본 논문은 기존 provenance-based intrusion detection systems (PIDSes)의 한계점인 지식의 체계적인 통합 및 활용 부족을 해결하기 위해, PIDSes를 활용하는 지식의 유형에 따라 분류하고, 대규모 언어 모델(LLM)을 활용한 새로운 지식 기반 provenance-based intrusion detection framework을 제시한다. 이 framework를 기반으로 구축된 시스템 OmniSec은 공격 표현 지식, 위협 인텔리전스 지식, 정상 동작 지식을 통합하여 기존 최첨단 방식보다 우수한 성능을 공개 벤치마크 데이터셋에서 보여준다. OmniSec은 온라인에서 확인 가능하다.
시사점, 한계점
•
시사점:
◦
LLM을 활용한 새로운 PIDS framework 제시를 통해 기존 PIDS의 자동화 한계를 극복할 수 있는 가능성 제시.
◦
다양한 지식(공격 표현, 위협 인텔리전스, 정상 동작) 통합을 통한 PIDS 성능 향상.
◦
실제 적용 가능성을 높이는 OmniSec 시스템 구현 및 공개.
•
한계점:
◦
LLM 의존성으로 인한 설명 가능성 및 신뢰성 문제.
◦
벤치마크 데이터셋에 대한 성능 평가 결과만 제시되어 실제 환경에서의 일반화 성능 검증 부족.
