A LLM-based agent for the automatic generation and generalization of IDS rules

Abstract

对数字服务和物联网（IoT）的网络攻击正在上升，采用了复杂的策略。使用入侵检测系统（IDS）检测和应对关键网络点的威胁对于强大的网络安全至关重要。传统的基于规则的网络入侵检测系统依赖于预定义的规则，这可能无法有效地识别潜在攻击的无数复杂变体。人工智能驱动的检测恶意流量的方法提供了增强的功能，但在高吞吐量网络条件下，其可解释性和性能可能不足。为了应对这些挑战，我们提出了一种基于LLM的（大型语言模型）代理，该代理利用多个源输入来生成和泛化规则。生成的规则旨在检测各种相应的恶意威胁，而通用规则则用于识别类似的变体攻击。我们收集了一个广泛的数据集，包括漏洞安全报告、恶意流量和来自权威来源的原始IDS规则，这些数据集可作为基于LLM的代理的输入。随后，进行了比较实验，以评估新规则在检测恶意流量方面的性能。实验结果表明，这些新规则在恶意流量检测的各种指标上表现出色。