보안 경고에 대한 에이전트 기반 조사로 나아가기
요약
본 논문은 보안 경고에 대한 초기 조사의 비효율성과 컨텍스트 부족 문제를 해결하기 위해 에이전트 기반 워크플로우를 제시합니다. 이 워크플로우는 LLM을 활용하여 구조화된 SQL 쿼리 및 grep 검색과 결합함으로써, 로그 소스 조사 계획, 쿼리 실행, 원시 증거 추출, 최종 판단 도출의 전 과정을 자동화합니다. 실험 결과에 따르면, 제안된 에이전트 워크플로우는 LLM만 사용하는 경우보다 훨씬 높은 정확도로 경고에 대한 최종 판단을 내릴 수 있음을 입증했습니다.
핵심 포인트
- 보안 분석가들은 방대한 양의 낮은 컨텍스트 보안 경고와 로그 데이터에 압도되는 문제를 겪는다.
- 제안된 에이전트 워크플로우는 LLM을 핵심 엔진으로 사용하여 조사 과정을 자동화한다.
- 워크플로우는 구조화된 SQL 및 grep 검색과 같은 제한된 도구 접근 방식을 결합하여 LLM의 한계를 극복한다.
- LLM 기반 시스템은 단순히 판단만 내리는 것을 넘어, 데이터 개요 파악부터 쿼리 계획 수립까지 능동적인 조사 과정을 수행할 수 있다.
보안 분석가들은 많은 양의 경고와 많은 탐지 시스템이 제공하는 낮은 컨텍스트에 압도되고 있습니다. 초기 단계의 조사는 일반적으로 여러 로그 소스를 통한 수동 상관관계 분석을 필요로 하는데, 이는 보통 시간이 많이 소요되는 작업입니다. 본 논문에서는 사전 정의된 쿼리와 제한된 도구 접근 (Suricata 로그에 대한 구조화된 SQL 과 grep 기반 텍스트 검색) 으로 보강된 대규모 언어 모델 (LLMs) 을 활용하여 경고 조사의 초기 단계를 자동화하는 실험적인 에이전트 워크플로우를 제시합니다. 제안된 워크플로우는 사용 가능한 데이터의 개요를 제공하는 쿼리와, 개요 결과를 기반으로 사용할 쿼리를 선택하고, 쿼리 결과에서 원시 증거를 추출하며, 경고에 대한 최종 판단을 전달하는 LLM 구성 요소를 통합합니다. 우리의 결과는 LLM 기반 워크플로우가 로그 소스를 조사하고 조사를 계획할 수 있으며, 제안된 워크플로우 없이 동일한 LLM 이 생성한 판단보다 정확도가 현저히 높은 최종 판단을 생성할 수 있음을 보여줍니다. 대규모 및 비정형 데이터에 LLM 을 직접 적용하는 내재된 한계를 인식하여, 실제 분석가의 기존 조사 관행을 구조화된 접근법과 결합함으로써 LLM 을 가상 보안 분석가로 활용하고 이를 통해 수동 작업량을 보조하고 줄이는 방안을 제안합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 arXiv cs.AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기