DoLLM: How Large Language Models Understanding Network Flow Data to Detect Carpet Bombing DDoS

要約

これは、大規模言語モデル (LLM) が非言語ネットワーク データを理解できるのか、またどのようにして未知の悪意のあるフローの検出に役立つのかという興味深い質問です。
このホワイト ペーパーでは、カーペット ボンビングをケース スタディとして取り上げ、ネットワーキング領域で LLM の強力な機能を活用する方法を示します。
カーペット ボンビングは、近年劇的に増加している新たな DDoS 攻撃であり、ネットワーク インフラストラクチャに重大な脅威を与えています。
サブネット内の複数の被害者 IP をターゲットにし、アクセス リンクで輻輳を引き起こし、膨大な数のユーザーのネットワーク サービスを中断します。
これらの攻撃は低レートで複数のベクトルを特徴としており、従来の DDoS 防御に挑戦します。
私たちは、オープンソース LLM をバックボーンとして利用する DDoS 検出モデルである DoLLM を提案します。
非コンテキストのネットワーク フローをフロー シーケンスに再編成し、それらをトークン埋め込みとして LLM の意味空間に投影することにより、DoLLM は LLM のコンテキストの理解を活用して、ネットワーク コンテキスト全体のフロー表現を抽出します。
この表現は、DDoS 検出パフォーマンスを向上させるために使用されます。
私たちは、公開データセット CIC-DDoS2019 と全国トップ 3 の ISP からの実際の NetFlow トレースを使用して DoLLM を評価します。
テストにより、DoLLM が強力な検出機能を備えていることが証明されました。
その F1 スコアは、ゼロショット シナリオでは最大 33.3% 増加し、実際の ISP トレースでは少なくとも 20.6% 増加しました。

要約(オリジナル)

It is an interesting question Can and How Large Language Models (LLMs) understand non-language network data, and help us detect unknown malicious flows. This paper takes Carpet Bombing as a case study and shows how to exploit LLMs’ powerful capability in the networking area. Carpet Bombing is a new DDoS attack that has dramatically increased in recent years, significantly threatening network infrastructures. It targets multiple victim IPs within subnets, causing congestion on access links and disrupting network services for a vast number of users. Characterized by low-rates, multi-vectors, these attacks challenge traditional DDoS defenses. We propose DoLLM, a DDoS detection model utilizes open-source LLMs as backbone. By reorganizing non-contextual network flows into Flow-Sequences and projecting them into LLMs semantic space as token embeddings, DoLLM leverages LLMs’ contextual understanding to extract flow representations in overall network context. The representations are used to improve the DDoS detection performance. We evaluate DoLLM with public datasets CIC-DDoS2019 and real NetFlow trace from Top-3 countrywide ISP. The tests have proven that DoLLM possesses strong detection capabilities. Its F1 score increased by up to 33.3% in zero-shot scenarios and by at least 20.6% in real ISP traces.

arxiv情報

著者 Qingyang Li,Yihang Zhang,Zhidong Jia,Yannan Hu,Lei Zhang,Jianrong Zhang,Yongming Xu,Yong Cui,Zongming Guo,Xinggong Zhang
発行日 2024-05-13 10:53:41+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.AI, cs.CR, cs.NI パーマリンク