연구진은 시스템, 네트워크, 브라우저 로그를 결합한 ATT&CK 레이블 데이터셋을 구축했어요. 기존 공개 데이터셋은 한계가 있어, 세 가지 로그를 모두 포함하고 ATT&CK 기법 수준으로 레이블링된 데이터셋이 없었기 때문이에요.
870 세션(70개 공격, 800개 정상)과 약 230만 건의 이벤트를 포함하며, Windows 엔드포인트에서 시스템, 네트워크, 브라우저 활동을 동시에 캡처했어요.
Qwen2.5-1.5B, Llama-3.2-3B, Phi-4-Mini 등 세 개의 SLM을 LoRA로 파인튜닝하여 학습 가능성을 입증했는데, chunk 분류 정확도가 최대 97%까지 향상됐어요.