OntoLogX: Ontology-Guided Knowledge Graph Extraction from Cybersecurity Logs with Large Language Models

Created by

Haebom

저자

Luca Cotti, Idilio Drago, Anisa Rula, Devis Bianchini, Federico Cerutti

💡 개요

본 논문은 사이버 보안 로그에서 실행 가능한 위협 인텔리전스(CTI)를 추출하는 데 있어 구조 부족, 의미론적 불일치, 단편화 문제를 해결하기 위해 OntoLogX라는 AI 에이전트를 제안합니다. OntoLogX는 LLM과 검색 증강 생성(RAG), 반복적 교정 단계를 활용하여 로그를 온톨로지 기반 지식 그래프(KG)로 자동 변환하며, 이를 통해 MITRE ATT&CK 전술을 예측하고 낮은 수준의 로그 증거를 높은 수준의 적대적 목표와 연결합니다.

🔑 시사점 및 한계

•

온톨로지 기반 KG 추출의 중요성: 사이버 보안 로그에서 구조화되고 의미론적으로 일관된 정보를 추출하여 실행 가능한 CTI를 생성하는 데 있어 온톨로지의 역할을 강조합니다.

•

LLM 및 RAG의 효과적인 통합: LLM과 RAG를 결합하여 노이즈가 많고 이질적인 로그 데이터를 정확하고 상호 운용 가능한 KG로 변환하는 능력을 보여줍니다.

•

MITRE ATT&CK 전술 매핑의 가치: 추출된 KG를 사용하여 낮은 수준의 로그 활동을 MITRE ATT&CK 전술과 연결함으로써 공격자의 행동을 더 높은 수준에서 이해하고 예측할 수 있습니다.

•

데이터셋 및 온톨로지 의존성: 제안된 방법론의 성능은 사용되는 로그 데이터셋의 품질과 로그 온톨로지의 상세함에 영향을 받을 수 있으며, 이는 다양한 환경에서의 일반화에 대한 한계가 될 수 있습니다.

•

계산 비용 및 실시간 적용: LLM 및 반복적 교정 과정으로 인해 발생하는 계산 비용은 실시간 또는 대규모 로그 환경에서의 적용에 대한 고려를 필요로 합니다.

PDF 보기

Made with Slashpage