【技术实现步骤摘要】
本专利技术涉及移动通信领域,具体来说涉及移动通信中的流量防护领域,更具体地说,涉及一种构建面向5g核心网的通过可解释人工智能进行主动流量防护的系统。
技术介绍
1、5g广泛应用、流量多是趋势,5g流量面临严重的安全威胁,核心网upf是其中的关键网元,需要对经过的恶意流量进行入侵检测(ids)并拦截。现有的检测方法主要采用深度学习技术(dl),但深度学习算法是黑盒存在可信性问题,异常排查定位时间、人力成本高,难以及时拦截的问题。可解释人工智能可以给出dl ids的依据,解决可信性的问题,解释结果为dl检测的规则,可以用进行异常定位,及时拦截。
2、5g广泛应用、流量多是趋势。5g网络用户面使用upf网元下沉、边缘计算等技术和方法,使其能够承载低时延、高带宽的流量数据,满足不同用户与垂直行业的定制化需求,因此5g网络流量将呈大规模增长,爱立信在发布的移动性报告中指出,2022年第二季度至第三季度,每月全球移动网络数据流量达到约108eb。流量增长的同时,数以亿计的不安全设备以及大量的节点连接形成的僵尸网络将造成更强大、更复杂,危害性更大的ddos流量攻击,对于垂直行业来说,用户面流量涉及大量控制、运营、维护等相关指令数据,一旦被攻击者利用,将导致生产控制紊乱、业务停摆等安全风险,因此亟需开展5g恶意网络流量防护技术研究。
3、深度学习技术(dl)。深度学习可以有效地检测恶意流量攻击引起的异常。5g网络中的流量具有长序列时间序列的特点,这会增加操作时间的复杂性,降低许多深度学习算法的检测性能。
4、
5、lstm作为一种特殊的rnn网络,主要是为了解决长序列训练过程中的梯度消失和梯度爆炸问题,在长时间序列分析中具有更好的表现,lstm是一种适合处理长时间序列数据的深度学习模型,具有保留长期记忆信息和丢弃无关信息的能力。它通过自我调节选择性地“忘记”或“记住”过去的信息来实现这一点,从而能够更好地处理长期依赖关系。
6、lstm考虑了远距离参数之间长期依赖的关系,使用细胞状态来取代了隐藏层中的神经元,每个细胞状态通过三种门来保护和控制,即遗忘门、输入门和输出门,其中遗忘门根据公式(1)控制需要丢弃的信息,输入门根据公式(2)确定需要更新的信息,输出门根据公式(3)用于更新细胞的状态,根据公式(4)表示细胞状态或长期记忆,根据公式(5)表示短期记忆,根据公式(6)表示候选态,xt表示当前输入,tanh表示双曲正切激活函数,σ表示sigmoid激活函数,lstm基本结构如图3所示。
7、lstm内部主要有三个阶段,分别为遗忘阶段,选择记忆阶段以及输出阶段,lstm的遗忘阶段是对上一节点传递的细胞状态ct-1中的信息进行选择性忘记,这一过程是通过遗忘门ft来实现的,使得ct-1中的每个值介于0到1之间,其中0表示完全丢弃,1表示完全保留。选择记忆阶段是将当前节点的输入进行选择性的记忆,该过程是通过输入门控it实现的,使得ct中的每个值同样介于0到1之间,将经过遗忘门ft和输入门的it相加即可得到下一阶段的长期记忆ct。输出阶段是控制哪些信息作为当前状态的输出,该过程首先使用tanh对当前细胞状态进行处理,得到一个介于-1到1之间的值,然后通过输出门ot相乘输出需要的信息。
8、ft=σ(wf[ht-1,xt]+bf) (1)
9、it=σ(wi[ht-1,xt]+bi) (2)
10、ot=σ(wo[ht-1,xt]+bo) (3)
11、
12、ht=ottanh(ct) (5)
13、
14、使用以上lstm的内部结构,通过门控单元控制传出的状态,使得需要长时间记忆的信息能够保留并丢弃不重要的信息,解决长时间序列的分析任务问题。
15、虽然基于lstm的异常检测有很多优点,但要理解lstm模型做出某些决定的原因也很有难度,这就给检测错误的故障排除带来了挑战,并降低了对相应入侵进行及时响应的信心。即5g流量经过lstm恶意流量检测后得到了流量分类结果及其概率,但lstm是机器学习模型,无法很好提供预测的解释,网络安全人员可能会拒绝使用他们不信任的机器学习系统,也可能会不信任没有提供解释的模型决策,ai系统需要提供清晰的解释。
16、现有的异常检测方法主要采用深度学习技术(dl),但深度学习算法通常是黑盒模型存在可信性问题,存在异常排查定位时间、人力成本高,难以及时拦截的问题。
17、可解释人工智能技术。可解释人工智能目前主流的解释方法有lime、shap、cam、cem、anchors、grad-cam和lore。这些方法中cam、grad-cam方式适合解释图像型输入数据,anchors、cem和lore方法适合解释文本型输入数据。针对图像型数据,解释模型通常可以给出dl算法做出判断结果的依据,即通过关注图形的某个区域所做出的判断结果,针对文本型数据,解释模型通常可以给出文本数据的某些字段对dl算法做出判断结果的积极或消极影响,但这些解释技术并不适用5g流量异常检测场景。lime、shap等主流的解释方法可用于解释表格型输入数据,但由于lime是种与解释模型无关的局部解释方法,解释局部样本数据可以及时的给出5g网络正常流量和恶意流量的解释结果,解决深度学习技术中异常排查定位时间不及时,成本较高的问题。
18、lime(local interpretable model-agnostic explanations)是一种解释分类器或回归器预测的算法,并且是一个与模型自身的无关的可解释方法,使用训练的局部代理模型来对单个样本进行解释,其核心思想是:首先向给定输入样例中添加轻微扰动,生成输入样例的一组近邻,然后将输入样例及其近邻输入到待解释模型中观察输出的变化,利用这种变化在原始输入中训练一个线性模型,如线性回归、决策树等,利用线性模型来局部近似待解释模型的预测,其中线性模型的权重系数直接体现为决策输入样例每一维特征的重要程度。
19、lime的数学表示如下:
20、explan本文档来自技高网...
【技术保护点】
1.一种基于可解释人工智能的5G流量异常检测及防护方法,其特征在于,
2.如权利要求1所述的基于可解释人工智能的5G流量异常检测及防护方法,其特征在于,步骤4包括:当该恶意IP数量低于预设值时,阻止该恶意IP地址连接到本地5G核心网络;当该恶意IP数量大于等于预设值时,本地5G核心网络只接受特定的连接,以允许与SSH或DHCPv6客户端等预定义服务相匹配的传入流量。
3.如权利要求1所述的基于可解释人工智能的5G流量异常检测及防护方法,其特征在于,步骤4包括:
4.如权利要求3所述的基于可解释人工智能的5G流量异常检测及防护方法,其特征在于,步骤4包括:
5.一种基于可解释人工智能的5G流量异常检测及防护系统,其特征在于,
6.如权利要求5所述的基于可解释人工智能的5G流量异常检测及防护系统,其特征在于,模块4包括:当该恶意IP数量低于预设值时,阻止该恶意IP地址连接到本地5G核心网络;当该恶意IP数量大于等于预设值时,本地5G核心网络只接受特定的连接,以允许与SSH或DHCPv6客户端等预定义服务相匹配的传入流量。p>
7.如权利要求5所述的基于可解释人工智能的5G流量异常检测及防护方法,其特征在于,模块4包括:
8.如权利要求7所述的基于可解释人工智能的5G流量异常检测及防护方法,其特征在于,模块4包括:
9.一种服务器,其特征在于,包括权利要求5-8所述的一种5G流量异常检测及防护装置。
10.一种存储介质,用于存储一种执行权利要求1-4所述5G流量异常检测及防护方法的计算机程序。
...【技术特征摘要】
1.一种基于可解释人工智能的5g流量异常检测及防护方法,其特征在于,
2.如权利要求1所述的基于可解释人工智能的5g流量异常检测及防护方法,其特征在于,步骤4包括:当该恶意ip数量低于预设值时,阻止该恶意ip地址连接到本地5g核心网络;当该恶意ip数量大于等于预设值时,本地5g核心网络只接受特定的连接,以允许与ssh或dhcpv6客户端等预定义服务相匹配的传入流量。
3.如权利要求1所述的基于可解释人工智能的5g流量异常检测及防护方法,其特征在于,步骤4包括:
4.如权利要求3所述的基于可解释人工智能的5g流量异常检测及防护方法,其特征在于,步骤4包括:
5.一种基于可解释人工智能的5g流量异常检测及防护系统,其特征在于,
6.如权利要求...
【专利技术属性】
技术研发人员:孙茜,田霖,路淼顺,党田滨,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。