In the previous post (Part 1), we introduced the concept and necessity of cyber threat prediction by combining LLM and RAG. Building on this foundation, this article takes a step further by presenting a method for integrating XAI-derived attack detection evidence with RAG to enable more precise cyber threat analysis and prediction. In particular, we explain how XAI results can be effectively utilized through semantic token reconstruction, and how this approach allows the LLM to interpret attack flows and predict subsequent attack stages.
[태그:] KAIST
앞선 1탄에서는 LLM과 RAG를 결합한 사이버 위협 예측의 개념과 필요성에 대해 살펴보았습니다. 본 글에서는 이러한 개념을 기반으로 한 단계 더 나아가, XAI를 통해 도출된 공격 탐지 근거 정보를 RAG와 결합하여 보다 정교한 사이버 위협 분석 및 예측을 수행하는 방법을 소개합니다. 특히 의미 단위 기반 토큰 재구성을 통해 XAI 결과를 효과적으로 활용하고, 이를 기반으로 LLM이 공격 흐름을 해석하고 향후 공격 단계를 예측할 수 있도록 하는 접근 방식을 설명합니다.
Recently, malware has been rapidly evolving in both diversity and distribution channels, becoming increasingly sophisticated. As a result, questions are growing about the real-world effectiveness of traditional defense mechanisms such as antivirus solutions. To address this, our research team conducts long-term, controlled, and repeatable experiments rather than one-time evaluations to quantitatively analyze antivirus performance. In this series of posts, we systematically present the evolution of antivirus detection capabilities based on a realistic testbed and a wide range of malware types. In particular, this article analyzes data collected from Q3 2024 to Q4 2025, comparing download-time and real-time detection performance, and examining performance gaps between products as well as the limitations of current detection technologies to assess the practical effectiveness of modern antivirus solutions.
최근 악성코드는 다양한 유형과 유포 경로를 통해 빠르게 확산되며 점점 더 정교해지고 있고, 이에 따라 전통적인 방어 수단인 안티바이러스의 실제 대응 성능에 대한 의문도 커지고 있습니다. 저희 연구팀은 이러한 문제를 정량적으로 분석하기 위해 단발성 평가가 아닌 장기간·동일 조건 기반의 반복 실험을 수행하고 있으며, 시리즈로 기획된 이번 포스팅에서는 실제 환경을 모사한 테스트베드와 다양한 악성코드 유형을 기반으로 안티바이러스 탐지 성능 변화를 체계적으로 정리해 소개합니다. 특히 본 글에서는 2024년 3분기부터 2025년 4분기까지의 데이터를 바탕으로 다운로드 탐지와 실시간 탐지 성능을 비교 분석하고, 제품 간 성능 편차와 탐지 기술의 한계를 중심으로 현재 안티바이러스의 실질적인 대응 수준을 살펴보고자 합니다.
Harmful websites rarely operate as isolated, standalone entities. Instead, they are typically run as interconnected networks, where a single operating organization manages multiple types of harmful sites in parallel. To effectively respond to this evolving threat landscape, our research team is developing the Cyber Crime Tracker (CCT) framework, designed to reflect the structural and operational characteristics of harmful website ecosystems. This blog series introduces the overall CCT research approach, focusing on how relationships between harmful sites and their underlying operating organizations can be identified and analyzed. In Part 1, we first provide a brief overview of the key characteristics of harmful websites. We then discuss the necessity of research aimed at technically detecting these ecosystems and analyzing inter-site relationships to uncover shared operational origins.
유해사이트들은 단일 사이트로 존재하기보다 서로 연결된 네트워크 형태로 결합되어 운영되고, 하나의 운영 조직이 여러 유형의 유해사이트를 병렬적으로 관리하는 구조를 보이고 있습니다. 이런 위협에 효과적으로 대응하기 위해 우리 연구팀은 유해사이트의 특징을 반영하여 CCT(Cyber Crime Tracker) 프레임워크를 연구하고 있습니다. 시리즈로 기획된 이번 포스팅에선 동일한 운영 조직과 유해사이트간 연관성을 색출하기 위한 CCT의 전반적인 연구 내용을 시리즈로 정리해 소개합니다. 본 1편에서는 유해사이트의 특징을 간략히 살펴본 뒤, 이러한 생태계를 기술적으로 탐지하고 사이트 간 연관 관계를 분석하기 위한 연구의 필요성에 대해 소개하고자 합니다.
As cyber threats become increasingly diverse and sophisticated, traditional rule-based security approaches alone are finding it difficult to effectively identify anomalous or malicious network behaviors.
In response, AI-based detection enables more precise threat identification by comprehensively analyzing traffic patterns across packets, flows, and sessions.
Accordingly, Detect supports detection performance validation and analysis by constructing nine attack scenarios based on recently observed real-world attacks, providing corresponding attack traffic and environments for each scenario. This allows flexible detection not only of known threats but also of previously undefined new types of attacks.
Furthermore, relying solely on AI carries the limitation that it can be difficult to understand why a particular detection result was produced. To address this, XAI clearly explains which features and behaviors influenced the decision during the detection process. The Detect and XAI technologies currently in preparation will be released soon, delivering a highly reliable next-generation security detection solution that reflects real-world attack environments.
사이버 위협이 점점 다양하고 정교해지면서, 기존의 규칙 기반 보안 방식만으로는 이상하거나 악성인 네트워크 행위를 효과적으로 식별하기 어려워지고 있다.
이에 따라 AI 기반 탐지는 패킷, 플로우, 세션 전반의 트래픽 패턴을 종합적으로 분석해 보다 정밀한 위협 탐지를 가능하게 한다.
따라서, Detect는 이러한 분석을 바탕으로 최근 실제로 발생한 공격을 기반으로 한 9개 공격 시나리오를 구성해, 각 시나리오에 맞는 공격 트래픽과 환경을 함께 제공함으로써 탐지 성능 검증과 분석을 지원을 통해 이미 알려진 공격은 물론, 기존에 정의되지 않았던 새로운 유형의 위협까지 유연하게 탐지하도록 제공합니다.
그 뿐만 아니라 AI에만 의존할 경우, 탐지 결과가 왜 도출되었는지 알기 어렵다는 한계가 존재하기 때문에 이를 해결하기 위해 XAI는 탐지 과정에서 어떤 특징과 행위가 결정에 영향을 미쳤는지를 명확히 설명한다. 현재 준비 중인 Detect와 XAI 기술은 곧 출시될 예정으로, 실제 공격 환경을 반영한 신뢰도 높은 차세대 보안 탐지를 제공하게 될 것이다.
Recent cyber attacks have evolved beyond single techniques, adopting multi-stage, high-speed, and tactical approaches that clearly expose the limitations of existing defense systems. This article examines why traditional, simple pattern-based threat prediction is insufficient in this changed environment and introduces a proactive cyber threat prediction approach combining LLM and RAG as a solution to overcome these limitations. This article serves as the first part for conceptual understanding. In the upcoming series, we will provide a step-by-step explanation covering the actual architecture design and implementation process.
최근 사이버 공격은 단일 기법에 머무르지 않고 다단계·고속·전술적 방식으로 진화하며 기존 대응 체계의 한계를 분명히 드러내고 있습니다. 본 글에서는 이러한 변화된 환경 속에서 기존의 단순 패턴 기반 위협 예측이 왜 충분하지 않은지 살펴보고, 이를 극복하기 위한 방안으로 LLM과 RAG를 결합한 선제적 사이버 위협 예측 접근법을 소개하고자 합니다. 이번 글은 개념 이해를 위한 첫 번째 편으로, 이어지는 연재에서는 실제 아키텍처 설계와 구현 과정까지 단계적으로 설명해 드릴 예정입니다.