Towards Explainable Network Intrusion Detection using Large Language Models

要約

大規模言語モデル (LLM) は、特にチャット エージェントとしての自然言語処理タスクに革命をもたらしました。
ただし、脅威検出の問題への適用性は依然として不明です。
このペーパーでは、主に説明可能性を目的として、高い計算要件にもかかわらず、LLM をネットワーク侵入検知システム (NIDS) として採用する実現可能性を検討します。
さらに、LLM の開発にはかなりのリソースが投資されており、NIDS に有用性を提供する可能性があります。
現在の最先端の NIDS は人工的なベンチマーク データセットに依存しているため、現実のネットワーク環境に適用するとパフォーマンスに偏りが生じます。
したがって、GPT-4 および LLama3 モデルを従来のアーキテクチャおよびトランスフォーマーベースのモデルと比較して、人為的に歪んだデータセットに依存せず、事前にトレーニングされて得られた膨大な知識のみに基づいて、悪意のある NetFlow を検出する能力を評価します。
私たちの結果は、LLM は正確な攻撃検出に苦戦しているものの、説明可能な NIDS への道筋として大きな可能性を秘めていることを明らかにしました。
私たちの予備的な調査により、LLM は悪意のある NetFlow の検出には適していないことがわかりました。
ただし、最も有望なのは、これらが NIDS の補完エージェントとして、特に説明を提供し、検索拡張生成 (RAG) および関数呼び出し機能と統合された場合に脅威への対応を支援する際に、大きな可能性を示すことです。

要約(オリジナル)

Large Language Models (LLMs) have revolutionised natural language processing tasks, particularly as chat agents. However, their applicability to threat detection problems remains unclear. This paper examines the feasibility of employing LLMs as a Network Intrusion Detection System (NIDS), despite their high computational requirements, primarily for the sake of explainability. Furthermore, considerable resources have been invested in developing LLMs, and they may offer utility for NIDS. Current state-of-the-art NIDS rely on artificial benchmarking datasets, resulting in skewed performance when applied to real-world networking environments. Therefore, we compare the GPT-4 and LLama3 models against traditional architectures and transformer-based models to assess their ability to detect malicious NetFlows without depending on artificially skewed datasets, but solely on their vast pre-trained acquired knowledge. Our results reveal that, although LLMs struggle with precise attack detection, they hold significant potential for a path towards explainable NIDS. Our preliminary exploration shows that LLMs are unfit for the detection of Malicious NetFlows. Most promisingly, however, these exhibit significant potential as complementary agents in NIDS, particularly in providing explanations and aiding in threat response when integrated with Retrieval Augmented Generation (RAG) and function calling capabilities.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google