CVE-TTP KG: 소프트웨어 취약점과 공격 행위 간의 지식 그래프 연결
요약
소프트웨어 취약점(CVE)과 MITRE ATT&CK의 공격 행위(TTP)를 연결하는 지식 그래프 구축 연구를 소개합니다. Transformer 기반 모델인 CySecBERT를 활용하여 취약점과 공격 전술/기술 간의 관계를 효과적으로 추출합니다.
핵심 포인트
- CVE와 MITRE ATT&CK 프레임워크를 연결하는 지식 그래프 구축
- CySecBERT 모델을 통한 높은 기술 및 전술 식별 성능 달성
- 24,820개 엔티티와 43,608개 관계를 포함한 데이터셋 생성
- Neo4j 기반의 사이버 위협 지식 그래프 시각화 구현
진화하는 위협 환경에서 공격자들은 정교한 공격을 수행하기 위해 소프트웨어 취약점 (Software Vulnerabilities)을 악용하며, 이는 전통적인 방어 체계에 도전 과제를 던지고 있습니다. CVE 및 NVD와 같은 데이터베이스가 상세한 기술 정보를 제공하기는 하지만, 전술 (Tactics) 및 기술 (Techniques)과 같은 공격자의 행위와의 연결 고리가 부족한 경우가 많아 효과적인 위협 해석 및 대응을 제한합니다. 본 연구는 취약점과 MITRE ATT&CK 프레임워크의 행위 패턴을 연결함으로써 이러한 격차를 해소합니다. 우리는 분류 (Classification) 및 관계 추출 (Relation Extraction)을 사용하여 CVE를 전술 및 기술과 연결하는 CVE-TTP 지식 그래프 (Knowledge Graph)를 구축합니다. 행위 식별을 위해 Transformer 기반 모델들이 개발되었으며, CySecBERT는 매크로 F1-score (macro F1-scores) 기준 기술 (Techniques)에서 87.71%, 전술 (Tactics)에서 96.16%를 달성했습니다. 또한, 엔티티 (Entity) 및 관계 추출을 위해 24,820개의 엔티티와 43,608개의 관계를 포함하는 주석이 달린 데이터셋 (Annotated Dataset)을 생성했습니다. 파이프라인 기반 (Pipeline-based) 접근 방식은 매크로 F1-score 기준 엔티티 추출에서 0.86, 관계 추출에서 0.99를 달성한 반면, 스팬 기반 공동 모델 (Span-based joint model)은 0.78을 달성했습니다. 이러한 결과물들은 Neo4j 기반의 사이버 위협 지식 그래프 (Cyber Threat Knowledge Graph)로 통합되어 취약점의 구조화된 시각화를 가능하게 합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 arXiv cs.AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기