LUT-optimierte Kolmogorov‑Arnold‑Netzwerke für Echtzeit‑DDoS‑Erkennung auf IoT‑Gateways

Denial‑of‑Service‑Angriffe stellen eine ernsthafte Bedrohung für das Internet der Dinge dar. Für ressourcenbeschränkte Edge‑Geräte ist jedoch die Implementierung effektiver Intrusion‑Detection‑Systeme bislang schwierig.

Kolmogorov‑Arnold‑Netzwerke (KANs) bieten eine kompakte Alternative zu herkömmlichen Multi‑Layer‑Perceptrons. Sie setzen lernbare univariate Spline‑Funktionen an den Kanten ein, wodurch vergleichbare Genauigkeit mit deutlich weniger Parametern erreicht wird. Der Nachteil liegt in der Laufzeit‑Kosten der B‑Spline‑Auswertung, die bei latenzkritischen IoT‑Anwendungen zu hoch ist.

Die vorgestellte LUT‑Kompilierung ersetzt die aufwändige Spline‑Berechnung durch vorab quantisierte Tabellen und lineare Interpolation. Dadurch sinkt die Inferenzlatenz drastisch, während die Erkennungsqualität erhalten bleibt. Das leichtgewichtige KAN‑Modell mit 50 000 Parametern und 0,19 MB Speicherbedarf erzielt 99,0 % Genauigkeit auf dem CICIDS2017‑DoS‑Datensatz. Nach LUT‑Kompilierung mit einer Auflösung von L = 8 bleibt die Genauigkeit bei 98,96 % (F1‑Verlust < 0,0004) und die Geschwindigkeit steigt um 68‑mal bei Batch‑Größe 256 sowie über 5000‑mal bei Batch‑Größe 1, wobei die Speicher‑Aufwand nur verdoppelt wird.

Eine umfassende Evaluation über verschiedene LUT‑Auflösungen, Quantisierungsschemata und Out‑of‑Bounds‑Strategien liefert klare Pareto‑Fronten für Genauigkeit, Latenz und Speicher. Die Ergebnisse zeigen, dass LUT‑kompilierte KANs eine Echtzeit‑DoS‑Erkennung auf CPU‑nur‑IoT‑Gateways ermöglichen, deterministische Inferenzlatenzen bieten und dabei einen minimalen Ressourcen‑Fußabdruck hinterlassen.