장성훈 이명락 손태식 2025-08-01 1976-5304 https://aurora.ajou.ac.kr/handle/2018.oak/39720 https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART003243456 최근 군 지휘통제체계 및 산업제어시스템과 같은 폐쇄망 기반 보안 환경에서의 실시간 악성코드 탐지와 행위 분석이 핵 심 과제로 부상하고 있다. 본 연구는 제한된 컴퓨팅 환경인 폐쇄망 환경에서도 효율적으로 운용 가능한 Small Language Model(SLM) 기반 악성코드 탐지 및 행위 분석 프레임워크를 제안한다. 제안된 프레임워크는 SVM(Support Vector Machine) 기반 탐지기와 Low-Rank Adaptation(LoRA)로 최적화된 SLM 기반 분석기로 구성된다. 악성코드 실행 과정에서 발생하는 API 호출 시퀀스를 전처리하여 SVM이 알려진 악성코드(Known malware)와 미확인 샘플(Unknown Samples)로 분류하고, SLM은 미확인 샘플에 대해 악성 여부, 행위 요약 및 악성코드 유형 분류 등을 수행한다. 분석 결과는 자동화된 리포트 형태 로 제공되어 보안 담당자의 대응 효율성을 높인다. 실험 결과, SVM 탐지기는 정확도 98.6%, F1-Score 0.990으로 우수한 성 능을 나타냈고, 최적화된 SLM 기반 분석기는 BLEU Score 67%, 유형 분류 정확도 92.3%를 달성하였다. 또한 평균 추론 시간 1.35초, 메모리 사용량 1.5GB, 모델 크기 5.1GB로 자원 효율성도 입증되었다. 본 연구의 주요 기여는 SVM의 고속 탐지 성능 과 LoRA 최적화 SLM의 문맥적 해석 능력을 결합한 이중 구조의 프레임워크를 제시함으로써, 제한된 자원 환경에서도 정확 한 악성코드 탐지와 설명 가능한 행위 분석을 동시에 구현했다는 점이다. 이는 SLM 기반 분석이 폐쇄망 환경에서도 실현 가 능함을 검증한 것으로, 국가 기반시설 및 중요 보안 환경에서 실시간 악성코드 방어 체계로 확장될 수 있는 실질적 기반을 제공한다. kor 한국디지털포렌식학회 폐쇄망 환경을 위한 LoRA 최적화 SLM 기반 악성코드 탐지 및 행위 분석 프레임워크 연구 Article 20 4 1 디지털포렌식연구 19 디지털포렌식연구, Vol.19 No.4, pp.1-20 LLM SLM SVM LoRA 폐쇄망 악성코드 행위 분석 LLM SLM SVM LoRA closed network malware behavior analysis Article