earticle

영어

Traditional intrusion detection mainly classifies traffic as normal or malicious, or identifies attack types, offering limited insight into why incidents occur. This study proposes an AI-based approach for automatic deep root cause analysis of cyber incidents. Using the CSE-CIC-IDS2018 dataset, we map each flow to up to ten root cause categories (C01–C10), such as input validation failure, authentication/session weakness, and security misconfiguration, and train multi-label classifiers, including an MLP model. Experiments show that the proposed MLP achieves competitive performance (micro F1 ≈ 0.94) while providing multiple plausible control failures per incident, supporting more actionable and explainable incident response.

한국어

기존 침입 탐지 연구가 주로 정상/비정상 또는 공격 유형 분류에 머무르는 한계를 보완하고자, 사이버 침해사고의 보안 통 제 실패 관점 심층 원인 후보를 자동으로 추론하는 인공지능 기반 모델을 제안한다. 이를 위해 공개 네트워크 침입 탐지 데이 터셋인 CSE-CIC-IDS2018을 활용하여, 침해사고를 입력 검증 실패, 인증·세션 관리 취약, 접근통제 실패, 보안 구성 오류, 트 래픽·레이트 제어 미흡 등 10개 원인 카테고리(C01～C10)로 재구성한 심층 원인 분류 체계를 설계하고, 공격 유형과 도메인 지식을 이용한 규칙 기반 매핑을 통해 각 플로우에 가설적(proxy) 멀티라벨(C01～C10)을 부여하였다. 이후 전처리 및 특징 선 택을 거쳐 로지스틱 회귀, 랜덤 포레스트, 그래디언트 부스팅, 다층 퍼셉트론(MLP) 기반 멀티라벨 분류 모델을 학습·평가한 결과, 제안 MLP 모델은 C01～C10 원인 카테고리 전반에서 micro/macro F1-score와 Hamming loss 지표 기준으로 기존 머신 러닝 베이스라인 대비 우수한 성능을 보였으며, 각 침해사고에 대해 2～3개의 보안 통제 실패 요인을 동시에 제시할 수 있었 다. 이를 통해 동일한 데이터에서 “DoS 공격 여부”와 같은 단일 공격 유형 정보뿐 아니라, “트래픽·레이트 제어 미흡, 플랫폼· 환경 설정 취약”과 같이 후속 조사와 재발 방지에 직결되는 심층 원인 후보 정보를 자동으로 제공하는 ‘원인 추천 엔진’으로 활용 가능함을 보였으며, 보안 담당자의 사고 분석 및 정책·설정 개선 의사결정을 지원하는 설명 가능한 보안 분석 도구로서 의 잠재력을 확인하였다.