피드로 돌아가기
Dev.toSecurity
원문 읽기
단순 평균을 배제한 Asymmetric Floor 기반 IP 평판 분석 시스템 설계
Reconciling 8 IP-reputation feeds into one verdict: averaging is the wrong default
AI 요약
Context
복수의 IP 평판 데이터 소스를 단순 산술 평균하여 리스크 스코어를 산출하던 기존 방식의 한계 직면. 저정밀도 소스의 노이즈가 전체 결과를 왜곡하거나 결정적인 고위험 신호가 희석되어 오탐(False Positive) 및 미탐이 빈번하게 발생함.
Technical Solution
- 신호 특성에 따른 Asymmetric Floor 도입을 통해 특정 고위험 신호 감지 시 스코어 하한선을 강제하는 구조 설계
- 데이터 소스별 정밀도를 고려한 가중치 적용 및 데이터센터/주거용 IP 범위에 따른 합의(Consensus) 기준 차등 적용
- 단순 수치 결과가 아닌 개별 소스의 판정 내역, 가중치, 적용된 Floor 로직을 포함한 Structured Data 형태의 Decision Log 출력
- DNSBL over DoH 쿼리를 통한 독립적인 Ground Truth 검증 경로 확보로 벤더 종속적 스코어링 보완
- CGNAT 및 예약 IP 대역에 대한 Short-circuit 로직을 전면 배치하여 불필요한 파이프라인 진입 및 오분류 차단
- 알려진 인프라 ASN(Google, Cloudflare 등)에 대한 Whitelist 적용으로 백본 네트워크 대상의 불필요한 리스크 판정 제거
실천 포인트
1. 서로 다른 신뢰도를 가진 다수 소스 통합 시 단순 평균 대신 가중치 및 하한선(Floor) 모델 검토
2. 시스템의 최종 결과값과 함께 판단 근거가 되는 중간 단계 데이터를 구조화하여 함께 반환하는지 확인
3. 인프라 특성(ASN, Reserved Range)에 따른 예외 처리 로직을 파이프라인 최상단에 배치하여 효율성 제고
4. 바이너리 신호의 경우 단일 보고가 아닌 최소 보고 횟수 및 보고자 수 기준의 임계값 설정 적용