블로그 | CTO 사무실

F5가 발표한 사이버 보안 연구: ML/AI 프레임워크에서의 성능 및 효과

최근 F5는 Elsevier Network Security 저널에 다양한 머신 러닝(ML)/인공 지능(AI) 프레임워크에 대한 실증적 분석을 통해 분산형 방식으로 ML/AI 알고리즘을 실행하는 성능과 효과성을 확인하는 연구 논문을 게재했습니다. 이 연구에서는 NVIDIA의 Morpheus, ONNX, TF/SKL 등과 같은 다양한 ML/AI 고급 프레임워크를 사용하여 대규모로 사이버 보안을 크게 개선하는 방법을 살펴봅니다. 최적화된 모델 포맷과 GPU 기반 병렬 워크로드 처리를 통해 감지 기능이 가속화되었습니다. 소프트웨어 최적화와 하드웨어 가속을 결합하면 지연 시간이 줄어들 뿐만 아니라 전체 처리량도 늘어납니다. 

우리는 다양한 ML/AI 프레임워크(NVIDIA의 Morpheus, ONNX, TF/SKL)를 비교하기 위해 알고리즘적으로 생성되는 도메인(AGD) 을 감지하는 문제를 선택했습니다. 일반적으로 공격자는 도메인 생성 알고리즘(DGA)을 사용하여 데이터 유출을 위한 AGD와 DNS 계층을 통한 명령 및 제어(C&C) 통신을 생성합니다. 우리는 DGA 위협 탐지 모델을 사용하여 다양한 ML/AI 프레임워크를 테스트했습니다.

AGD를 감지하기 위한 ML/AI 모델은 32 및 1024의 배치 크기로 지정된 플랫폼에 배포 및 실행되었습니다. GPU 구성은 지정된 배치 크기에서 TensorFlow 구현의 CPU 구성보다 각각 11배와 43배 더 높은 성능을 보였습니다. ONNX 모델 형식을 사용할 때 CPU 실행 공급자는 배치 크기 32의 경우 TensorFlow CPU보다 5배, 배치 크기 1024의 경우 1.5배 더 나은 성능을 보였습니다. CUDA GPU 실행 공급자를 탑재한 ONNX는 배치 크기 32와 1024의 경우 CPU 실행 공급자를 탑재한 ONNX보다 각각 6배와 13배 더 우수한 성과를 보였습니다. Morpheus-GPU는 배치 크기 32 및 1024에서 각각 초당 22382개의 요청과 초당 208077개의 요청의 처리량을 달성하여 다른 아키텍처보다 우수한 성능을 보였습니다. 이는 TensorFlow-GPU 구성과 비교했을 때 처리량이 200배 증가한 것입니다.

분석 결과, Morpheus-GPU는 뛰어난 지연 시간과 처리량을 제공하여 대규모 네트워크에 더 큰 배치 크기를 사용할 수 있다는 것을 발견했습니다. Morpheus-GPU와 캐싱을 사용하면 데이터 센터 수준의 DNS 트래픽에 대한 실시간 DGA 감지가 가능합니다.

연구의 주요 학습 내용은 다음과 같습니다.

  • 사이버 공격과 내재적 위협을 회피하려면 위협 인텔리전스를 위해 저장된 데이터 세트의 힘을 활용하는 성숙한 위협 탐지 솔루션이 필요합니다.  
  • AI/ML 알고리즘은 사이버 공격과 위협을 보다 효과적으로 탐지하기 위해 대규모 데이터를 빠르게 학습하고 훈련시키기 위해 하드웨어 가속(AI 프레임워크)이 필요합니다. 
  • Morpheus AI 프레임워크는 빠른 의사결정을 가능하게 하고, ONNX, TF 등의 다른 ML/AI 프레임워크와 비교했을 때 낮은 지연 시간과 높은 처리량으로 데이터를 처리하는 추론 기능을 제공합니다. 

조직에서는 이 연구를 사용하여 강력한 인프라(처리 장치와 ML/AI 프레임워크의 조합)를 선택하여 대규모로 데이터를 처리하고 빠르고 확장 가능한 방식으로 추론 결과를 얻음으로써 AI 가속화 사이버 보안을 구현할 수 있습니다. 이 연구를 통해 조직은 특히 ML/AI 분야에서 ML/AI 프레임워크와 관련된 검증된 결과를 사용하는 방법을 기존 제품에 구현할 수 있습니다.

Network Security Journal 온라인 포털 에서 논문 사본을 받아보세요.