2025-11-11T12:22:08.597062

LLM-Driven APT Detection for 6G Wireless Networks: A Systematic Review and Taxonomy

Golec, Khamayseh, Melhem et al.
Sixth Generation (6G) wireless networks, which are expected to be deployed in the 2030s, have already created great excitement in academia and the private sector with their extremely high communication speed and low latency rates. However, despite the ultra-low latency, high throughput, and AI-assisted orchestration capabilities they promise, they are vulnerable to stealthy and long-term Advanced Persistent Threats (APTs). Large Language Models (LLMs) stand out as an ideal candidate to fill this gap with their high success in semantic reasoning and threat intelligence. In this paper, we present a comprehensive systematic review and taxonomy study for LLM-assisted APT detection in 6G networks. We address five research questions, namely, semantic merging of fragmented logs, encrypted traffic analysis, edge distribution constraints, dataset/modeling techniques, and reproducibility trends, by leveraging most recent studies on the intersection of LLMs, APTs, and 6G wireless networks. We identify open challenges such as explainability gaps, data scarcity, edge hardware limitations, and the need for real-time slicing-aware adaptation by presenting various taxonomies such as granularity, deployment models, and kill chain stages. We then conclude the paper by providing several research gaps in 6G infrastructures for future researchers. To the best of our knowledge, this paper is the first comprehensive systematic review and classification study on LLM-based APT detection in 6G networks.
academic

LLM-gesteuerte APT-Erkennung in 6G-Funknetzen: Eine systematische Übersicht und Taxonomie

Grundinformationen

  • Paper-ID: 2505.18846
  • Titel: LLM-Driven APT Detection for 6G Wireless Networks: A Systematic Review and Taxonomy
  • Autoren: Muhammed Golec, Yaser Khamayseh, Suhib Bani Melhem, Abdulmalik Alwarafy
  • Klassifizierung: cs.CR (Kryptographie und Sicherheit)
  • Veröffentlichungsdatum: 23. Juni 2025 (arXiv-Preprint)
  • Paper-Link: https://arxiv.org/abs/2505.18846v2

Zusammenfassung

Dieses Papier präsentiert eine systematische Lösung auf Basis großer Sprachmodelle (LLM) zur Erkennung von Advanced Persistent Threats (APT) in Funknetzen der sechsten Generation (6G), die voraussichtlich in den 2030er Jahren eingeführt werden. Obwohl 6G-Netze ultraniedriger Latenz, hohen Durchsatz und KI-gestützte Orchestrierungsfähigkeiten versprechen, bleiben sie anfällig für verdeckte, langfristige APT-Angriffe. Die Autoren analysieren 142 relevante Arbeiten und präsentieren eine umfassende Taxonomie von LLM in der APT-Erkennung, während sie kritische Herausforderungen wie mangelnde Interpretierbarkeit, Datenmangel und Hardware-Einschränkungen am Rand identifizieren. Dies ist die erste systematische Übersichtsarbeit, die sich speziell auf LLM-basierte APT-Erkennung in 6G-Netzen konzentriert.

Forschungshintergrund und Motivation

Problemdefinition

  1. Sicherheitsherausforderungen in 6G-Netzen: Die heterogene Architektur von 6G-Netzen (terrestrische, luftgestützte und Satellitenebenen) schafft eine größere Angriffsfläche und macht sie anfällig für APT-Angriffe
  2. Einschränkungen traditioneller Erkennungsmethoden: Signaturbasierte Intrusion Detection Systems (IDS) haben Schwierigkeiten mit verschlüsselten Ebenen und dynamischen Topologien, was die Verhaltensanalyse erschwert
  3. Datenfragmentierungsproblem: Die von 6G-Netzen erzeugten Protokolldaten sind fragmentiert und inkonsistent, was die schichtübergreifende Korrelationsanalyse einschränkt

Forschungsbedeutung

  • Aktualität: 6G-Technologie steht vor der Kommerzialisierung, Sicherheitsfragen sind dringend
  • Technologische Konvergenz: Forschungslücke an der Schnittstelle von LLM, APT-Erkennung und 6G-Netzen
  • Praktischer Wert: Bietet theoretische Anleitung für zukünftige 6G-Netzwerksicherheitsbereitstellung

Einschränkungen bestehender Methoden

  • Mangel an LLM-Optimierungsmethoden für 6G-spezifische Einschränkungen
  • Knappheit von APT-Erkennungsdatensätzen und fehlende Repräsentation der realen Welt
  • Begrenzte Ressourcen auf Edge-Geräten erschweren die Bereitstellung vollständiger LLM-Modelle

Kernbeiträge

  1. Erste systematische Übersicht: Bietet die erste umfassende systematische Literaturübersicht zur LLM-gesteuerten APT-Erkennung in 6G-Netzen
  2. Fünfdimensionales Forschungsrahmenwerk: Definiert fünf Kernforschungsfragen, die semantische Assoziation, Analyse verschlüsselten Datenverkehrs, Edge-Einschränkungen, Datensatzmodellierung und Reproduzierbarkeit abdecken
  3. Mehrstufige Taxonomie: Präsentiert ein umfassendes Klassifizierungssystem mit Eingabemodalitäten, Erkennungsgranularität, LLM-Techniken, Bereitstellungsmodellen und Bedrohungslebenszyklus
  4. Herausforderungsidentifikation und zukünftige Richtungen: Identifiziert systematisch offene Herausforderungen und schlägt konkrete zukünftige Forschungsrichtungen vor
  5. Vergleichende Analyse: Detaillierter Vergleich mit 16 bestehenden Übersichtsarbeiten, der den einzigartigen Wert dieser Forschung hervorhebt

Methodische Details

Systematische Übersichtsmethodik

Das Papier nutzt Kitchenham's Systematic Literature Review (SLR)-Methode und Petersen's Systematic Mapping Study (SMS)-Methode:

  1. Literatursammlungsprozess:
    • Identifikationsphase: Suche in IEEE, ACM, Elsevier, Springer und anderen Hauptdatenbanken
    • Filterungsphase: Entfernung von Duplikaten, Reduktion von über 300 auf 126 Arbeiten
    • Qualitätsbewertung: Expertenanalyse, Filterung auf 120 hochwertige Arbeiten
    • Endgültige Aufnahme: Ergänzung durch Schneeballmethode, endgültig 142 Arbeiten
  2. Suchschlüsselwort-Strategie:
    [(LLM) OR (Large Language Model)] AND [(APT) OR (Advanced Persistent Threat)]
[(6G) OR (Wireless Networks)] AND [(LLM) OR (APT Detection)] AND [(Edge) OR (Cross-Layer Security)]
[(Cyber Threat Intelligence) OR (Provenance Logs)] AND [(LLM) OR (APT)] AND [(6G)]

Fünfdimensionales Forschungsfragenrahmenwerk

RQ1: Semantische Assoziation fragmentierter Nachverfolgungsprotokolle

  • Herausforderung: Die heterogene Struktur von 6G-Netzen führt zu ungleichmäßig verteilten und inkonsistenten Protokolldaten
  • Lösungsansatz: LLM integriert Multi-Source-Protokolldaten durch semantische Schlussfolgerungsfähigkeiten
  • Technischer Pfad: Graphbasierte Modellierung, semantische Anreicherungstechniken, Korrelationsschlussfolgerung

RQ2: Einschränkungen verschlüsselter 6G-Kanäle und LLM-Lösungen

  • Technische Einschränkungen: DoH und End-to-End-verschlüsselte Tunnel führen zu semantischer Unklarheit des Datenverkehrs
  • LLM-Vorteile: Semantische Schlussfolgerung und Kontextabstraktionsfähigkeiten
  • Anwendungsbeispiel: APTSniffer-Framework erreicht 97% F1-Score bei APT-Erkennung

RQ3: Edge-Bereitstellungseinschränkungen und Optimierungstechniken

  • Ressourceneinschränkungen: Begrenzte RAM und Rechenleistung auf Edge-Geräten
  • Optimierungsstrategien:
    • Modellkompression (Quantisierung, Pruning, Destillation)
    • Parametereffiziente Feinabstimmung (LoRA, Adapter)
    • Kollaborative Inferenz (Edge-Cloud-Zusammenarbeit)

RQ4: Datensätze und Modellierungstechniken

  • Datensatztypen:
    • Halbsynthetische Datensätze (Unraveled, CICAPT-IIoT)
    • Synthetisch erweiterte Protokolle (SAGA, Twitter-APT)
    • Zusammengeführte Benchmark-Korpora
  • Modellierungstechniken: Verhaltensdiagrammanalyse, mehrstufige Autoencoder, Mixture-of-Experts-Systeme

RQ5: Reproduzierbarkeit und Veröffentlichungstrends

  • Code-Verfügbarkeit: Nur 19% der Forschungen teilen Quellcode
  • Datensatznutzung: 46,7% nutzen synthetische Daten, 43,3% nutzen öffentliche Daten
  • Veröffentlichungstrends: Exponentiales Wachstum der LLM-APT-Forschung

Technische Innovationen

LLM-APT-Erkennungs-Taxonomie

Präsentiert ein fünfdimensionales Klassifizierungssystem:

  1. Eingabemodalitäten: Protokolle, Nachverfolgungsgraphen, PCAP-Pakete
  2. Erkennungsgranularität: Paketebene, Sitzungsebene, Kill-Chain-Phasenebene
  3. LLM-Techniken: Prompt-Tuning, Adapter-Transfer, Feinabstimmung
  4. Bereitstellungsmodelle: Cloud, Edge, Fog Computing
  5. Bedrohungslebenszyklus: Aufklärung, Initialzugriff, laterale Bewegung, Datenexfiltration

Schichtübergreifende APT-Erkennungsarchitektur

  • RAN-Schicht: Sitzungsbasierte APT-Schlussfolgerung
  • Transportschicht: Datenverkehrssequenzanalyse
  • Kernnetz: Richtungsverletzungserkennung
  • Cloud/Orchestrierungsschicht: Warnungskorrelation

Experimentelle Einrichtung

Datensammlungsmethode

  • Zeitraum: 2018-2025
  • Datenquellen: Akademische Datenbanken, technische Berichte, Referenzen
  • Filterungskriterien: Qualitätsbewertung, Umfangskonformität, Expertenüberprüfung

Bewertungsdimensionen

  • Code-Verfügbarkeit: JA/NEIN und Plattformverteilung
  • Datensatztyp: Anteil synthetischer/öffentlicher/zusammengeführter Datensätze
  • Bewertungsprotokolle: Kreuzvalidierung, Benchmark-Vergleich usw.
  • Veröffentlichungsplattformen: Konferenz-/Zeitschriftenverteilung und Impact Factor

Experimentelle Ergebnisse

Literaturverteilungsstatistiken

  • Gesamt: 142 relevante Arbeiten
  • Open-Source-Rate: 19% (hauptsächlich auf GitHub-Plattform)
  • Datensatzverteilung: Synthetische Daten 46,7%, öffentliche Daten 43,3%, zusammengeführte Daten 10%
  • Veröffentlichungsplattformen: IEEE 35,2%, ACM 21,8%, Springer 9,9%

Jährliche Veröffentlichungstrends

  • 2021: 0,7%
  • 2022: 5,6%
  • 2023: 10,6%
  • 2024: 11,3%
  • 2025: 12,7%

Zeigt einen klaren Wachstumstrend, der die schnelle Entwicklung des Feldes widerspiegelt.

Bewertungsprotokolle-Analyse

  • Benchmark-Vergleich: 26,8%
  • Fallstudien: 24,4%
  • Simulationsszenarien: 22,0%
  • Synthetische Szenarien: 14,6%
  • Echte Protokolle: 12,2%
  • SLR-Standards: 9,8%

Verwandte Arbeiten

Analyse bestehender Übersichtsarbeiten

Die Autoren vergleichen 16 verwandte Übersichtsarbeiten und identifizieren drei Schlüssellücken:

  1. Ganzheitliche Betrachtung von LLM, APT und 6G: Bestehende Forschungen behandeln diese drei Bereiche nicht gleichzeitig
  2. Detaillierte APT-Erkennungs-Taxonomie: Die meisten Arbeiten fehlt eine detaillierte Klassifizierung wie der APT-Lebenszyklus
  3. Bereichsübergreifender Vergleich: Mangel an mehrdimensionaler Vergleichsanalyse

Technologische Entwicklungslinie

  • Allgemeine LLM: BERT (2018), GPT-2 (2019), GPT-4 (2023)
  • Sicherheitsspezifische LLM: SecBERT (2020), CyBERT (2021), CySecBERT (2022)
  • Aufstrebende Technologien: Prompt-Tuning (2021), LoRA (2022), Federated Edge LLM (2023+)

Schlussfolgerungen und Diskussion

Hauptschlussfolgerungen

  1. Technische Machbarkeit: LLM hat enormes Potenzial in der APT-Erkennung von 6G-Netzen
  2. Herausforderungsidentifikation: Semantische Schlussfolgerungslimitierungen, Echtzeitverarbeitungsbeschränkungen, unzureichende Interpretierbarkeit, Datenmangel
  3. Forschungslücken: Bedarf an leichten Edge-LLM, XAI-gesteuerte Entscheidungsüberwachung, multimodale echte Datensätze

Einschränkungen

  1. Kontextfenster-Limitierungen: LLM hat Einschränkungen bei der Verarbeitung langfristiger Ereignissequenzen
  2. Edge-Ressourceneinschränkungen: Rechen- und Speicherlimitierungen beeinflussen die Echtzeitbereitstellung
  3. Datenkualitätsprobleme: Bestehende APT-Datensätze fehlt die Repräsentation der realen Welt
  4. Fehlende Interpretierbarkeit: Black-Box-Charakteristik beeinträchtigt Anwendungen mit kritischen Aufgaben

Zukünftige Richtungen

  1. Technologische Innovation:
    • Graphverstärkte LLM zur Lösung von Kontextfenster-Problemen
    • Destillations- und Quantisierungstechniken zur Optimierung der Edge-Inferenz
    • XAI-bewusste Fusionsmodelle zur Verbesserung der Interpretierbarkeit
  2. Daten und Bewertung:
    • Föderierte + Simulationskorpora zur Bereicherung von Trainingsdaten
    • Schichtübergreifendes kooperatives Design für 6G-Technologien
    • XAI-gesteuerte dynamische Slice-Verwaltung
  3. Systemarchitektur:
    • Slice-bewusste Orchestrierungssysteme
    • Echtzeit-Bedrohungsreaktionsmechanismen
    • Multimodale Sicherheitsprotokolle

Tiefgreifende Bewertung

Stärken

  1. Bahnbrechende Forschung: Erste systematische Übersicht im Schnittstellenbereich LLM-APT-6G
  2. Methodologische Strenge: Verwendung standardisierter SLR- und SMS-Methoden, Analyse von 142 hochwertigen Arbeiten
  3. Vollständiges Klassifizierungssystem: Fünfdimensionale Taxonomie deckt technische, Bereitstellungs- und Anwendungsaspekte ab
  4. Hoher praktischer Wert: Bietet konkrete technische Roadmap für 6G-Netzwerksicherheitsbereitstellung
  5. Starke Zukunftsorientierung: Identifiziert kritische Herausforderungen und schlägt konkrete Lösungsrichtungen vor

Schwächen

  1. Mangel an empirischer Validierung: Als Übersichtsarbeit fehlen experimentelle Validierungen von Originalalgorithmen
  2. Begrenzte technische Tiefe: Diskussion bestimmter technischer Implementierungsdetails nicht ausreichend
  3. Niedriger Standardisierungsgrad: Große Unterschiede in Bewertungsstandards und Datensätzen zwischen verschiedenen Arbeiten
  4. Unzureichende Berücksichtigung von Kommerzialisierung: Weniger Analyse der Kosteneffizienz bei tatsächlicher Bereitstellung

Einflussfähigkeit

  1. Akademischer Wert: Etabliert Forschungsrahmenwerk und Standards für neues Schnittstellengebiet
  2. Praktische Bedeutung: Leitet Design und Bereitstellung von 6G-Netzwerksicherheitssystemen
  3. Politische Auswirkungen: Bietet technische Referenzen für Festlegung von Netzwerksicherheitsstandards
  4. Industrielle Förderung: Fördert Industrialisierung von LLM in der Netzwerksicherheit

Anwendungsszenarien

  1. 6G-Netzbetreiber: Entwurf von Netzwerksicherheitsarchitektur und Bereitstellung von Bedrohungserkennungssystemen
  2. Sicherheitsanbieter: Entwicklung von LLM-basierten APT-Erkennungsprodukten
  3. Forschungsinstitutionen: Akademische Forschung und technische Entwicklung in verwandten Bereichen
  4. Standardisierungsorganisationen: Festlegung von 6G-Netzwerksicherheitstechnologiestandards und -normen

Referenzen

Das Papier zitiert 142 hochwertige Arbeiten, die die neuesten Forschungsergebnisse in mehreren Bereichen wie LLM, APT-Erkennung und 6G-Netzwerksicherheit abdecken. Hauptreferenzen stammen aus Top-Konferenzen und Zeitschriften von IEEE, ACM und Springer sowie neueste Forschungen auf Plattformen wie arXiv.

Zusammenfassung: Als erste systematische Übersicht im Bereich LLM-gesteuerte APT-Erkennung in 6G-Netzen hat dieses Papier bedeutende akademische und praktische Werte. Durch strenge Methodik und umfassende Analyse etabliert es ein Forschungsrahmenwerk für dieses neue Schnittstellengebiet, identifiziert kritische Herausforderungen und schlägt konkrete Lösungen vor. Obwohl als Übersichtsarbeit in technologischen Innovationen begrenzt, machen seine Zukunftsorientierung und Orientierungsfähigkeit es zu einer wichtigen Referenzarbeit in diesem Bereich.