Earticle

초록

한국어

단말 보안 이벤트 수집 및 탐지 시스템인 EDR(Endpoint Detection and Response)의 로그는 사이버 위협 탐지에 중요한 정보를 제공하지만, 방대한 양과 복잡한 구조로 인해 공격자의 전략, 기술, 절차인 TTP(Tactics, Techniques, and Procedures) 수준의 자동 해석에는 한계가 존재한다. 본 연구는 로그 기반 위협 분석과 공격 흐름 해석을 자동화하는 프레임워크를 제안하며, 정형 로그를 의미 기반 정보 로 전환하고, TTP 매핑과 리포트 생성을 일관된 흐름으로 수행한다. 로그로부터 프로세스 경로, 명령어, 네트워크 행위를 분석해 자연어 디스크립션을 생성하고, LogBERT로 악성 여부를 판단한다. 이후 LLM으로 보강한 설명은 FAISS 검색을 통해 의미적으로 유 사한 TTP 후보 Top-3와 매칭되며, 이를 바탕으로 최종 TTP가 결정된다. 마지막으로 이벤트 간 관계 분석을 통해 전체 공격 체인을 자동 구성하고, 시나리오 수준의 위협 해석을 지원한다.

목차

요약
1. 서론
2. 관련 연구
2.1 Wazuh: Rule Set 기반 TTP Mapping
2.2 IntelEX: LLM 기반 CTI 분석 프레임워크
2.3 기존 연구의 문제점
3. 제안 모델
3.1 Semantic Analysis 기반 자동화 Framework
3.2 의미 기반 행위 추출 및 시퀀스 임베딩
3.3 TTP 매핑 및 리포트 생성
4. 실험결과
4.1 Dataset
4.2 제안 시스템의 단계별 출력 및 결과 해석
4.3 시퀀스 기반 공격 흐름 재구성과 시나리오 해석
5. 결론
Acknowledgement
참고문헌

저자

• 김현서 [ Hyun Seo Kim | 호서대학교 컴퓨터공학부 ]
• 정연수 [ Yeon Su Jeong | 호서대학교 컴퓨터공학부 ]
• 이태진 [ Tae Jin Lee | 가천대학교 스마트보안학과 ]

참고문헌