2025-11-11T12:22:08.597062

LLM-Driven APT Detection for 6G Wireless Networks: A Systematic Review and Taxonomy

Golec, Khamayseh, Melhem et al.
Sixth Generation (6G) wireless networks, which are expected to be deployed in the 2030s, have already created great excitement in academia and the private sector with their extremely high communication speed and low latency rates. However, despite the ultra-low latency, high throughput, and AI-assisted orchestration capabilities they promise, they are vulnerable to stealthy and long-term Advanced Persistent Threats (APTs). Large Language Models (LLMs) stand out as an ideal candidate to fill this gap with their high success in semantic reasoning and threat intelligence. In this paper, we present a comprehensive systematic review and taxonomy study for LLM-assisted APT detection in 6G networks. We address five research questions, namely, semantic merging of fragmented logs, encrypted traffic analysis, edge distribution constraints, dataset/modeling techniques, and reproducibility trends, by leveraging most recent studies on the intersection of LLMs, APTs, and 6G wireless networks. We identify open challenges such as explainability gaps, data scarcity, edge hardware limitations, and the need for real-time slicing-aware adaptation by presenting various taxonomies such as granularity, deployment models, and kill chain stages. We then conclude the paper by providing several research gaps in 6G infrastructures for future researchers. To the best of our knowledge, this paper is the first comprehensive systematic review and classification study on LLM-based APT detection in 6G networks.
academic

Rilevamento di APT guidato da LLM per reti wireless 6G: una revisione sistematica e una tassonomia

Informazioni di base

  • ID articolo: 2505.18846
  • Titolo: LLM-Driven APT Detection for 6G Wireless Networks: A Systematic Review and Taxonomy
  • Autori: Muhammed Golec, Yaser Khamayseh, Suhib Bani Melhem, Abdulmalik Alwarafy
  • Classificazione: cs.CR (Crittografia e sicurezza)
  • Data di pubblicazione: 23 giugno 2025 (preprint arXiv)
  • Collegamento articolo: https://arxiv.org/abs/2505.18846v2

Riassunto

Questo articolo propone una soluzione sistematica basata su modelli di linguaggio di grandi dimensioni (LLM) per il rilevamento di minacce persistenti avanzate (APT) nelle reti wireless di sesta generazione (6G), previste per il dispiegamento negli anni 2030. Sebbene le reti 6G promettano latenza ultra-bassa, elevata velocità effettiva e capacità di orchestrazione assistita da intelligenza artificiale, rimangono vulnerabili ad attacchi APT subdoli e prolungati. Gli autori, attraverso l'analisi di 142 articoli correlati, propongono una tassonomia completa dell'utilizzo di LLM nel rilevamento di APT e identificano sfide critiche quali lacune di interpretabilità, scarsità di dati e limitazioni dell'hardware edge. Questo è il primo studio di revisione sistematica specificamente dedicato al rilevamento di APT basato su LLM nelle reti 6G.

Contesto di ricerca e motivazione

Definizione del problema

  1. Sfide di sicurezza della rete 6G: L'architettura eterogenea della rete 6G (strati terrestre, aereo e satellitare) crea una superficie di attacco più ampia, rendendola vulnerabile agli attacchi APT
  2. Limitazioni dei metodi di rilevamento tradizionali: I sistemi di rilevamento delle intrusioni (IDS) basati su firme affrontano difficoltà nel rilevamento comportamentale quando confrontati con strati crittografati e topologie dinamiche
  3. Problema della frammentazione dei dati: I dati di registro generati dalle reti 6G sono frammentati e incoerenti, limitando l'analisi di correlazione tra strati

Importanza della ricerca

  • Tempestività: La tecnologia 6G sta per essere commercializzata e le questioni di sicurezza richiedono soluzioni urgenti
  • Convergenza tecnologica: Lacuna di ricerca nell'intersezione di tre campi: LLM, rilevamento di APT e reti 6G
  • Valore pratico: Fornisce orientamenti teorici per il dispiegamento della sicurezza delle future reti 6G

Limitazioni dei metodi esistenti

  • Mancanza di metodi di ottimizzazione LLM specifici per i vincoli 6G
  • Scarsità di set di dati per il rilevamento di APT e mancanza di rappresentatività nel mondo reale
  • Risorse limitate dei dispositivi edge, difficili da distribuire con modelli LLM completi

Contributi principali

  1. Prima revisione sistematica: Fornisce la prima revisione sistematica completa della letteratura sul rilevamento di APT guidato da LLM per reti 6G
  2. Quadro di ricerca a cinque dimensioni: Definisce cinque questioni di ricerca fondamentali, coprendo associazione semantica, analisi del traffico crittografato, vincoli edge, modellazione di set di dati e riproducibilità
  3. Tassonomia multilivello: Propone un sistema di classificazione completo che include modalità di input, granularità di rilevamento, tecnologie LLM, modelli di dispiegamento e ciclo di vita delle minacce
  4. Identificazione delle sfide e direzioni future: Identifica sistematicamente le sfide aperte e propone direzioni di ricerca future specifiche
  5. Analisi comparativa: Conduce un'analisi dettagliata con 16 revisioni esistenti, evidenziando il valore unico di questo studio

Dettagli metodologici

Metodo di revisione sistematica

L'articolo adotta il metodo di revisione sistematica della letteratura (SLR) di Kitchenham e il metodo di mappatura sistematica (SMS) di Petersen:

  1. Processo di raccolta della letteratura:
    • Fase di identificazione: Ricerca nei principali database accademici IEEE, ACM, Elsevier, Springer
    • Fase di screening: Rimozione di documenti duplicati, riduzione da oltre 300 a 126 articoli
    • Valutazione dell'idoneità: Analisi da parte di esperti, selezione di 120 articoli di alta qualità
    • Inclusione finale: Integrazione tramite metodo snowball, determinazione finale di 142 articoli
  2. Strategia di parole chiave di ricerca:
    [(LLM) OR (Large Language Model)] AND [(APT) OR (Advanced Persistent Threat)]
[(6G) OR (Wireless Networks)] AND [(LLM) OR (APT Detection)] AND [(Edge) OR (Cross-Layer Security)]
[(Cyber Threat Intelligence) OR (Provenance Logs)] AND [(LLM) OR (APT)] AND [(6G)]

Quadro di ricerca a cinque dimensioni

RQ1: Associazione semantica di registri di provenienza frammentati

  • Sfida: La struttura eterogenea della rete 6G causa distribuzione incoerente e disomogenea dei dati di registro
  • Soluzione: Gli LLM integrano dati di registro multi-fonte attraverso capacità di ragionamento semantico
  • Percorso tecnico: Modellazione basata su grafi, tecniche di potenziamento semantico, ragionamento di correlazione

RQ2: Limitazioni dei canali 6G crittografati e soluzioni LLM

  • Limitazioni tecniche: DoH e tunnel crittografati end-to-end causano semantica del traffico ambigua
  • Vantaggi LLM: Capacità di ragionamento semantico e astrazione contestuale
  • Caso di applicazione: Il framework APTSniffer realizza il rilevamento di APT con punteggio F1 del 97%

RQ3: Vincoli di dispiegamento edge e tecniche di ottimizzazione

  • Vincoli di risorse: Dispositivi edge con RAM e capacità di calcolo limitate
  • Strategie di ottimizzazione:
    • Compressione del modello (quantizzazione, potatura, distillazione)
    • Messa a punto efficiente dei parametri (LoRA, Adapter)
    • Ragionamento collaborativo (cooperazione edge-cloud)

RQ4: Set di dati e tecniche di modellazione

  • Tipi di set di dati:
    • Set di dati semi-sintetici (Unraveled, CICAPT-IIoT)
    • Registri sintetici potenziati (SAGA, Twitter-APT)
    • Corpus di benchmark consolidati
  • Tecniche di modellazione: Analisi di grafi comportamentali, autoencoder multistadio, sistemi di esperti ibridi

RQ5: Riproducibilità e tendenze di pubblicazione

  • Disponibilità del codice: Solo il 19% della ricerca condivide il codice sorgente
  • Utilizzo di set di dati: 46,7% utilizza dati sintetici, 43,3% utilizza dati pubblici
  • Tendenza di pubblicazione: La ricerca LLM-APT mostra una crescita esponenziale

Punti di innovazione tecnica

Tassonomia di rilevamento LLM-APT

Propone un sistema di classificazione a cinque dimensioni:

  1. Modalità di input: Registri, grafi di provenienza, pacchetti PCAP
  2. Granularità di rilevamento: Livello di pacchetto, livello di sessione, livello di catena di uccisione
  3. Tecnologie LLM: Ottimizzazione dei prompt, trasferimento di adapter, messa a punto
  4. Modelli di dispiegamento: Cloud, edge, fog computing
  5. Ciclo di vita delle minacce: Ricognizione, accesso iniziale, movimento laterale, esfiltrazione di dati

Architettura di rilevamento APT cross-layer

  • Strato RAN: Ragionamento APT basato su sessione
  • Strato di trasporto: Analisi di sequenze di traffico
  • Rete core: Rilevamento di violazioni di policy
  • Strato cloud/orchestrazione: Correlazione degli avvisi

Configurazione sperimentale

Metodo di raccolta dei dati

  • Intervallo temporale: 2018-2025
  • Fonti di dati: Database accademici, rapporti tecnici, riferimenti bibliografici
  • Criteri di screening: Valutazione della qualità, conformità dell'ambito, revisione da parte di esperti

Dimensioni di valutazione

  • Disponibilità del codice: SÌ/NO e distribuzione della piattaforma
  • Tipo di set di dati: Proporzione di dati sintetici/pubblici/consolidati
  • Protocolli di valutazione: Convalida incrociata, confronto di benchmark
  • Piattaforme di pubblicazione: Distribuzione di conferenze/riviste e fattore di impatto

Risultati sperimentali

Statistiche di distribuzione della letteratura

  • Totale: 142 articoli correlati
  • Tasso di open source del codice: 19% (principalmente su piattaforma GitHub)
  • Distribuzione dei set di dati: Dati sintetici 46,7%, dati pubblici 43,3%, dati consolidati 10%
  • Piattaforme di pubblicazione: IEEE 35,2%, ACM 21,8%, Springer 9,9%

Tendenza di pubblicazione annuale

  • 2021: 0,7%
  • 2022: 5,6%
  • 2023: 10,6%
  • 2024: 11,3%
  • 2025: 12,7%

Mostra una chiara tendenza di crescita, riflettendo lo sviluppo rapido del campo.

Analisi dei protocolli di valutazione

  • Confronto di benchmark: 26,8%
  • Studio di caso: 24,4%
  • Scenario di simulazione: 22,0%
  • Scenario sintetico: 14,6%
  • Registri reali: 12,2%
  • Standard SLR: 9,8%

Lavori correlati

Analisi delle revisioni esistenti

Gli autori confrontano 16 studi di revisione correlati, identificando tre lacune critiche:

  1. Considerazione integrata di LLM, APT e 6G: La ricerca esistente non copre simultaneamente questi tre campi
  2. Tassonomia dettagliata di rilevamento di APT: La maggior parte della ricerca manca di classificazioni dettagliate come il ciclo di vita di APT
  3. Confronto comparativo cross-domain: Manca un'analisi comparativa multidimensionale

Evoluzione tecnica

  • LLM generici: BERT (2018), GPT-2 (2019), GPT-4 (2023)
  • LLM specifici per la sicurezza: SecBERT (2020), CyBERT (2021), CySecBERT (2022)
  • Tecnologie emergenti: Ottimizzazione dei prompt (2021), LoRA (2022), LLM edge federato (2023+)

Conclusioni e discussione

Conclusioni principali

  1. Fattibilità tecnica: Gli LLM hanno un enorme potenziale nel rilevamento di APT per reti 6G
  2. Identificazione delle sfide: Limitazioni del ragionamento semantico, vincoli di elaborazione in tempo reale, insufficienza di interpretabilità, scarsità di dati
  3. Lacune di ricerca: Necessità di LLM edge leggeri, monitoraggio decisionale guidato da XAI, set di dati multimodali reali

Limitazioni

  1. Limitazioni della finestra di contesto: Gli LLM hanno limitazioni nell'elaborazione di sequenze di eventi a lungo termine
  2. Vincoli di risorse edge: Limitazioni di calcolo e archiviazione influenzano il dispiegamento in tempo reale
  3. Problemi di qualità dei dati: I set di dati APT esistenti mancano di rappresentatività nel mondo reale
  4. Mancanza di interpretabilità: La natura black-box influisce sulle applicazioni critiche

Direzioni future

  1. Innovazione tecnica:
    • LLM potenziati da grafi per risolvere il problema della finestra di contesto breve
    • Tecniche di distillazione e quantizzazione per ottimizzare l'inferenza edge
    • Modelli di fusione consapevoli di XAI per migliorare l'interpretabilità
  2. Dati e valutazione:
    • Corpus federato + simulato per arricchire i dati di addestramento
    • Progettazione collaborativa cross-layer adattata alle nuove tecnologie 6G
    • Gestione dinamica di slice guidata da XAI
  3. Architettura di sistema:
    • Sistemi di orchestrazione consapevoli di slice integrati
    • Meccanismi di risposta alle minacce in tempo reale
    • Protocolli di sicurezza multimodali

Valutazione approfondita

Punti di forza

  1. Ricerca pioneristico: Prima revisione sistematica nel campo trasversale LLM-APT-6G
  2. Metodologia rigorosa: Adotta metodi SLR e SMS standard, analizza 142 articoli di alta qualità
  3. Sistema di classificazione completo: La tassonomia a cinque dimensioni copre molteplici aspetti tecnici, di dispiegamento e applicativi
  4. Alto valore pratico: Fornisce una roadmap tecnica specifica per il dispiegamento della sicurezza delle reti 6G
  5. Forte prospettiva futura: Identifica sfide critiche e propone direzioni di soluzione specifiche

Insufficienze

  1. Mancanza di verifica empirica: Come articolo di revisione, manca di verifica sperimentale di algoritmi originali
  2. Profondità tecnica limitata: La discussione di alcuni dettagli di implementazione tecnica è insufficiente
  3. Basso livello di standardizzazione: Grandi variazioni negli standard di valutazione e set di dati tra diversi studi
  4. Considerazione insufficiente della commercializzazione: Analisi limitata del rapporto costo-beneficio per il dispiegamento effettivo

Impatto

  1. Valore accademico: Stabilisce un quadro di ricerca e standard per il nuovo campo trasversale
  2. Significato pratico: Guida la progettazione dell'architettura di sicurezza della rete e il dispiegamento di sistemi di rilevamento delle minacce 6G
  3. Impatto politico: Fornisce riferimenti tecnici per la formulazione di standard di sicurezza della rete
  4. Promozione industriale: Promuove l'applicazione industriale degli LLM nel campo della sicurezza della rete

Scenari applicabili

  1. Operatori di reti 6G: Progettazione dell'architettura di sicurezza della rete e dispiegamento di sistemi di rilevamento delle minacce
  2. Fornitori di sicurezza: Sviluppo di prodotti di rilevamento di APT basati su LLM
  3. Istituzioni di ricerca: Ricerca accademica e sviluppo tecnologico in campi correlati
  4. Organizzazioni di standardizzazione: Formulazione di standard e normative tecniche di sicurezza della rete 6G

Riferimenti bibliografici

L'articolo cita 142 articoli di alta qualità, coprendo i risultati di ricerca più recenti in molteplici campi inclusi LLM, rilevamento di APT e sicurezza della rete 6G. I principali riferimenti bibliografici includono articoli da conferenze e riviste di primo piano come IEEE, ACM e Springer, nonché ricerche più recenti da piattaforme di preprint come arXiv.

Sintesi: Come prima revisione sistematica nel campo del rilevamento di APT guidato da LLM nelle reti 6G, questo articolo ha un importante valore accademico e pratico. Attraverso una metodologia rigorosa e un'analisi completa, stabilisce un quadro di ricerca per questo nuovo campo trasversale, identifica sfide critiche e propone soluzioni specifiche. Sebbene come articolo di revisione abbia limitazioni nell'innovazione tecnica, la sua prospettiva futura e il suo valore orientativo lo rendono un importante riferimento nel campo.