eX-NIDS：利用大型语言模型的可解释网络入侵检测框架-计算机科学-大语言模型-网络入侵检测系统.pdf

eX-NIDS：利用大型语言模型的可解释网络入侵检测框架

PaulR.B.Houssel,SiamakLayeghy,PriyankaSingh,MariusPortmann

SchoolofInformationTechnologyandElectricalEngineering,UniversityofQueensland,Brisbane,4072,QLD,Australia

Abstract

本文介绍了eX-网络入侵检测系统，一个旨在通过利用大型语言模型（LLMs）提高基于流的网

络入侵检测系统（NIDS）可解释性的框架。在我们提出的框架中，被NIDS标记为恶意的流量会

首先通过一个名为提示增强器的模块进行处理。该模块从这些流量中提取上下文信息和与网络

安全威胁情报(CTI)相关的信息。该丰富且上下文特定的数据随后与LLM的输入提示集成，使

本其能够生成详细的解释和解读，说明为什么NIDS将此流量识别为恶意。我们将生成的解释与

译一个不将任何上下文信息纳入LLM输入提示的基础提示解释器基线进行了比较。我们的框架

中使用llama3和GPT-4模型进行定量评估，采用了针对自然语言解释的新颖评估方法，重点在

1于它们的准确性和一致性。结果显示增强后的LLMs能够生成准确且一致的解释，在NIDS中

v

1作为有价值的补充工具来解释恶意流量分类。使用增强提示比基础提示解释器提高了超过20%

4的性能。

2

6

1

.1.介绍

7

0

5大型语言模型（LLMs）已经革新了自然语言处理（NLP），在涉及非结构化数据的任务中

2

:表现出色，如文本生成、上下文理解和语言翻译。它们的卓越性能导致了在对话式AI、代码生

v

i成等领域的广泛应用。然而，在网络安全领域特别是网络入侵检测系统（NIDS）中应用LLMs

x

r仍然处于探索初期。

a

NIDS对于监控和分析网络流量以识别恶意活动和潜在的安全漏洞至关重要。当前系统依

赖于基于签名的方法与基于异常的技术的混合，前者检测已知攻击模式，后者识别与典型网络

行为的偏差。虽然基于深度学习的NIDS在基准数据集上展示了近乎完美的性能[1,2]，但它们

通常缺乏可解释性[3]。这使得安全分析师难以解释、信任并采取行动应对检测到的威胁，突显了

这一需求。传统的可解释AI技术计算特征空间中每个特征的重要性分数，如SHapleyAdditive

exPlanations(SHAP)[4]，存在局限性。它们需要对机器学习有深入的理解，仅关注统计异常，

并缺乏上下文洞察或外部知识来解释特征重要性。这是一个可能由LLMs处理的限制。尽管有

Emailaddresses:p.houssel@.au(MariusPortmann),siamak.layeghy@.au(MariusPortmann),

priyanka.singh@.au(MariusPortmann),marius@(MariusPortmann)

一些研究探索了使用变压器和LLMs进行威胁检测[5]，但大多数通过将序列到序列输出替换为

分类头来适应这些模型。虽然适合分类任务，这种修改消除了模型提供与其预测相伴随解释的

能力，这是LLMs的关键优势。因此，LLMs在提高NIDS可解释性方面的潜力尚未得到充分

利用。Houssel等人最近的工作[6]表明，尽管由于性能和计算限制，LLMs可能不适合实时威

胁预测，但它们为增强NIDS警报的可解释性提供了有希望的机会。同一项工作表明，LLM的

解释能够从NetFlow数据中正确检索信息，并与特征值保持一致。然而，这些模型未能进行逻

辑推理并保证事实准确性。总体而言，这些大语言模型可以将NetFlow样本作为一个整体进行

分析，并正确识别流量类型（例如，域名系统查询或HTTP流量）。虽然这对网络运营商很有

用，但一个更简单的确定性算法也能达到同样的结果。此外，它难以将多个特征关联起来以准