Rethinking On-Device LLM Reasoning: Why Analogical Mapping Outperforms Abstract Thinking for IoT DDoS Detection

📄 arXiv: 2601.14343v1 📥 PDF

作者: William Pan, Guiran Liu, Binrong Zhu, Qun Wang, Yingzhou Lu, Beiyu Lin, Rose Qingyang Hu

分类: cs.CR, eess.SY

发布日期: 2026-01-20

💡 一句话要点

提出结合CoT和RAG的边缘设备LLM推理框架,提升IoT DDoS攻击检测性能

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 设备端LLM DDoS攻击检测 思维链 检索增强生成 物联网安全

📋 核心要点

  1. 物联网DDoS攻击日益复杂,现有方法难以在资源受限的边缘设备上有效检测。
  2. 结合思维链(CoT)和检索增强生成(RAG),利用少量样本进行示例驱动推理。
  3. 实验表明,该方法显著提升了小型ODLLM的性能,宏平均F1分数最高可达0.85。

📝 摘要(中文)

物联网部署的快速扩展加剧了网络安全威胁,尤其是日益复杂的分布式拒绝服务(DDoS)攻击。利用设备端大型语言模型(ODLLM)的生成式AI能力,为网络边缘的实时威胁检测提供了一种可行的解决方案,但有限的计算资源对小型ODLLM提出了挑战。本文提出了一种新颖的检测框架,该框架集成了思维链(CoT)推理和检索增强生成(RAG),专门为物联网边缘环境量身定制。我们系统地评估了紧凑型ODLLM,包括LLaMA 3.2(1B、3B)和Gemma 3(1B、4B),使用结构化提示和示例驱动的推理策略。实验结果表明,通过少样本提示,性能得到了显著提高,宏平均F1分数高达0.85。我们的研究结果突出了结合基于示例的推理的显著优势,强调了CoT和RAG方法显著增强了小型ODLLM在严格资源约束下准确分类复杂网络攻击的能力。

🔬 方法详解

问题定义:论文旨在解决物联网环境中,资源受限的边缘设备上,如何利用小型ODLLM有效检测日益复杂的DDoS攻击的问题。现有方法在边缘设备上部署大型模型面临计算资源不足的挑战,而小型模型在复杂攻击模式识别方面能力有限。

核心思路:论文的核心思路是结合思维链(CoT)推理和检索增强生成(RAG),通过少量样本的示例驱动推理,提升小型ODLLM在DDoS攻击检测方面的性能。CoT模拟人类的思考过程,逐步推理,RAG则通过检索相关知识来增强模型的理解能力。

技术框架:该框架主要包含以下几个模块:1) 数据预处理模块:对网络流量数据进行清洗和特征提取。2) 检索模块:根据当前的网络流量特征,从知识库中检索相关的DDoS攻击示例。3) CoT推理模块:利用检索到的示例,结合结构化提示,引导ODLLM进行逐步推理,分析当前流量是否为DDoS攻击。4) 分类模块:根据CoT推理的结果,对网络流量进行分类,判断是否为DDoS攻击。

关键创新:该论文的关键创新在于将CoT和RAG方法应用于资源受限的边缘设备上的DDoS攻击检测,并针对小型ODLLM进行了优化。与传统的基于规则或机器学习的DDoS检测方法相比,该方法能够更好地适应新型攻击模式,并具有更强的泛化能力。此外,论文强调了示例驱动推理的重要性,通过少量样本即可显著提升模型性能。

关键设计:论文的关键设计包括:1) 结构化提示:设计了专门的提示模板,引导ODLLM进行CoT推理。2) 知识库构建:构建了一个包含各种DDoS攻击示例的知识库,用于RAG。3) 少样本学习:采用少样本学习策略,利用少量标注数据进行模型训练。4) 模型选择:选择了LLaMA 3.2 (1B, 3B) 和 Gemma 3 (1B, 4B) 等小型ODLLM,以适应边缘设备的资源限制。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,该方法在DDoS攻击检测方面取得了显著的性能提升。使用LLaMA 3.2 (1B) 和 Gemma 3 (1B) 等小型ODLLM,通过结合CoT和RAG,宏平均F1分数最高可达0.85。与不使用CoT和RAG的基线方法相比,性能提升显著,证明了该方法的有效性。此外,实验还表明,少量样本即可实现较好的性能,降低了模型训练的成本。

🎯 应用场景

该研究成果可应用于各种物联网边缘设备,例如智能摄像头、智能家居网关、工业传感器等,实现实时的DDoS攻击检测与防御。通过在边缘设备上部署该框架,可以有效减轻云端服务器的压力,提高网络安全防护能力,并降低网络延迟,提升用户体验。未来,该研究还可以扩展到其他网络安全威胁检测领域,例如恶意软件检测、入侵检测等。

📄 摘要(原文)

The rapid expansion of IoT deployments has intensified cybersecurity threats, notably Distributed Denial of Service (DDoS) attacks, characterized by increasingly sophisticated patterns. Leveraging Generative AI through On-Device Large Language Models (ODLLMs) provides a viable solution for real-time threat detection at the network edge, though limited computational resources present challenges for smaller ODLLMs. This paper introduces a novel detection framework that integrates Chain-of-Thought (CoT) reasoning with Retrieval-Augmented Generation (RAG), tailored specifically for IoT edge environments. We systematically evaluate compact ODLLMs, including LLaMA 3.2 (1B, 3B) and Gemma 3 (1B, 4B), using structured prompting and exemplar-driven reasoning strategies. Experimental results demonstrate substantial performance improvements with few-shot prompting, achieving macro-average F1 scores as high as 0.85. Our findings highlight the significant advantages of incorporating exemplar-based reasoning, underscoring that CoT and RAG approaches markedly enhance small ODLLMs' capabilities in accurately classifying complex network attacks under stringent resource constraints.