2025-11-11T12:22:08.597062

LLM-Driven APT Detection for 6G Wireless Networks: A Systematic Review and Taxonomy

Golec, Khamayseh, Melhem et al.
Sixth Generation (6G) wireless networks, which are expected to be deployed in the 2030s, have already created great excitement in academia and the private sector with their extremely high communication speed and low latency rates. However, despite the ultra-low latency, high throughput, and AI-assisted orchestration capabilities they promise, they are vulnerable to stealthy and long-term Advanced Persistent Threats (APTs). Large Language Models (LLMs) stand out as an ideal candidate to fill this gap with their high success in semantic reasoning and threat intelligence. In this paper, we present a comprehensive systematic review and taxonomy study for LLM-assisted APT detection in 6G networks. We address five research questions, namely, semantic merging of fragmented logs, encrypted traffic analysis, edge distribution constraints, dataset/modeling techniques, and reproducibility trends, by leveraging most recent studies on the intersection of LLMs, APTs, and 6G wireless networks. We identify open challenges such as explainability gaps, data scarcity, edge hardware limitations, and the need for real-time slicing-aware adaptation by presenting various taxonomies such as granularity, deployment models, and kill chain stages. We then conclude the paper by providing several research gaps in 6G infrastructures for future researchers. To the best of our knowledge, this paper is the first comprehensive systematic review and classification study on LLM-based APT detection in 6G networks.
academic

LLM-Driven APT Detection for 6G Wireless Networks: A Systematic Review and Taxonomy

基本信息

  • 论文ID: 2505.18846
  • 标题: LLM-Driven APT Detection for 6G Wireless Networks: A Systematic Review and Taxonomy
  • 作者: Muhammed Golec, Yaser Khamayseh, Suhib Bani Melhem, Abdulmalik Alwarafy
  • 分类: cs.CR (Cryptography and Security)
  • 发表时间: 2025年6月23日 (arXiv预印本)
  • 论文链接: https://arxiv.org/abs/2505.18846v2

摘要

本文针对预计在2030年代部署的第六代(6G)无线网络中的高级持续威胁(APT)检测问题,提出了基于大语言模型(LLM)的系统性解决方案。尽管6G网络承诺超低延迟、高吞吐量和AI辅助编排能力,但仍容易受到隐蔽的长期APT攻击。作者通过分析142篇相关论文,提出了LLM在APT检测中的综合分类法,并识别了可解释性差距、数据稀缺、边缘硬件限制等关键挑战。这是首个专门针对6G网络中基于LLM的APT检测的系统性综述研究。

研究背景与动机

问题定义

  1. 6G网络安全挑战:6G网络的异构架构(地面、空中、卫星层)创造了更大的攻击面,使其容易受到APT攻击
  2. 传统检测方法局限性:基于签名的入侵检测系统(IDS)在面对加密层和动态拓扑时,行为检测变得复杂
  3. 数据碎片化问题:6G网络产生的日志数据碎片化且不一致,限制了层间关联分析

研究重要性

  • 时效性:6G技术即将商用,安全问题亟待解决
  • 技术融合:LLM、APT检测和6G网络三个领域的交叉研究空白
  • 实用价值:为未来6G网络安全部署提供理论指导

现有方法局限性

  • 缺乏针对6G特定约束的LLM优化方法
  • APT检测数据集稀缺且缺乏真实世界代表性
  • 边缘设备资源受限,难以部署完整LLM模型

核心贡献

  1. 首个系统性综述:提供了LLM驱动的6G网络APT检测的首个全面系统文献综述
  2. 五维研究框架:定义了五个核心研究问题,涵盖语义关联、加密流量分析、边缘约束、数据集建模和可复现性
  3. 多层次分类法:提出了包括输入模态、检测粒度、LLM技术、部署模型和威胁生命周期的综合分类体系
  4. 挑战识别与未来方向:系统性识别了开放挑战并提出了具体的未来研究方向
  5. 比较分析:与16个现有综述进行了详细比较,突出了本研究的独特价值

方法详解

系统性综述方法

本文采用Kitchenham的系统文献综述(SLR)方法和Petersen的系统映射研究(SMS)方法:

  1. 文献收集流程
    • 识别阶段:搜索IEEE、ACM、Elsevier、Springer等主要学术数据库
    • 筛选阶段:去除重复文档,从300+篇减少到126篇
    • 资格评估:专家分析,筛选出120篇高质量论文
    • 最终纳入:通过雪球方法补充,最终确定142篇论文
  2. 搜索关键词策略
    [(LLM) OR (Large Language Model)] AND [(APT) OR (Advanced Persistent Threat)]
[(6G) OR (Wireless Networks)] AND [(LLM) OR (APT Detection)] AND [(Edge) OR (Cross-Layer Security)]
[(Cyber Threat Intelligence) OR (Provenance Logs)] AND [(LLM) OR (APT)] AND [(6G)]

五维研究问题框架

RQ1: 碎片化溯源日志的语义关联

  • 挑战:6G网络异构结构导致日志数据分布不均且不一致
  • 解决方案:LLM通过语义推理能力整合多源日志数据
  • 技术路径:图基建模、语义增强技术、关联推理

RQ2: 加密6G信道的局限性与LLM解决方案

  • 技术限制:DoH、端到端加密隧道导致流量语义模糊
  • LLM优势:语义推理和上下文抽象能力
  • 应用案例:APTSniffer框架实现97% F1分数的APT检测

RQ3: 边缘部署约束与优化技术

  • 资源约束:边缘设备RAM和计算能力有限
  • 优化策略
    • 模型压缩(量化、剪枝、蒸馏)
    • 参数高效微调(LoRA、Adapters)
    • 协作推理(边缘-云协同)

RQ4: 数据集与建模技术

  • 数据集类型
    • 半合成数据集(Unraveled、CICAPT-IIoT)
    • 合成增强日志(SAGA、Twitter-APT)
    • 合并基准语料库
  • 建模技术:行为图分析、多阶段自编码器、混合专家系统

RQ5: 可复现性与发表趋势

  • 代码可用性:仅19%的研究分享源代码
  • 数据集使用:46.7%使用合成数据,43.3%使用公开数据
  • 发表趋势:LLM-APT研究呈指数增长

技术创新点

LLM-APT检测分类法

提出五维分类体系:

  1. 输入模态:日志、溯源图、PCAP数据包
  2. 检测粒度:数据包级、会话级、杀伤链阶段级
  3. LLM技术:提示调优、适配器迁移、微调
  4. 部署模型:云端、边缘、雾计算
  5. 威胁生命周期:侦察、初始访问、横向移动、数据渗透

跨层APT检测架构

  • RAN层:会话基APT推理
  • 传输层:流量序列分析
  • 核心网络:策略违规检测
  • 云/编排层:告警关联

实验设置

数据收集方法

  • 时间范围:2018-2025年
  • 数据源:学术数据库、技术报告、参考文献
  • 筛选标准:质量评估、范围符合性、专家审查

评价维度

  • 代码可用性:YES/NO及平台分布
  • 数据集类型:合成/公开/合并数据集比例
  • 评估协议:交叉验证、基准比较等
  • 发表平台:会议/期刊分布及影响因子

实验结果

文献分布统计

  • 总计:142篇相关论文
  • 代码开源率:19% (主要在GitHub平台)
  • 数据集分布:合成数据46.7%,公开数据43.3%,合并数据10%
  • 发表平台:IEEE 35.2%,ACM 21.8%,Springer 9.9%

年度发表趋势

  • 2021年:0.7%
  • 2022年:5.6%
  • 2023年:10.6%
  • 2024年:11.3%
  • 2025年:12.7%

显示出明显的增长趋势,反映了该领域的快速发展。

评估协议分析

  • 基准比较:26.8%
  • 案例研究:24.4%
  • 仿真场景:22.0%
  • 合成场景:14.6%
  • 真实日志:12.2%
  • SLR标准:9.8%

相关工作

现有综述分析

作者比较了16个相关综述研究,发现三个关键差距:

  1. 综合考虑LLM、APT和6G:现有研究未同时涵盖这三个领域
  2. 详细APT检测分类法:大多数研究缺乏APT生命周期等详细分类
  3. 跨领域比较综合:缺乏多维度比较分析

技术发展脉络

  • 通用LLM:BERT(2018)、GPT-2(2019)、GPT-4(2023)
  • 安全专用LLM:SecBERT(2020)、CyBERT(2021)、CySecBERT(2022)
  • 新兴技术:提示调优(2021)、LoRA(2022)、联邦边缘LLM(2023+)

结论与讨论

主要结论

  1. 技术可行性:LLM在6G网络APT检测中具有巨大潜力
  2. 挑战识别:语义推理局限、实时处理约束、可解释性不足、数据稀缺
  3. 研究空白:需要轻量级边缘LLM、XAI驱动决策监控、多模态真实数据集

局限性

  1. 上下文窗口限制:LLM在长期事件序列处理上存在局限
  2. 边缘资源约束:计算和存储限制影响实时部署
  3. 数据质量问题:现有APT数据集缺乏真实世界代表性
  4. 可解释性缺失:黑盒特性影响关键任务应用

未来方向

  1. 技术创新
    • 图增强LLM解决短上下文窗口问题
    • 蒸馏和量化技术优化边缘推理
    • XAI感知融合模型提升可解释性
  2. 数据与评估
    • 联邦+仿真语料库丰富训练数据
    • 跨层协同设计适配6G新技术
    • XAI驱动的动态切片管理
  3. 系统架构
    • 切片感知编排系统集成
    • 实时威胁响应机制
    • 多模态安全协议

深度评价

优点

  1. 开创性研究:首个LLM-APT-6G交叉领域的系统综述
  2. 方法论严谨:采用标准SLR和SMS方法,分析了142篇高质量论文
  3. 分类体系完整:五维分类法覆盖了技术、部署、应用等多个层面
  4. 实用价值高:为6G网络安全部署提供了具体的技术路线图
  5. 前瞻性强:识别了关键挑战并提出了具体的解决方向

不足

  1. 实证验证缺乏:作为综述论文,缺乏原创算法的实验验证
  2. 技术深度有限:对某些具体技术实现细节讨论不够深入
  3. 标准化程度低:不同研究的评估标准和数据集差异较大
  4. 商业化考虑不足:对实际部署的成本效益分析较少

影响力

  1. 学术价值:为新兴交叉领域建立了研究框架和标准
  2. 实用意义:指导6G网络安全系统的设计和部署
  3. 政策影响:为网络安全标准制定提供技术参考
  4. 产业推动:促进LLM在网络安全领域的产业化应用

适用场景

  1. 6G网络运营商:网络安全架构设计和威胁检测系统部署
  2. 安全厂商:开发基于LLM的APT检测产品
  3. 研究机构:相关领域的学术研究和技术开发
  4. 标准组织:制定6G网络安全技术标准和规范

参考文献

本文引用了142篇高质量论文,涵盖了LLM、APT检测、6G网络安全等多个领域的最新研究成果。主要参考文献包括IEEE、ACM、Springer等顶级会议和期刊的论文,以及arXiv等预印本平台的最新研究。

总结:本文作为6G网络中基于LLM的APT检测领域的首个系统性综述,具有重要的学术和实用价值。通过严谨的方法论和全面的分析,为这一新兴交叉领域建立了研究框架,识别了关键挑战,并提出了具体的解决方案。尽管作为综述论文在技术创新上有所局限,但其前瞻性和指导性使其成为该领域的重要参考文献。