Next-generation cyberattack detection with large language models: anomaly analysis across heterogeneous logs

📄 arXiv: 2602.06777v1 📥 PDF

作者: Yassine Chagna, Antal Goldschmidt

分类: cs.CR, cs.AI

发布日期: 2026-02-06

💡 一句话要点

利用大语言模型进行下一代网络攻击检测,实现跨异构日志的异常分析

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 异常检测 网络安全 知识蒸馏 异构日志 入侵检测 Transformer 日志分析

📋 核心要点

  1. 传统入侵检测系统面临高误报率、语义理解不足和数据稀缺等挑战,难以有效应对复杂多变的网络攻击。
  2. 论文提出一种基于大语言模型的两阶段训练框架,首先进行日志理解,然后进行实时异常检测,提升检测效率。
  3. 实验结果表明,该方法在实际应用中具有可行性,推理速度快,运营成本低,为下一代网络安全检测提供了新思路。

📝 摘要(中文)

本项目探索使用大型语言模型(LLM)进行跨异构日志源的异常检测。传统的入侵检测系统存在高误报率、语义盲点和数据稀缺等问题,因为日志本质上是敏感的,使得干净的数据集非常罕见。我们通过三个贡献来解决这些挑战:(1)LogAtlas-Foundation-Sessions和LogAtlas-Defense-Set,平衡且异构的日志数据集,具有显式的攻击注释和隐私保护;(2)实证基准测试,揭示了为什么诸如F1和准确率之类的标准指标对于安全应用具有误导性;(3)一个两阶段训练框架,结合了日志理解(Base-AMAN,30亿参数)与实时检测(AMAN,通过知识蒸馏实现的0.5亿参数)。结果表明了实际可行性,每次会话的推理时间为0.3-0.5秒,运营成本低于每天50美元。

🔬 方法详解

问题定义:现有入侵检测系统依赖人工规则或浅层机器学习模型,难以有效处理异构日志数据,且存在高误报率和语义盲点。此外,安全日志的敏感性导致高质量标注数据集稀缺,限制了模型的训练效果。

核心思路:利用大语言模型强大的语义理解能力,从异构日志数据中学习攻击模式,并结合知识蒸馏技术,将大型模型的知识迁移到小型模型,实现实时高效的异常检测。

技术框架:该方法采用两阶段训练框架。第一阶段,使用Base-AMAN(30亿参数)在大规模日志数据上进行预训练,学习日志的语义表示。第二阶段,使用知识蒸馏技术,将Base-AMAN的知识迁移到AMAN(0.5亿参数),使其具备实时检测能力。

关键创新:该方法的关键创新在于利用大语言模型进行日志理解,并结合知识蒸馏技术实现实时异常检测。与传统方法相比,该方法能够更好地处理异构日志数据,降低误报率,并提高检测效率。此外,论文还构建了两个新的日志数据集,为相关研究提供了数据支持。

关键设计:Base-AMAN采用Transformer架构,使用自监督学习方法进行预训练。AMAN采用较小的Transformer架构,通过最小化与Base-AMAN输出的差异进行训练,实现知识迁移。损失函数包括交叉熵损失和KL散度损失,用于衡量预测结果与真实标签以及Base-AMAN输出的差异。推理阶段,AMAN模型接收日志会话作为输入,输出异常检测结果。

📊 实验亮点

实验结果表明,该方法在实际应用中具有可行性,每次会话的推理时间为0.3-0.5秒,运营成本低于每天50美元。此外,论文还构建了两个新的日志数据集LogAtlas-Foundation-Sessions和LogAtlas-Defense-Set,为相关研究提供了宝贵的数据资源。

🎯 应用场景

该研究成果可应用于下一代网络安全防御系统,提升对复杂网络攻击的检测能力。通过实时分析异构日志数据,及时发现潜在的安全威胁,降低企业和组织遭受网络攻击的风险。此外,该方法还可以应用于安全事件响应、威胁情报分析等领域,为网络安全人员提供更强大的工具。

📄 摘要(原文)

This project explores large language models (LLMs) for anomaly detection across heterogeneous log sources. Traditional intrusion detection systems suffer from high false positive rates, semantic blindness, and data scarcity, as logs are inherently sensitive, making clean datasets rare. We address these challenges through three contributions: (1) LogAtlas-Foundation-Sessions and LogAtlas-Defense-Set, balanced and heterogeneous log datasets with explicit attack annotations and privacy preservation; (2) empirical benchmarking revealing why standard metrics such as F1 and accuracy are misleading for security applications; and (3) a two phase training framework combining log understanding (Base-AMAN, 3B parameters) with real time detection (AMAN, 0.5B parameters via knowledge distillation). Results demonstrate practical feasibility, with inference times of 0.3-0.5 seconds per session and operational costs below 50 USD per day.