CTI 지식 그래프와 RAG 모델을 활용한 사이버 위협 분석

Cyber Threat Analysis Using CTI Knowledge Graph and RAG Model

사이버 위협은 빠르게 변화하며, 방대한 CTI 데이터가 비정형 형태로 존재해 이를 효과적으로 분석하기 어려운 문제가 있다. 본 연구에서는 CTI 데이터를 구조화하고 위협 요소 간의 관계를 분석하기 위해 CTI-KG 지식 그래프를 구축하고, RAG 기반 위협 분석 모델을 적용하는 방법을 제안한다. 이를 위해 보안 데이터를 정규화하여 CTI-KG를 구축하고, CompGCN 모델을 활용해 개체 간 연관성을 학습하였다. 또한, 벡터 검색을 통해 위협 요소 간 관계를 탐색하고, LLaMA 3 모델을 활용하여 정교한 위협 평가를 수행하도록 설계하였다. 실험을 통해 데이터 정규화가 CTI-KG 지식 그래프의 구조적 일관성을 향상시키며, 링크 예측 기법이 숨겨진 위협 요소 간 관계를 효과적으로 예측할 수 있음을 확인하였다. 또한, RAG 기반 분석을 통해 기존 CTI 데이터와의 일관성을 평가한 결과, LLaMA 3 모델이 생성한 위협 분석 결과가 높은 의미적 유사도를 보였다.

Cyber threats are rapidly evolving, and the vast amount of Cyber Threat Intelligence (CTI) data exists in an unstructured form, making effective analysis challenging. This study proposes a method to structure CTI data and analyze relationships between threat elements by constructing a CTI-KG knowledge graph and applying an RAG-based threat analysis model. To achieve this, security data was normalized to build the CTI-KG, and the CompGCN model was utilized to learn entity relationships. Additionally, vector search was employed to explore relationships between threat elements, and the LLaMA 3 model was used to perform a more precise threat assessment. Experiments demonstrated that data normalization enhances the structural consistency of the CTI-KG and that link prediction techniques effectively infer hidden relationships between threat elements. Furthermore, RAG-based analysis was used to evaluate consistency with existing CTI data, confirming that the threat analysis results generated by the LLaMA 3 model exhibit high semantic similarity.