earticle

영어

Developing an effective cyber threat response strategy requires accurately identifying information at each stage of a multi-stage cyber attack. However, intrusion detection system, a core element of cybersecurity, fail to detect multi-stage cyber attack as a single, correlated attack and instead generates alerts as if multiple individual attacks had occurred. This inevitably leads to fragmented responses to individual attacks. Developing effective countermeasures to prevent the recurrence of the same cyebr incident also becomes difficult. To address this problem, in this paper, we propose a novel approach for identifying multi-stage cyber attack in attack scenario from intrusion detection alerts using prompt engineering alone, without any additional fine-tuning, based on a Large Language Model(LLM). During the prompt engineering process, we assigned personas to the LLM to activate its cyber threat analysis capability. We also applied Chain-of-Thought technique to facilitate logical reasoning and specified constraints to suppress hallucinations. The effectiveness of the proposed approach was verified using five LLMs. As a result, the web-based LLM, Gemini 2.5 Pro 06-05, identified the most accurate attack scenario.

한국어

효과적인 사이버 위협 대응 전략을 수립하기 위해서는 다단계로 수행되는 사이버공격의 단계별 정보를 정확하게 식별할 수 있어야 한다. 그러나 사이버보안의 핵심인 침입탐지시스템은 다단계로 구성된 사이버공격을 하나의 연관된 공격으로 탐지 하지 못하고 개별적인 다수의 공격이 발생한 것처럼 경보를 생성한다. 따라서 대응은 개별 공격에 대한 단편화된 대응으로 이 어질 수밖에 없으며, 동일한 침해사고의 재발 방지를 위한 효과적인 대책을 수립하는 것도 어려워진다. 이러한 문제를 해결하 기 위해 본 연구에서는 거대 언어 모델을 기반으로 별도의 미세조정 없이 프롬프트 엔지니어링만을 활용하여 침입탐지 경보 로부터 다단계 공격을 시나리오 형태로 식별하는 기법을 제안한다. 프롬프트 엔지니어링 과정에서는 모델의 사이버 위협 분석 과 관련된 역량이 활성화되도록 페르소나를 부여하였다. 또한 논리적인 연쇄적 사고 기법을 적용하고, 환각 현상을 억제하기 위해 제약조건을 명시하였다. 제안된 기법의 효과성은 5종의 거대 언어 모델을 이용하여 검증하였으며, 웹 기반 모델인 Gemini 2.5 Pro 06-05가 가장 정확한 공격 시나리오를 식별하였다.