Parameter-Efficient LLMs for Flow-Based Intrusion Detection auf der IFIP SEC 2026
Vom 09. bis 11. Juni 2026 fand die 41. IFIP SEC Conference 2026 in Perth, Australien, statt. Die Konferenz bot ein internationales Forum für Forschung zu Informationssicherheit, Datenschutz, Cyberresilienz und vertrauenswürdigen digitalen Infrastrukturen. Sie verband akademische und anwendungsorientierte Perspektiven auf aktuelle Sicherheitsfragen in vernetzten Systemen.
Was wurde angeboten?
Die IFIP SEC 2026 umfasste ein breit angelegtes technisches Programm zu Informationssicherheit und
Datenschutz. Zu den Themen gehörten Intrusion Detection, Netzwerksicherheit, künstliche Intelligenz für Cybersicherheit, sichere verteilte Systeme, Risikomanagement und der Schutz digitaler Infrastrukturen. Die Konferenz bot Paper-Sessions sowie wissenschaftlichen Austausch zu theoretischen und praktischen Sicherheitsfragen.
Unsere Präsentation
Mamdouh Muhammad präsentierte den Beitrag “Parameter-Efficient LLMs for Flow-Based Intrusion
Detection”, gemeinsam verfasst mit Anton Wunsch und Loui Al Sardy. Die Arbeit untersucht, ob ein
kompaktes instruction-tuned Large Language Model für binäre flow-basierte Intrusion Detection unter begrenzten Rechenressourcen eingesetzt werden kann.
Das vorgeschlagene System klassifiziert Netzwerkflüsse als benign oder attack. Jeder Flow wird in eine kompakte Textrepräsentation umgewandelt, die ausgewählte Flow-Merkmale mit einer kurzen Connection-Log-Darstellung kombiniert. Die Studie verwendet Qwen2.5-0.5B-Instruct und passt das Modell mit Low-Rank Adaptation an. Dabei bleiben die Basisparameter eingefroren, während nur leichtgewichtige Adapterparameter trainiert werden.
Die Arbeit vergleicht Zero-Shot Prompting, LoRA-basiertes überwachtes Fine-Tuning, reines In-Context Learning und eine hybride Kombination aus LoRA und In-Context Learning. Statt freier Textgenerierung bewertet das Modell die beiden festen Labels “benign” und “attack” und nutzt einen kalibrierten Bias-Term für die finale Entscheidung.
Die Experimente auf CIC-DDoS2019 zeigen, dass die Zero-Shot-Baseline nahezu auf Zufallsniveau liegt, während LoRA-Fine-Tuning und In-Context Learning die Erkennungsleistung verbessern. Das beste Ergebnis erzielt die Kombination aus LoRA und In-Context Learning mit 91% Accuracy und 90%
Macro-F1 auf einem Testset mit 10.000 Flows. Die Ergebnisse deuten darauf hin, dass kleine LLMs für
flow-basierte IDS nutzbar sein können, wenn Repräsentation, Anpassung und Entscheidungslogik gezielt eingeschränkt werden.