본 논문은 사이버 공격의 행위 지표를 추출하여 공격자 식별에 Large Language Models (LLMs)을 활용하는 연구이다. 방대한 포렌식 문서에서 수동으로 행위 지표를 추출하는 기존 방식의 어려움을 해결하기 위해, OpenAI의 GPT-4와 text-embedding-3-large를 이용하여 MITRE ATT&CK 그룹의 데이터와 비교 분석하여 위협 행위자의 전술, 기법 및 절차(TTPs)를 식별하는 프레임워크를 제시한다. 벡터 임베딩 검색을 이용하여 텍스트에서 TTPs를 식별하고, 프로파일을 구축하여 새로운 공격을 식별하는 머신러닝 모델을 학습시킨다. LLM이 생성한 TTP 데이터셋은 사람이 생성한 데이터셋과 유사도는 낮지만, 빈도 측면에서는 유사하며, 기존 MITRE 데이터셋과도 유사한 결과를 보였다. LLM이 생성한 TTP 데이터셋의 노이즈에도 불구하고, 해당 데이터셋을 이용하여 훈련된 모델은 기준 성능보다 높은 공격자 식별 성능을 보였다.
