From Description to Detection: LLM based Extendable O-RAN Compliant Blind DoS Detection in 5G and Beyond

📄 arXiv: 2510.06530v1 📥 PDF

作者: Thusitha Dayaratne, Ngoc Duy Pham, Viet Vo, Shangqi Lai, Sharif Abuadbba, Hajime Suzuki, Xingliang Yuan, Carsten Rudolph

分类: cs.CR, cs.ET, cs.LG, cs.NI

发布日期: 2025-10-08

💡 一句话要点

提出基于LLM的O-RAN兼容盲DoS攻击检测框架,无需训练数据。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 盲DoS攻击检测 大型语言模型 零样本学习 O-RAN 5G安全 异常检测 自然语言处理

📋 核心要点

  1. 现有基于规则或传统机器学习的异常检测方法,在检测5G及未来网络中的盲DoS攻击时,需要大量训练数据和预定义规则,且可解释性差。
  2. 提出一种基于LLM的零样本异常检测框架,利用自然语言描述攻击,无需训练数据,即可在O-RAN架构中检测盲DoS攻击。
  3. 实验表明,该框架对提示变化具有鲁棒性,检测质量依赖于描述的语义完整性,并在O-RAN实时约束下具有实用性。

📝 摘要(中文)

随着5G的引入,移动通信的质量和体验得到了显著提升,并且预计在5G之后时代将继续改进。然而,控制平面协议(如RRC和NAS)中的漏洞带来了严重的安全威胁,例如盲拒绝服务(DoS)攻击。现有的异常检测方法虽然利用了基于规则的系统或传统机器学习方法,但存在需要大量训练数据、预定义规则和可解释性有限等局限性。为了解决这些挑战,我们提出了一种新颖的异常检测框架,该框架利用大型语言模型(LLM)在零样本模式下的能力,处理无序数据和开放无线接入网络(O-RAN)架构中的简短自然语言攻击描述。我们分析了对提示变化的鲁棒性,证明了自动化攻击描述的实用性,并表明检测质量依赖于描述的语义完整性,而不是其措辞或长度。我们利用RRC/NAS数据集评估该解决方案,并对开源和专有LLM实现进行了广泛的比较,以证明其在攻击检测方面的卓越性能。我们进一步验证了我们的框架在O-RAN实时约束中的实用性,展示了其检测其他Layer-3攻击的潜力。

🔬 方法详解

问题定义:论文旨在解决5G及未来网络中,针对控制平面协议(如RRC和NAS)的盲DoS攻击检测问题。现有方法依赖大量训练数据和预定义规则,难以适应新型攻击,且可解释性不足。

核心思路:利用大型语言模型(LLM)的自然语言理解和生成能力,将攻击描述转化为LLM可理解的输入,从而实现零样本的异常检测。核心在于利用LLM的语义理解能力,无需针对特定攻击进行训练。

技术框架:该框架主要包含以下几个阶段:1) 攻击描述生成:将攻击行为用自然语言描述。2) LLM推理:将攻击描述输入LLM,判断是否存在异常。3) 结果分析:分析LLM的输出,判断是否存在DoS攻击。整个框架部署在O-RAN架构中,满足实时性要求。

关键创新:该方法的核心创新在于利用LLM的零样本学习能力,无需训练数据即可进行异常检测。与传统方法相比,该方法具有更好的泛化能力和可解释性,能够检测新型攻击。此外,利用自然语言描述攻击,使得攻击特征的提取更加灵活和方便。

关键设计:攻击描述的质量是影响检测效果的关键因素。论文分析了不同描述方式对检测结果的影响,发现检测质量依赖于描述的语义完整性,而不是其措辞或长度。此外,论文还比较了不同LLM的性能,并验证了该框架在O-RAN实时约束下的实用性。没有提及具体的参数设置、损失函数、网络结构等技术细节。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,该框架在RRC/NAS数据集上表现出卓越的攻击检测性能。通过对比开源和专有LLM实现,验证了该方法在零样本学习方面的优势。此外,实验还验证了该框架在O-RAN实时约束下的实用性,表明其能够满足实际应用的需求。

🎯 应用场景

该研究成果可应用于5G及未来移动通信网络的安全防护,尤其是在开放无线接入网络(O-RAN)环境中。该框架能够实时检测控制平面协议中的异常行为,有效防御盲DoS攻击,保障网络的安全性和可靠性。未来,该方法可以扩展到其他Layer-3攻击的检测,提升整体网络安全水平。

📄 摘要(原文)

The quality and experience of mobile communication have significantly improved with the introduction of 5G, and these improvements are expected to continue beyond the 5G era. However, vulnerabilities in control-plane protocols, such as Radio Resource Control (RRC) and Non-Access Stratum (NAS), pose significant security threats, such as Blind Denial of Service (DoS) attacks. Despite the availability of existing anomaly detection methods that leverage rule-based systems or traditional machine learning methods, these methods have several limitations, including the need for extensive training data, predefined rules, and limited explainability. Addressing these challenges, we propose a novel anomaly detection framework that leverages the capabilities of Large Language Models (LLMs) in zero-shot mode with unordered data and short natural language attack descriptions within the Open Radio Access Network (O-RAN) architecture. We analyse robustness to prompt variation, demonstrate the practicality of automating the attack descriptions and show that detection quality relies on the semantic completeness of the description rather than its phrasing or length. We utilise an RRC/NAS dataset to evaluate the solution and provide an extensive comparison of open-source and proprietary LLM implementations to demonstrate superior performance in attack detection. We further validate the practicality of our framework within O-RAN's real-time constraints, illustrating its potential for detecting other Layer-3 attacks.