DoLLM: How Large Language Models Understanding Network Flow Data to Detect Carpet Bombing DDoS

这是一个有趣的问题：大型语言模型（LLMs）是否能够理解非语言网络数据，并帮助我们检测未知的恶意流量。本文以地毯式轰炸攻击为案例研究，展示了如何利用LLMs在网络领域的强大能力。地毯式轰炸攻击是一种新型的DDoS攻击，近年来急剧增加，严重威胁网络基础设施。它针对子网内的多个受害者IP，导致接入链路拥塞，影响大量用户的网络服务。这些攻击具有低速率、多向量等特点，挑战传统的DDoS防御。我们提出了DoLLM，这是一个DDoS检测模型，利用开源LLMs作为骨干。通过将非上下文网络流重新组织成流序列，并将其投影到LLMs的语义空间中作为标记嵌入，DoLLM利用LLMs的上下文理解来提取整体网络上下文中的流表示。这些表示用于提高DDoS检测性能。我们使用公共数据集CIC-DDoS2019和来自全国前三大ISP的真实NetFlow跟踪数据对DoLLM进行评估。测试结果表明，DoLLM具有强大的检测能力。在零-shot场景下，其F1得分提高了高达33.3％，在真实ISP跟踪数据中至少提高了20.6％。

论文旨在解决DDoS攻击中的Carpet Bombing问题，即如何利用大型语言模型（LLMs）来理解非语言网络数据，帮助检测未知的恶意流量。

论文提出了DoLLM模型，利用开源LLMs作为骨干网络，将非上下文网络流重新组织成流序列，并将其投影到LLMs语义空间作为令牌嵌入，利用LLMs的上下文理解来提取整体网络上下文中的流表示，从而提高DDoS检测性能。

论文使用公共数据集CIC-DDoS2019和来自全国前三的ISP的真实NetFlow跟踪数据集对DoLLM进行了评估，证明了其强大的检测能力。在零样本场景下，其F1得分提高了高达33.3％，在真实ISP跟踪中至少提高了20.6％。值得关注的是，该模型使用了开源LLMs，具有实用性和可扩展性。

最近在这个领域中，还有一些相关研究，例如：'A Survey of DDoS Attack and Defense Mechanisms'，'A Deep Learning Approach to Network Intrusion Detection'，'Detecting DDoS Attacks using Machine Learning Techniques'等。