[Paper] 한 공격 도메인에서 다른 도메인으로: Contrastive Transfer Learning과 Siamese Networks를 활용한 APT Detection

Source: arXiv - 2511.20500v1

Overview

이 논문은 전이 학습, 대조 학습, 그리고 시암쌍 신경망을 결합한 새로운 하이브리드 프레임워크를 제시하여 다양한 공격 도메인에 걸친 고도 지속 위협(APT)을 탐지한다. 기존 탐지기에서 흔히 발생하는 클래스 불균형 및 특징 드리프트 문제를 해결함으로써, 저자들은 실제 사이버 방어 환경에서 보다 견고하고, 설명 가능하며, 이식 가능한 솔루션을 보여준다.

Key Contributions

• Cross‑domain APT detection: 알려진(소스) 공격 환경에서 미지의(타깃) 환경으로 이동할 때도 탐지 성능을 유지하는 전이 학습 파이프라인.
• Contrastive Siamese encoder: 대조 손실을 사용하는 시암쌍 구조를 통해 소스와 타깃 특징 공간을 정렬하여 이상치 구분성을 향상.
• Attention‑based autoencoder for knowledge transfer: 가장 중요한 행동을 보존하는 압축된 도메인 독립적 표현을 학습.
• Explainable feature selection with SHAP: Shapley Additive exPlanations을 적용해 고차원 텔레메트리를 안정적이고 정보량이 풍부한 부분집합으로 정제, 계산 오버헤드 감소.
• Extensive empirical validation: DARPA Transparent Computing(TC) 데이터셋 및 합성 공격 시나리오에서 실험을 수행해 기존 머신러닝 및 딥러닝 베이스라인 대비 일관된 향상을 입증.

Methodology

1. Data preprocessing & SHAP‑driven feature pruning – 원시 시스템 호출 및 네트워크 텔레메트리를 먼저 SHAP 분석에 통과시킨다. 여러 번 실행했을 때 지속적으로 탐지에 기여하는 특징은 유지하고, 잡음이 많거나 중복된 차원은 제거한다.
2. Attention‑based autoencoder – 축소된 특징 집합을 주의 메커니즘이 장착된 오토인코더를 이용해 잠재 벡터로 인코딩한다. 주의 메커니즘은 APT 행동과 가장 관련이 높은 시간적·맥락적 패턴을 강조한다.
3. Siamese contrastive learning – 두 개의 동일한 인코더(“시암쌍”)가 소스 도메인과 타깃 도메인 샘플을 병렬로 처리한다. 대조 손실은 동일 클래스(정상 vs 악성) 표현을 서로 가깝게, 다른 클래스 쌍은 멀리 떨어지게 하여 두 도메인을 공유 임베딩 공간에 정렬한다.
4. Anomaly scoring – 학습된 임베딩에서 간단한 거리 기반 혹은 경량 분류기(예: 일‑클래스 SVM)를 사용해 이상치를 잠재적인 APT로 표시한다. 임베딩이 도메인에 독립적이므로 동일한 스코어링 모델을 여러 환경에 재사용할 수 있다.
5. Explainability layer – 최종 탐지기에 대해 SHAP 값을 다시 계산해 개별 인스턴스에 대한 설명을 제공함으로써 분석가가 특정 트레이스가 왜 플래그되었는지 이해하도록 돕는다.

Results & Findings

• Detection boost: 여러 소스‑대‑타깃 전이 상황에서 제안된 방법은 최고의 딥 베이스라인 대비 F1‑score를 7–12 % 향상시키고, 전통적인 랜덤 포레스트 탐지기 대비 최대 20 % 향상시킨다.
• Reduced dimensionality: SHAP 기반 정제는 특징 공간을 약 65 % 감소시키면서 정확도 손실이 없으며, 추론 속도를 약 30 % 가속한다.
• Robustness to synthetic attacks: 인위적으로 생성된 APT 시나리오(예: 새로운 C2 패턴)에서 대조 시암쌍 인코더는 높은 구분성을 유지해 특징 드리프트에 대한 저항성을 보여준다.
• Explainability: SHAP 시각화를 통해 소수의 시스템 호출 및 네트워크 포트가 지속적으로 악성 활동과 연관된 것으로 강조되어, 분석가가 탐지 트리거를 더 명확히 파악할 수 있었다.

Practical Implications

• Plug‑and‑play detection modules: 보안 팀은 한 환경(예: 기업 네트워크)의 과거 로그로 모델을 학습한 뒤, 최소한의 재학습으로 새로운 환경(예: 클라우드 테넌트)에 재배포할 수 있다.
• Lower operational cost: 특징 집합을 축소하고 경량 다운스트림 분류기를 사용함으로써 솔루션을 엣지 디바이스나 서브‑초 지연을 요구하는 SIEM 파이프라인에 손쉽게 적용할 수 있다.
• Audit‑ready alerts: 통합된 SHAP 설명은 컴플라이언스 및 포렌식 요구사항을 충족시켜, SOC 분석가에게 불투명한 점수 대신 실행 가능한 컨텍스트를 제공한다.
• Scalable to heterogeneous data: 주의 기반 오토인코더는 프로세스, 파일, 네트워크 등 다양한 텔레메트리를 수용하므로, 멀티벡터 로그를 집계하는 현대 제로 트러스트 아키텍처에 적합하다.

Limitations & Future Work

• Dependence on quality of SHAP features: 초기 SHAP 분석이 미묘하지만 중요한 지표를 제거하면 탐지 성능이 저하될 수 있다; 저자들은 이를 보완하기 위해 적응형 특징 선택을 제안한다.
• Synthetic vs. real‑world novelty: 합성 공격을 사용해 모델을 스트레스 테스트했지만, 실제로 완전히 새로운 APT 전술은 여전히 표현 드리프트를 일으킬 가능성이 있다.
• Computational overhead of training: 대조 시암쌍 학습 단계는 단일 스트림 모델보다 더 많은 자원을 요구하므로 GPU 클러스터가 없는 조직에 장벽이 될 수 있다.
• Future directions: 지속 학습(온라인 업데이트)으로 프레임워크 확장, 다른 설명 가능 기술(예: LIME) 탐색, 추가 공개 APT 데이터셋(예: MITRE ATT&CK 에뮬레이션)에 대한 평가 등.

Authors

• Sidahmed Benabderrahmane
• Talal Rahwan

Paper Information

• arXiv ID: 2511.20500v1
• Categories: cs.LG, cs.AI, cs.CR, cs.NE
• Published: November 25, 2025
• PDF: Download PDF