을 제안한다. 본 새로운 접근법은 특히 복잡한 다중 클래스 상황에서 데이터셋 분포를 조화롭게 정렬하고 IDS 성능을 최적화하도록 설계되었다. 심층 평가는 Car Hacking: Attack and Defense Challenge 2020 (CHADC2020) 및 IoTID20을 포함한 잘 정립된 침입 탐지 데이터셋을 사용하여 수행하였다. 그 결과, 제안된 방법론의 현저한 효능이 입증되었으며, 정밀도(precision), 재현율(recall), F1-score 지표에서 유의한 개선이 나타났다. 특히, 하이브리드-앙상블 방법은 두 데이터셋 모두에서 평균 F1 점수가 98%를 상회하는 탁월한 성능을 보였는데, 이는 침입 탐지 정확도를 실질적으로 향상시키는 뛰어난 능력을 강조한다. 요약하면, 본 연구는 IDS 분야에 의미 있는 기여를 제공하며 클래스 불균형이라는 광범위한 문제에 대한 견고한 해결책을 제시한다. 하이브리드 프레임워크는 IDS의 효능을 강화할 뿐 아니라, 앙상블 분류기에서 언더샘플링과 오버샘플링의 원활한 통합 가능성을 조명함으로써 네트워크 방어 강화를 위한 기반을 마련한다.

최근 몇 년 동안 침입 탐지 시스템(IDS)을 위한 많은 방법들이 연구 커뮤니티에서 설계되고 개발되었으며, IDS 데이터셋을 사용해 완벽한 탐지율을 달성한 바 있다. 심층 신경망(DNN)은 IDS에 널리 적용되는 대표적인 사례이다. 그러나 DNN 모델은 하드웨어 요구 사항에서 높은 연산 자원이 필요해지면서, 모델 아키텍처가 점차 복잡해지고 있다. 또한 대규모 IoT 기반 IDS 데이터셋을 사용한 이러한 DNN 모델의 결정에 대한 설명을 사람의 관점에서 얻는 것은 어렵다. 제안된 많은 IDS 방법들이 사이버보안 전문가에게 제공되는 설명의 부재로 인해 실제 배포에 적용되지 못한 경우가 많으며, 이는 IDS 모델의 판단에 따라 의사결정을 최적화하는 측면에서 이들을 지원하지 못했기 때문이다. 본 논문은 대규모 IoT 기반 IDS 데이터셋을 활용하여 IDS의 공격 탐지 성능을 향상시키는 동시에, 머신러닝(ML) 모델 예측에 대한 설명을 제공하는 것을 목표로 한다. 제안하는 ML 기반 IDS 방법은 앙상블 트리 접근법에 기반하며, 의사결정나무(DT)와 랜덤 포레스트(RF) 분류기를 포함하여 모델 학습에 고도의 연산 자원이 필요하지 않다. 또한 제안 방법의 실험적 평가는 두 개의 대규모 데이터셋 NF-BoT-IoT-v2와 NF-ToN-IoT-v2(기존 BoT-IoT 및 ToN-IoT 데이터셋의 새로운 버전)를 사용하며, 네트 플로우 미터의 특성(feature set)을 통해 수행한다. 아울러 IoTDS20 데이터셋도 실험에 사용한다. 나아가 SHapley additive exPlanations(SHAP)를 eXplainable AI(XAI) 방법론에 적용하여 DT 및 RF 모델의 분류 결정을 설명하고 해석한다. 이는 앙상블 트리 접근법의 최종 결정 해석에 효과적일 뿐만 아니라, 결과에 대한 설명을 바탕으로 사이버보안 전문가가 자신의 판단의 정확성을 신속하게 최적화하고 평가하는 데에도 지원을 제공한다.

산업 사물인터넷(Industrial Internet of Things, IIoT)은 진보된 디지털 기술과 가장 빠른 상호연결을 제공함으로써 오늘날 산업 비즈니스를 실질적으로 크게 성장시킬 수 있는 기회를 창출한다. IIoT는 유망한 성장 기회를 제공하지만, 대규모 센서 IoT 데이터는 사이버 범죄자에 의해 쉽게 공격받을 수 있다. 따라서 IIoT는 네트워크를 보호하기 위해 서로 다른 수준의 높은 보안 요구사항을 필요로 한다. 침입 탐지 시스템(Intrusion Detection System, IDS)은 네트워크의 비정상적 행위를 탐지하고 공격을 회피하기 위해 안전한 네트워크 트래픽을 모니터링하는 것을 목표로 하는 핵심 보안 솔루션 중 하나이다. 특히 머신러닝(Machine Learning, ML) 기반 IDS 접근법으로 보안 IDS 애플리케이션을 구축하는 데 있어 그 효과가 일반적인 사이버 네트워크 및 특정 IIoT 네트워크 분야 모두에서 보안 연구 커뮤니티의 관심을 끌고 있다. 그러나 대부분의 이용 가능한 IIoT 데이터셋은 불균형 분포를 갖는 다중 클래스 출력 데이터를 포함한다. 이는 ML 기반 IDS 모델에서 공격 탐지 정확도가 감소하는 주요 원인이다. 본 연구는 이 문제를 극복하기 위해 eXtremely Gradient Boosting(XGBoost) 모델을 적용하여 IIoT 불균형 데이터셋을 위한 IDS를 제안한다. 제안한 방법의 효과성과 견고성을 평가하기 위해 두 가지 최신 IIoT 불균형 데이터셋, X-IIoTDS와 TON_IoT를 사용하였다. XGBoost 모델은 두 데이터셋에서 각각 F1 점수 99.9% 및 99.87%로 우수한 공격 탐지를 달성하였다. 이러한 결과는 제안된 접근법이 불균형 다중 클래스 IIoT 데이터셋에서 공격 탐지 성능을 향상시켰으며, 기존 IDS 프레임워크보다 우수함을 입증하였다.

기계학습 기반 네트워크 침입 탐지 시스템(NIDS)은 적대적 조작에 취약하지만, 표형 NIDS 데이터에 대한 강건성(robustness) 문헌은 여전히 단일 모델, 단일 데이터셋, 그리고 비적응적(non-adaptive) 평가에 의해 주도되고 있다. 본 논문에서는 만능의 범용 방어 원리(universal defense primitive)를 주장하는 형태가 아니라, 4개 구성요소로 이루어진 방어 파이프라인에 대한 비교 강건성 연구로 원고의 위치를 재정립한다. 우리는 XGBoost, LightGBM, TabNet, Residual MLP를 RT_IOT2022 및 Web_IDS23에서 표준 공격, 대표적인 제약/적응 공격, 구성요소별 절제(component-wise ablations), 샘플 분율(sample-fraction) 민감도, 반복 실행 유의성(significance) 검정, 클래스별 F1 분석, 그리고 계산 오버헤드 측정 하에 평가한다. 그 결과 강건성은 데이터셋 및 아키텍처 의존성이 크다는 점이 확인되었다. RT_IOT2022에서는 트리 기반 모델이 강한 공격에서 대부분의 강건성 격차를 줄이지만, 대개는 큰 수준의 정제(clean) 정확도 감소 이후에야 그 효과가 나타난다. Residual MLP는 보다 유리한 균형을 보이며, 전체 방어 스택은 TabNet에 대해 과도한 정규화(over-regularization)를 유발하는 것으로 나타났다. Web_IDS23에서는 집계된 강건성 격차 감소가 여전히 양(+)의 값을 유지하지만, 적대적 학습(adversarial-training)만 사용하거나 앙상블만 사용하는 등 더 단순한 기준(baseline) 구성들이 절대적인 정제/공격 정확도 측면에서 네 단계의 전체 파이프라인을 자주 능가한다. 두 데이터셋 전반에 걸쳐 중앙값 필터링(median filtering)은 가장 취약한 구성요소로 나타났는데, 더 큰 필터 윈도우는 정제 및 공격 정확도를 모두 실질적으로 저하시킨다. 반면 오염(contamination) 비율, 이상 혼합(anomaly-mixing) 가중치, 앙상블 크기는 상대적으로 안정적이다. 대표적인 제약/적응 평가에서는 표준 FGSM/PGD 대비 성능 저하가 단지 소폭에 그치지만, 클래스별(per-class) 및 오버헤드 분석은 소수 클래스 붕괴(minority-class collapse)와 훈련 비용(training cost)이 여전히 중요한 배포 제한으로 남아 있음을 보여준다. 이러한 결과는 보다 신중한 결론을 지지한다. 즉, 표형 NIDS에 대한 적대적 방어는 검증(validation) 기반이며 데이터셋에 특화되어야 하고, 전체 방어 스택을 범용 기본값(universal default)으로 취급해서는 안 된다.

산업 소리에서 이상(anomaly)을 탐지하는 것은 운영 효율을 유지하고, 비용이 많이 드는 설비 고장을 예방하며, 작업장 안전을 확보하는 데 핵심적이다. 그러나 산업 환경의 복잡성과 변동성으로 인해 배경 소음 및 작동 조건의 변동을 포함하는 상당한 어려움이 존재한다. 본 논문은 이러한 문제를 해결하기 위해 기계학습(ML) 및 딥러닝(DL) 기법을 활용하는 포괄적인 접근법을 제안한다. 세 가지 데이터셋, 즉 도메인 일반화를 위한 고장난 산업 기계 조사 및 점검 2022(Malfunctioning Industrial Machine Investigation and Inspection for Domain Generalization 2022, MIMII DG 2022), 음향 장면 및 사건의 탐지와 분류(Detection and Classification of Acoustic Scenes and Events, DCASE) 2022, DCASE 2024를 사용하여 서로 다른 실험 조건 하에서 다양한 ML 및 DL 모델의 성능을 평가한다. 본 연구는 멜-스펙트로그램(Mel-spectrograms)과 멜-주파수 켑스트럼 계수(Mel-frequency Cepstral Coefficients, MFCCs)와 같은 특징 추출 방법을 활용하여 산업용 기계의 핵심 음향 특성을 포착하는 데 초점을 둔다. 효과적인 이상 탐지 전략을 탐색하기 위해 지도학습(supervised) 기반 ML 및 DL 기법을 모두 사용한다. 혼동 행렬(confusion matrix), 정확도(accuracy), 정밀도(precision), 재현율(recall), F1 점수(F1 score)와 같은 지표를 활용한 광범위한 실험과 평가는 실제 산업 환경에서 본 접근법의 효과를 보여준다. 실험 결과는 ML 접근법에서 eXtreme Gradient Boosting(XGBoost)이 두 가지 특징 세트 모두에서 서포트 벡터 머신(Support Vector Machine, SVM)과 의사결정트리(Decision Tree, DT) 모델보다 우수함을 입증한다. DL 접근법에서는 순환신경망(RNN)과 장단기메모리(Long Short-Term Memory, LSTM) 네트워크보다 MFCC 특징에서 게이티드 순환 유닛(Gated Recurrent Units, GRU)이 더 나은 성능을 보인다. GRU는 테스트 데이터셋에서 최우수 모델로 나타났으며, DCASE 2024 데이터셋에서 정밀도 99.56%, F1 점수 99.55%를 달성하고, DCASE 2022 데이터셋에서 정밀도 94%, F1 점수 93.95%를 달성하며, MIMII DG 2022 데이터셋에서 정밀도 92.2%, F1 점수 92.06%를 달성한다. 이러한 결과는 예지보전(predictive maintenance)을 위한 실시간 산업 소리 분석에서 딥러닝의 잠재력을 강조하며, 기존의 전통적 방법에 비해 상당한 개선을 제공한다.

인터넷 사물인터넷(Internet of Things, IoT) 기기의 수가 증가함에 따라 사이버 공격을 방지하기 위해 이들을 최신 상태로 유지하는 것이 중요하다. 전통적인 중앙집중형 전달 방식은 확장성 측면에서 적합하지 않을 뿐 아니라, 소규모 벤더에게는 운영 비용이 과도할 수 있다. 따라서 완전히 안전하면서도 확장 가능하고, 동시에 비용 효율적인 펌웨어 업데이트 배포 전략을 찾는 문제는 여전히 해결되지 않은 개방형 연구 과제이다. 본 논문은 블록체인을 활용하는 IoT 생태계를 위한 안전한 분산형 펌웨어 업데이트 배포 서비스인 Patchman을 제안함으로써 이러한 문제들에 답하고자 한다. 새로운 펌웨어 패치가 사용 가능해지면, 벤더는 누구나 펌웨어 배포자(firmware distributor)로 참여할 수 있도록 스마트 계약(smart contract)에 입찰을 수행한다. 표적 장치에 대한 성공적인 배포가 이루어질 때마다 배포자는 토큰(tokens)으로 보상을 받는다. 한편, 장치는 업데이트를 성공적으로 설치할 때마다 평판 점수(reputation score)를 획득한다. 견고성과 공정성을 보장하기 위해 우리는 검증 가능한 전달 증명(proof-of-delivery)과 설치 증명(proof-of-installation)을 사용하는 안전한 공정 교환 프로토콜을 개발한다. 이러한 증명은 블록체인에서 보상 및 평판 점수와 교환될 수 있으며, 증명 보유자(proof-holder)가 펌웨어 배포 및 펌웨어 설치 작업을 성공적으로 처리했음을 입증한다. 이를 통해 중앙 제3자 통제 없이도 펌웨어 업데이트 배포를 안전하게 수행할 수 있다. 우리의 평가 결과는 우리가 구상한 다섯 가지 보안 목표에 본 구현이 부합함을 보여준다. 또한 악의적 행위를 예치금(deposit) 몰수와 함께 다음 업데이트 작업에 참여할 때 기본 예치금 가치의 최대 4배까지 추가로 지불하도록 요구하여 성공적으로 처벌하였다. 이는 본 프로토콜의 공정성을 보장한다. 더 나아가, 제로-지식 증명(Zero-Knowledge Proofs)에 의존하는 기존 연구에 비해 낮은 처리 지연 오버헤드를 생성한다. 또한 본 접근 방식은 기존 연구보다 더 많은 기능을 지원함에도 불구하고, 가스 사용량(gas usage) 측면에서 경쟁력 있는 결과를 산출하였으며, 제안의 효율성을 입증한다.

침입 탐지 시스템(Intrusion Detection Systems, IDS)은 악의적 활동으로부터 컴퓨터 네트워크를 보호하는 데 있어 핵심적인 역할을 수행한다. 그러나 IDS의 효능은 실제 세계 데이터셋에서 지속적으로 발생하는 클래스 불균형이라는 난제에 의해 일관되게 저해된다. 리샘플링 기법, 앙상블 방법, 비용 민감 학습, 데이터 증강 등 다양한 방법들이 불균형 분류 문제를 각각의 관점에서 해결해 왔음에도 불구하고, IDS 성능을 향상시키기 위한 효과적인 하이브리드 방법론을 목표로 하는 연구는 문헌상에서 주목할 만한 공백이 존재한다. 이러한 공백을 해소하기 위해, 본 연구에서는 앙상블 분류 프레임워크 내에서 하이브리드 언더샘플링과 오버샘플링 전략을 통합하는 혁신적인 방법론을 제안한다. 본 새로운 접근법은 특히 복잡한 다중 클래스 상황에서 데이터셋 분포를 조화롭게 정렬하고 IDS 성능을 최적화하도록 설계되었다. 심층 평가는 Car Hacking: Attack and Defense Challenge 2020 (CHADC2020) 및 IoTID20을 포함한 잘 정립된 침입 탐지 데이터셋을 사용하여 수행하였다. 그 결과, 제안된 방법론의 현저한 효능이 입증되었으며, 정밀도(precision), 재현율(recall), F1-score 지표에서 유의한 개선이 나타났다. 특히, 하이브리드-앙상블 방법은 두 데이터셋 모두에서 평균 F1 점수가 98%를 상회하는 탁월한 성능을 보였는데, 이는 침입 탐지 정확도를 실질적으로 향상시키는 뛰어난 능력을 강조한다. 요약하면, 본 연구는 IDS 분야에 의미 있는 기여를 제공하며 클래스 불균형이라는 광범위한 문제에 대한 견고한 해결책을 제시한다. 하이브리드 프레임워크는 IDS의 효능을 강화할 뿐 아니라, 앙상블 분류기에서 언더샘플링과 오버샘플링의 원활한 통합 가능성을 조명함으로써 네트워크 방어 강화를 위한 기반을 마련한다.

최근 몇 년 동안 침입 탐지 시스템(IDS)을 위한 많은 방법들이 연구 커뮤니티에서 설계되고 개발되었으며, IDS 데이터셋을 사용해 완벽한 탐지율을 달성한 바 있다. 심층 신경망(DNN)은 IDS에 널리 적용되는 대표적인 사례이다. 그러나 DNN 모델은 하드웨어 요구 사항에서 높은 연산 자원이 필요해지면서, 모델 아키텍처가 점차 복잡해지고 있다. 또한 대규모 IoT 기반 IDS 데이터셋을 사용한 이러한 DNN 모델의 결정에 대한 설명을 사람의 관점에서 얻는 것은 어렵다. 제안된 많은 IDS 방법들이 사이버보안 전문가에게 제공되는 설명의 부재로 인해 실제 배포에 적용되지 못한 경우가 많으며, 이는 IDS 모델의 판단에 따라 의사결정을 최적화하는 측면에서 이들을 지원하지 못했기 때문이다. 본 논문은 대규모 IoT 기반 IDS 데이터셋을 활용하여 IDS의 공격 탐지 성능을 향상시키는 동시에, 머신러닝(ML) 모델 예측에 대한 설명을 제공하는 것을 목표로 한다. 제안하는 ML 기반 IDS 방법은 앙상블 트리 접근법에 기반하며, 의사결정나무(DT)와 랜덤 포레스트(RF) 분류기를 포함하여 모델 학습에 고도의 연산 자원이 필요하지 않다. 또한 제안 방법의 실험적 평가는 두 개의 대규모 데이터셋 NF-BoT-IoT-v2와 NF-ToN-IoT-v2(기존 BoT-IoT 및 ToN-IoT 데이터셋의 새로운 버전)를 사용하며, 네트 플로우 미터의 특성(feature set)을 통해 수행한다. 아울러 IoTDS20 데이터셋도 실험에 사용한다. 나아가 SHapley additive exPlanations(SHAP)를 eXplainable AI(XAI) 방법론에 적용하여 DT 및 RF 모델의 분류 결정을 설명하고 해석한다. 이는 앙상블 트리 접근법의 최종 결정 해석에 효과적일 뿐만 아니라, 결과에 대한 설명을 바탕으로 사이버보안 전문가가 자신의 판단의 정확성을 신속하게 최적화하고 평가하는 데에도 지원을 제공한다.