Malaika: 삼중 기반 추론을 통한 악성코드 이해
요약
본 논문은 악성코드 이해를 기반 추론 문제로 공식화하고, 신뢰할 수 있는 행동 재구성을 위해 도메인, 의미론적, 지식 세 가지 상호 보완적인 기반(grounding)이 필요하다고 주장합니다. 이를 구현한 다중 에이전트 프레임워크 Malaika는 Android 악성코드 분석에서 높은 분석 품질과 신뢰성을 입증했습니다.
핵심 포인트
- 악성코드 이해를 기반 추론 문제로 공식화함.
- 신뢰성 확보를 위해 3가지 상호 보완적 기반(grounding) 제시 (도메인, 의미론적, 지식).
- Malaika 프레임워크는 다중 에이전트 구조로 구현됨.
- 기반 인식 추론이 더 정확하고 감사 가능한 결론을 산출함을 입증함.
최근 LLM 기반 시스템들은 보안 중심의 코드 분석에서 유망한 능력을 보여주었습니다. 하지만 악성코드 이해는 별개의 도전을 제기합니다. 분석가들은 희소하고 분산된 증거와 정상적인 기능이 얽혀 있는 상황에서, 부분적 관측 가능성 하에 높은 수준의 악성 행위를 재구성해야 합니다. 정적 분석(static analysis)은 보안 관련 신호를 노출할 수 있지만, 핵심 과제는 단순히 의심스러운 코드를 식별하는 것이 아니라, 그 증거가 감사 가능한 행동 수준의 결론을 충분히 뒷받침하는지 결정하는 것입니다. 우리는 악성코드 이해를 기반 추론 문제로 공식화하고, 신뢰할 수 있는 행동 재구성을 위해서는 세 가지 상호 보완적인 형태의 기반(grounding)이 필요하다고 주장합니다. 도메인 기반(Domain grounding)은 행동 가설이 생성되고 평가되는 방식을 제약하며, 의미론적 기반(semantics grounding)은 지원하는 프로그램 증거를 국지화하고 연결하며, 지식 기반(knowledge grounding)은 외부에서 검증 가능한 위협 지식을 통해 행동 귀속을 지원합니다. 이 가설을 연구하기 위해, 우리는 Malaika라는 다중 에이전트 프레임워크를 제시합니다. 이는 분석가에게 영감을 받은 추론, 도구 매개 증거 국지화, 검색 기반 행동 귀속을 통해 세 가지 기반 메커니즘을 구현합니다. 우리는 Android 악성코드 분석에 Malaika를 적용하고 악성코드 이해 작업에서 평가했습니다. 결과는 Malaika가 이전 LLM 기반의 악성코드 분석 프레임워크보다 분석 품질을 향상시키며, 신뢰성이 모델 능력뿐만 아니라 추론 과정에도 달려 있음을 보여줍니다. 특히, 악성코드 분석 시스템 및 최첨단 에이전트 프레임워크와의 비교는 기반 인식 추론(grounding-aware reasoning)이 더 정확하고 감사 가능한 결론을 산출함을 보여줍니다. 제거 연구(Ablation studies)는 또한 기반 가설을 뒷받침합니다. 이러한 발견은 기반 인식 추론이 신뢰할 수 있는 악성코드 이해와, 더 광범위하게 증거 기반 소프트웨어 분석에 원칙적인 토대를 제공한다는 것을 시사합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 arXiv Codex (cs.SE)의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기