본 논문은 민감한 정보 유출 등 내부자 위협 탐지(ITD)의 어려움을 해결하기 위해 두 가지 정보 모드를 결합한 DMFI 프레임워크를 제안합니다. DMFI는 로그 데이터를 의미론적 정보와 행동 정보로 분리하여 처리하며, LoRA(Low-Rank Adaptation)로 미세 조정된 언어 모델을 활용하여 각 모드를 분석하고 그 결과를 융합합니다. 실험 결과, DMFI는 기존 최신 기술 대비 우수한 탐지 정확도를 보였습니다.
🔑 시사점 및 한계
•
종합적인 정보 활용: 의미론적 내용과 행위 순서 정보를 모두 활용하여 내부자 위협 탐지의 정확성을 높일 수 있습니다.
•
LLM의 유연성 및 효율성 강화: LoRA를 활용하여 LLM을 효율적으로 미세 조정하고, 경량화된 MLP 모듈로 최종 결정을 내려 확장성을 확보했습니다.
•
데이터 불균형 문제 완화: DMFI-B의 차별적 적응 전략은 정상 및 비정상 행동 표현을 분리하여 심각한 클래스 불균형 상황에서도 강건한 탐지 성능을 제공합니다.
•
한계점/향후 과제: 실제 환경의 복잡하고 동적인 로그 데이터를 어떻게 더 효과적으로 구조화하고, 다양한 유형의 내부자 위협에 대한 일반화 성능을 어떻게 향상시킬지에 대한 추가 연구가 필요할 수 있습니다.
