Earticle

다운로드

거대 언어 모델과 프롬프트 엔지니어링을 기반으로 한 다단계 공격의 시나리오 탐지 기법
A Novel Multi-stage Attack Scenario Detection Technique Based on a Large Language Model and Prompt Engineering

  • 간행물
    융합보안논문지 KCI 등재 바로가기
  • 권호(발행년)
    제25권 제3호 (2025.09) 바로가기
  • 페이지
    pp.87-97
  • 저자
    김동훈, 이수진
  • 언어
    한국어(KOR)
  • URL
    https://www.earticle.net/Article/A473533

원문정보

초록

한국어
효과적인 사이버 위협 대응 전략을 수립하기 위해서는 다단계로 수행되는 사이버공격의 단계별 정보를 정확하게 식별할 수 있어야 한다. 그러나 사이버보안의 핵심인 침입탐지시스템은 다단계로 구성된 사이버공격을 하나의 연관된 공격으로 탐지 하지 못하고 개별적인 다수의 공격이 발생한 것처럼 경보를 생성한다. 따라서 대응은 개별 공격에 대한 단편화된 대응으로 이 어질 수밖에 없으며, 동일한 침해사고의 재발 방지를 위한 효과적인 대책을 수립하는 것도 어려워진다. 이러한 문제를 해결하 기 위해 본 연구에서는 거대 언어 모델을 기반으로 별도의 미세조정 없이 프롬프트 엔지니어링만을 활용하여 침입탐지 경보 로부터 다단계 공격을 시나리오 형태로 식별하는 기법을 제안한다. 프롬프트 엔지니어링 과정에서는 모델의 사이버 위협 분석 과 관련된 역량이 활성화되도록 페르소나를 부여하였다. 또한 논리적인 연쇄적 사고 기법을 적용하고, 환각 현상을 억제하기 위해 제약조건을 명시하였다. 제안된 기법의 효과성은 5종의 거대 언어 모델을 이용하여 검증하였으며, 웹 기반 모델인 Gemini 2.5 Pro 06-05가 가장 정확한 공격 시나리오를 식별하였다.
영어
Developing an effective cyber threat response strategy requires accurately identifying information at each stage of a multi-stage cyber attack. However, intrusion detection system, a core element of cybersecurity, fail to detect multi-stage cyber attack as a single, correlated attack and instead generates alerts as if multiple individual attacks had occurred. This inevitably leads to fragmented responses to individual attacks. Developing effective countermeasures to prevent the recurrence of the same cyebr incident also becomes difficult. To address this problem, in this paper, we propose a novel approach for identifying multi-stage cyber attack in attack scenario from intrusion detection alerts using prompt engineering alone, without any additional fine-tuning, based on a Large Language Model(LLM). During the prompt engineering process, we assigned personas to the LLM to activate its cyber threat analysis capability. We also applied Chain-of-Thought technique to facilitate logical reasoning and specified constraints to suppress hallucinations. The effectiveness of the proposed approach was verified using five LLMs. As a result, the web-based LLM, Gemini 2.5 Pro 06-05, identified the most accurate attack scenario.

목차

요약
ABSTRACT
1. 서론
2. 데이터세트 및 모델
2.1 다단계 공격 탐지를 위한 데이터세트
2.2 AIT-IDS 데이터세트
2.3 분석 대상 LLM 선정
3. 제안하는 다단계 공격 탐지 기법
3.1 시스템 구현 환경
3.2 데이터 전처리
3.3 프롬프트 설계
4. 실험 결과 및 분석
4.1 Gemini 2.5 Pro 06-05 (웹 기반)
4.2 Llama 3.1:8b
4.3 Llama 3.2:3b
4.4 Deepseek R1:8b
4.5 Phi-4 mini:3.8b
4.6 모델별 탐지 결과 비교
5. 결론
참고문헌

저자

  • 김동훈 [ Dong-Hoon Kim | 국방대학교 사이버‧컴퓨터공학 석사과정 ] 주저자
  • 이수진 [ Soo-Jin Lee | 국방대학교 사이버‧컴퓨터공학 교수 ] 교신저자

참고문헌

자료제공 : 네이버학술정보

    간행물 정보

    • 간행물
      융합보안논문지 [Jouranl of Information and Security]
    • 간기
      연5회
    • pISSN
      1598-7329
    • 수록기간
      2001~2026
    • 등재여부
      KCI 등재
    • 십진분류
      KDC 005 DDC 005