摘 要： 針對5G網(wǎng)絡(luò)切片中的DoS和DDoS攻擊這一關(guān)鍵安全挑戰(zhàn)，研究了一種基于雙向長短期記憶網(wǎng)絡(luò)（Bi-LSTM）的攻擊檢測模型。該研究在模擬的5G切片平臺上收集和分析攻擊數(shù)據(jù)，揭示了現(xiàn)有方法在數(shù)據(jù)收集方面的不足，并在多個關(guān)鍵指標(biāo)上展現(xiàn)了顯著的相對增益。所提出的模型能夠高效處理大規(guī)模數(shù)據(jù)集，并展現(xiàn)出快速的收斂速度。實(shí)驗(yàn)結(jié)果表明，該模型在檢測準(zhǔn)確率方面達(dá)到了99%，顯著優(yōu)于現(xiàn)有方法。這一發(fā)現(xiàn)不僅證明了所提方案的先進(jìn)性，也對提升5G網(wǎng)絡(luò)切片的安全性具有重要的實(shí)際應(yīng)用價值。

關(guān)鍵詞： 5G網(wǎng)絡(luò)切片；DoS/DDoS攻擊；攻擊檢測模型；雙向長短期記憶網(wǎng)絡(luò)；數(shù)據(jù)分析

中圖分類號： TN915.08

文獻(xiàn)標(biāo)識碼： A" 文章編號： 2096-3998（2024）06-0046-10

收稿日期：2024-04-17" 修回日期：2024-05-30

*通信作者：張智斌（1965—），男，云南昆明人，副教授，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全。

引用格式：尹龍潤，張智斌.基于隨機(jī)森林與Bi-LSTM的5G網(wǎng)絡(luò)切片攻擊檢測模型[J].陜西理工大學(xué)學(xué)報（自然科學(xué)版），2024，40（6）：46-55.

隨著5G技術(shù)的發(fā)展，其高速傳輸、低延遲和廣泛的連接能力正重塑未來的通信網(wǎng)絡(luò)。網(wǎng)絡(luò)切片作為5G網(wǎng)絡(luò)的核心功能，可以在同一物理基礎(chǔ)設(shè)施上復(fù)用虛擬化邏輯網(wǎng)絡(luò)，提供多種垂直業(yè)務(wù)服務(wù)^[1]。在3GPP Release 16中，網(wǎng)絡(luò)切片成為重要組成部分^[2]，能夠支持具有不同服務(wù)質(zhì)量（QoS）需求的各類應(yīng)用，如物聯(lián)網(wǎng)（IoT）和機(jī)器類型通信（MTC）^[3]。然而，網(wǎng)絡(luò)切片面臨嚴(yán)重的安全威脅，特別是阻斷服務(wù)攻擊（Denial of Service Attack，DoS）和分布式阻斷服務(wù)攻擊（Distributed Denial of Service Attack，DDoS），這些攻擊可能嚴(yán)重影響網(wǎng)絡(luò)性能和服務(wù)可用性^[4]。

5G網(wǎng)絡(luò)切片面臨的安全問題主要包括：生命周期各階段的安全問題、片內(nèi)安全問題和切片間安全問題。惡意用戶設(shè)備（UE）可能在短時間內(nèi)發(fā)送大量數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)擁塞和服務(wù)中斷，即使攻擊未導(dǎo)致服務(wù)中斷，大量惡意流量也會引起網(wǎng)絡(luò)延遲和吞吐量下降^[5]。

盡管傳統(tǒng)網(wǎng)絡(luò)的DDoS攻擊檢測已有一些公開數(shù)據(jù)集，如CICDoS和CIC-DDoS2019^[6]，但關(guān)于5G網(wǎng)絡(luò)切片的DoS/DDoS攻擊檢測方法研究較少，特別是缺乏專門針對5G網(wǎng)絡(luò)切片環(huán)境的數(shù)據(jù)集。本研究通過構(gòu)建5G切片仿真平臺生成包含真實(shí)攻擊場景的數(shù)據(jù)集，提出了一種基于雙向長短期記憶網(wǎng)絡(luò)^[7]（bidirectional long short-term memory networks，Bi-LSTM）的DoS/DDoS攻擊檢測模型，并取得了良好效果。本文主要工作包括：

（1）使用Free5GC和UERANSIM建立5G切片仿真平臺^[8-9]；

（2）利用仿真平臺和Wireshark捕獲良性流量和DoS/DDoS攻擊流量的數(shù)據(jù)包^[10]；

（3）使用CICFlowMeter工具將數(shù)據(jù)包構(gòu)造成數(shù)據(jù)集^[11]；

（4）基于Bi-LSTM實(shí)現(xiàn)DoS/DDoS攻擊檢測模型，并對其進(jìn)行評估。

在DDoS攻擊檢測方面，早期研究多采用統(tǒng)計(jì)學(xué)、機(jī)器學(xué)習(xí)和密碼學(xué)方法。Ali等^[12]在SDN網(wǎng)絡(luò)中對比了SVM、KNN、DT、MLP和CNN的檢測效果，結(jié)合機(jī)器學(xué)習(xí)與深度學(xué)習(xí)的方法取得了更好效果。Novaes等^[13]提出了一種基于熵的方法，在防御SDN中的DDoS攻擊中效果顯著。Najar等^[14]采用不同類型的機(jī)器學(xué)習(xí)技術(shù)來檢測DDoS攻擊，其中隨機(jī)森林（Random Forest，RF）在訓(xùn)練和驗(yàn)證集上的準(zhǔn)確率分別達(dá)到了99.13%和97%。Anusuya等^[15]在SDN中使用KNN、SVM、DT和RF進(jìn)行數(shù)據(jù)預(yù)處理，發(fā)現(xiàn)隨機(jī)森林和決策樹算法效果更好。

隨著5G技術(shù)的發(fā)展，DDoS攻擊檢測在5G網(wǎng)絡(luò)中的應(yīng)用成為關(guān)鍵問題。Sattar等^[16]提出了基于切片隔離的數(shù)學(xué)模型，成功緩解了5G網(wǎng)絡(luò)中的DDoS攻擊。Thantharate等^[17-18]展示了基于大規(guī)模數(shù)據(jù)流量和僵尸網(wǎng)絡(luò)的DDoS攻擊，并提出了Secure5G模型，確保端到端安全。Aljebreen等^[19]在5G霧計(jì)算物聯(lián)網(wǎng)應(yīng)用中提出了MEOADL-ADC方法，用于分類5G網(wǎng)絡(luò)中的DDoS攻擊，確保5G網(wǎng)絡(luò)的穩(wěn)健防護(hù)。Kuadey等^[20]提出的DeepSecure框架模型，利用CIC-DDoS2019數(shù)據(jù)集有效檢測DDoS攻擊，并使用CNN模型進(jìn)行DDoS檢測，維護(hù)PRB的正常開銷^[21]。還有研究提出PACDS系統(tǒng)，通過DL模型在DDoS檢測中表現(xiàn)良好^[22]。

盡管已有多種DDoS攻擊檢測方法，包括基于報文特征、熵測量、切片隔離模型和深度學(xué)習(xí)，但大多數(shù)未針對5G網(wǎng)絡(luò)切片環(huán)境進(jìn)行優(yōu)化。由于5G切片網(wǎng)絡(luò)對物理資源的高要求和復(fù)雜性，現(xiàn)有方法可能無法充分捕捉和分析該環(huán)境下的DDoS攻擊特征。本研究提出的基于Bi-LSTM的DDoS攻擊檢測模型，能夠更有效地處理5G網(wǎng)絡(luò)切片中的時間序列數(shù)據(jù)，捕捉長期依賴性和復(fù)雜的時間動態(tài)，通過在5G仿真環(huán)境中收集真實(shí)數(shù)據(jù)集，確保檢測的準(zhǔn)確性和效率，為5G網(wǎng)絡(luò)的安全防護(hù)提供了新視角和解決方案。

1 仿真環(huán)境設(shè)計(jì)與數(shù)據(jù)收集

1.1 實(shí)驗(yàn)場景

虛擬機(jī)（Virtual Machine）：實(shí)驗(yàn)采用三臺運(yùn)行Ubuntu 20.04（內(nèi)核版本5.15.0-72-generic）的虛擬機(jī)，每臺具有唯一IP地址。一臺部署Free5GC核心網(wǎng)絡(luò)，其余兩臺生成接入切片網(wǎng)絡(luò)的UE。

仿真平臺：選擇Free5GC和UERANSIM作為仿真平臺，因?yàn)樗鼈兌际亲裱?GPP標(biāo)準(zhǔn)的開源軟件，確保了仿真環(huán)境與真實(shí)5G網(wǎng)絡(luò)的一致性，并支持最新的5G技術(shù)（如核心接入和移動性管理、會話管理等），適合研究5G技術(shù)和安全挑戰(zhàn)。

啟動Free5GC核心網(wǎng)絡(luò)后，實(shí)現(xiàn)5G網(wǎng)絡(luò)功能的服務(wù)化架構(gòu)^[2]，如圖1所示。其中各模塊含義：UE為用戶設(shè)備（由UERANSIM模擬），（R）AN為無線接入網(wǎng)絡(luò)，DN為數(shù)據(jù)網(wǎng)絡(luò)；核心網(wǎng)網(wǎng)元功能如下：AMF（接入和移動性管理）注冊、連接、可達(dá)性、移動性管理和認(rèn)證，SMF會話管理和IP分配/管理，UPF（用戶平面）支持多UPF和ULCL、負(fù)責(zé)數(shù)據(jù)包路由/轉(zhuǎn)發(fā)和SSC模式，AUSF網(wǎng)絡(luò)認(rèn)證服務(wù)，NRF（網(wǎng)絡(luò)功能倉儲）網(wǎng)絡(luò)功能發(fā)現(xiàn)和注冊，UDM（統(tǒng)一數(shù)據(jù)管理）用戶數(shù)據(jù)管理，UDR（統(tǒng)一數(shù)據(jù)倉庫）存儲用戶數(shù)據(jù)、PCF網(wǎng)絡(luò)策略和計(jì)費(fèi)控制，NSSF網(wǎng)絡(luò)切片選擇和管理，N3IWF（網(wǎng)絡(luò)互連）確保各種網(wǎng)絡(luò)設(shè)備的覆蓋^[2]。

1.2 網(wǎng)絡(luò)切片生成及組網(wǎng)過程

（1）網(wǎng)絡(luò)切片創(chuàng)建：在Free5GC平臺上，定義和創(chuàng)建網(wǎng)絡(luò)切片，分配帶寬、存儲和計(jì)算資源，確保滿足服務(wù)要求。

（2）使用UERANSIM配置模擬的UE設(shè)備，包括它們的身份、功能以及要連接的特定切片。UE通過UERANSIM模擬連接到特定的5G切片，進(jìn)行數(shù)據(jù)傳輸和通信。

在UE注冊過程中，網(wǎng)元間的通信包括：（R）AN發(fā)送N2消息至AMF，AMF調(diào)用AUSF進(jìn)行UE認(rèn)證，AUSF請求UDM獲取認(rèn)證和用戶數(shù)據(jù)，AMF訪問PCF獲取策略數(shù)據(jù)，UDM和PCF訪問UDR獲取數(shù)據(jù)庫信息

PDU會話建立過程中，各網(wǎng)元間的通信操作包括：UE向AMF發(fā)送NAS（非接入層）消息，AMF向SMF發(fā)送Nsmf_PDUSession的請求，以創(chuàng)建或更新會話的狀態(tài)信息，SMF運(yùn)用Nudm_UECM_Registration信息向UDM注冊，SMF與PCF根據(jù)PCF制定的會話管理策略（一組控制設(shè)備和網(wǎng)絡(luò)間數(shù)據(jù)傳輸會話的規(guī)則或政策）進(jìn)行交互，SMF向UPF發(fā)送N4會話建立或修改請求，UDM和PCF訪問UDR以獲取數(shù)據(jù)庫中的數(shù)據(jù)。部署并啟動所有服務(wù)后，可以通過UE注冊獲得仿真后的Free5GC平臺組網(wǎng)圖，詳細(xì)信息如圖2所示。

（3）UE注冊與接入：通過執(zhí)行命令build/nr-gnb-c config/free5gc-gnb.yaml，UERANSIM根據(jù)配置文件啟動UE實(shí)例。模擬的UE依據(jù)配置文件中的S-NSSAI信息嘗試與特定網(wǎng)絡(luò)切片（如eMBB或URLLC）建立連接。連接嘗試開始后，AMF啟動認(rèn)證程序驗(yàn)證連接請求的合法性。認(rèn)證成功后，AMF完成UE的注冊過程，允許其接入網(wǎng)絡(luò)。最終，如圖3、圖4所示，網(wǎng)絡(luò)接口被成功創(chuàng)建，表明UE已成功注冊至5G網(wǎng)絡(luò)，并被分配到特定網(wǎng)絡(luò)切片，獲取IP配置以進(jìn)行數(shù)據(jù)傳輸。

（4）網(wǎng)絡(luò)切片性能評估：在成功部署5G網(wǎng)絡(luò)切片并確保其符合既定服務(wù)質(zhì)量（QoS）標(biāo)準(zhǔn)后，對其性能進(jìn)行細(xì)致評估。為此，采用iperf網(wǎng)絡(luò)性能測量工具，專注于量化網(wǎng)絡(luò)的吞吐量。由圖5可知，仿真環(huán)境已經(jīng)顯示出5G網(wǎng)絡(luò)切片在吞吐量方面的性能，在傳輸4.26 GB數(shù)據(jù)時達(dá)到3.66 Gbit/s的高帶寬，滿足了絕大多數(shù)5G應(yīng)用場景需求。鑒于UERANSIM的配置文件（free5gc-gnb.yaml）被設(shè)置為eMBB模式，這一帶寬水平意味著網(wǎng)絡(luò)能夠無縫支持高清視頻流、大規(guī)模數(shù)據(jù)傳輸及其他需要高帶寬的應(yīng)用。

結(jié)合圖4的數(shù)據(jù)，從UE到目標(biāo)服務(wù)器的平均往返延遲（RTT）維持在36.3～38.4 ms之間。這一延遲水平已符合eMBB切片的服務(wù)質(zhì)量標(biāo)準(zhǔn)（吞吐量達(dá)到數(shù)GB、延遲50 ms以內(nèi)）^[23]。

1.3 數(shù)據(jù)集創(chuàng)建

1.3.1 網(wǎng)絡(luò)切片流量設(shè)計(jì)

如圖6所示，5G切片環(huán)境下的DDoS檢測實(shí)驗(yàn)由slice1和slice2兩張切片組成。實(shí)驗(yàn)環(huán)境使用6臺虛擬機(jī)，每臺內(nèi)存2 048 MB、處理器2個、存儲空間20 GB。環(huán)境包括用戶設(shè)備（UE1到UE6）、5G新無線接入網(wǎng)（gNB）、兩個服務(wù)器（Server1和Server2）和5G核心網(wǎng)絡(luò)（5GC）。5GC由AMF、SMF1、SMF2和UPF1、UPF2等網(wǎng)絡(luò)功能實(shí)現(xiàn)，IP地址為192.168.23.157，作為控制中心。

Server1和Server2的IP地址分別為192.168.23.147和192.168.23.137，作為正常流量和DDoS流量的目標(biāo)節(jié)點(diǎn)。通過區(qū)分虛線表示的攻擊流量和實(shí)線表示的正常流量，衡量DDoS檢測模型的效果。

結(jié)合圖6，正常流量由用戶設(shè)備（UE5、UE6）通過UPF1、UPF2發(fā)起，模擬增強(qiáng)型移動寬帶（eMBB）場景的典型用戶行為。設(shè)計(jì)了以下通信活動：高速互聯(lián)網(wǎng)訪問、郵件傳輸、大文件下載上傳和文件復(fù)制。每個用戶設(shè)備通過gNB連接到5GC，并路由到相應(yīng)服務(wù)器。

在5G網(wǎng)絡(luò)中，攻擊可分為控制面攻擊和用戶面攻擊?？刂泼婀翎槍W(wǎng)絡(luò)信令和控制消息，用戶面攻擊針對傳輸用戶數(shù)據(jù)的部分。仿真實(shí)驗(yàn)中，設(shè)計(jì)了用戶面攻擊以測試網(wǎng)絡(luò)的安全防護(hù)和高強(qiáng)度惡意流量的響應(yīng)性能。使用UE和hping3工具向核心網(wǎng)虛擬機(jī)執(zhí)行攻擊，旨在造成網(wǎng)絡(luò)擁塞，影響正常用戶數(shù)據(jù)傳輸。具體的攻擊方法見表1。

1.3.2 數(shù)據(jù)流量收集

使用CICFlowMeter^[11]工具，將wireshark采集到的pcap文件轉(zhuǎn)換為csv文件。與傳統(tǒng)DDoS數(shù)據(jù)集相比，除了插入名為“Slice”的特征外，還新增了10個特征，包括流量持續(xù)時間、目標(biāo)IP、目標(biāo)端口、前向數(shù)據(jù)包長度標(biāo)準(zhǔn)偏差、源IP、源端口、ACK標(biāo)志計(jì)數(shù)、協(xié)議類型、前向總數(shù)據(jù)包量、前向最小分段大小。所得csv文件包含84個流量特性，在100 000條記錄中，正常流量占50%，5種混合攻擊流量共占50%。

2 基于隨機(jī)森林與Bi-LSTM的檢測模型研究

2.1 模型設(shè)計(jì)

對收集到的數(shù)據(jù)集進(jìn)行如下處理，以確保數(shù)據(jù)一致性和提升模型對時間序列數(shù)據(jù)的處理能力。

標(biāo)簽轉(zhuǎn)換：將“Attack/Normal”標(biāo)簽轉(zhuǎn)化為數(shù)值類型，Attack為1，Normal為0；時間戳規(guī)范：利用Python的datetime函數(shù)計(jì)算每個時間戳與基準(zhǔn)時間戳的差值，并生成時間序列特征；異常值處理：處理數(shù)據(jù)集中的“Flow Pks/s”和“Flow Bytes/s”特征，這兩個特征中存在部分“inf”值，這種現(xiàn)象是由于在數(shù)據(jù)傳輸中遇到時間間隔接近0秒的情況導(dǎo)致的，使用縮放技術(shù)將“inf”值轉(zhuǎn)換為正常值。

結(jié)合隨機(jī)森林的特征選擇能力與雙向長短期記憶網(wǎng)絡(luò)（Bi-LSTM）的動態(tài)學(xué)習(xí)能力，提出基于隨機(jī)森林和Bi-LSTM的DDoS攻擊檢測算法。隨機(jī)森林使用袋外數(shù)據(jù)（Out of Bag，OOB）錯誤率篩選最具預(yù)測價值的特征，減少模型復(fù)雜性并提高對關(guān)鍵攻擊特征的關(guān)注度；Bi-LSTM捕獲長期依賴信息，有效識別復(fù)雜網(wǎng)絡(luò)行為中的攻擊模式，從而準(zhǔn)確檢測DDoS攻擊。具體步驟如圖7所示。

如圖7所示的DDoS攻擊檢測模型結(jié)合了隨機(jī)森林的特征選擇能力和Bi-LSTM的時序分析優(yōu)勢^[24]，預(yù)期能實(shí)現(xiàn)高準(zhǔn)確率和高召回率的DDoS攻擊實(shí)時檢測。通過不斷優(yōu)化模型參數(shù)，算法能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境和攻擊模式，有效提升DDoS檢測能力，因此RF+Bi-LSTM在面對5G網(wǎng)絡(luò)的特性時具有以下優(yōu)勢：

（1）提高魯棒性：結(jié)合兩種模型可以增強(qiáng)檢測模型的魯棒性，即使在動態(tài)和復(fù)雜的網(wǎng)絡(luò)環(huán)境中也能保持較高的檢測準(zhǔn)確率。

（2）強(qiáng)化對動態(tài)行為的識別：結(jié)合使用兩種方法可以更好地處理5G切片網(wǎng)絡(luò)的動態(tài)和復(fù)雜特性。隨機(jī)森林強(qiáng)化了模型對特征的理解和選擇，而Bi-LSTM加強(qiáng)了對時間序列數(shù)據(jù)中動態(tài)行為模式的捕捉能力。

2.2 仿真驗(yàn)證

2.2.1 特征提取與模型性能評估

隨機(jī)森林的OOB特性用于評估每個特征的重要性分?jǐn)?shù)。通過在模型訓(xùn)練過程中保留未使用的OOB樣本，并在這些樣本上評估模型性能，可以量化每個特征在未見數(shù)據(jù)上的預(yù)測貢獻(xiàn)。

具體而言，首先記錄包含該特征時隨機(jī)森林模型在OOB樣本上的預(yù)測誤差作為基線。然后，隨機(jī)打亂該特征在OOB樣本中的值，保持其他特征不變，再次計(jì)算模型預(yù)測誤差。特征的重要性分?jǐn)?shù)由打亂特征前后OOB預(yù)測誤差的變化量確定，變化量越大，表明該特征對模型預(yù)測性能越重要。

變量Xj在第i棵樹中的置換重要性VIMij^（OOB）通過以下過程計(jì)算：（1）使用隨機(jī)抽取的訓(xùn)練自助樣本構(gòu)建樹，并計(jì)算袋外數(shù)據(jù)的預(yù)測錯誤率作為基線；（2）隨機(jī)打亂變量Xj的值，再次計(jì)算OOB數(shù)據(jù)的預(yù)測錯誤率；（3）計(jì)算打亂前后OOB預(yù)測錯誤率的差異，作為該樹中變量Xj的置換重要性：

VIMij^（OOB）=1nio[niop=1I（Yp=Yip）-niop=1I（Yp=Yip，πj）]，

其中nio表示第i棵樹OOB數(shù)據(jù)中的觀測樣本數(shù)量；I（g）是指示函數(shù)，當(dāng)兩個值相等時取值為1，不等時取值為0；Yp表示第p個觀測的真實(shí)結(jié)果；Yip是隨機(jī)置換前第i棵樹對OOB數(shù)據(jù)的預(yù)測結(jié)果；Yip，πj是隨機(jī)置換后第i棵樹對OOB數(shù)據(jù)的預(yù)測結(jié)果。若變量j沒有在第i棵樹中出現(xiàn)，則VIMij^（OOB）=0。

變量Xj在整個隨機(jī)森林中的置換重要性VIMj^（OOB）是所有樹中置換重要性VIMij^（OOB）的平均值：

VIM^（OOB）j=1nni=1VIM^i（OOB）j，

其中n表示隨機(jī)森林中分類樹的總數(shù)。這個平均值反映了變量Xj在整體預(yù)測中的重要性，特別是其值被隨機(jī)置換后對預(yù)測錯誤率的影響。

為進(jìn)一步展現(xiàn)OOB錯誤率與特征重要性閾值的關(guān)系，圖8展示了在實(shí)際數(shù)據(jù)集上應(yīng)用隨機(jī)森林模型時，OOB錯誤率如何跟隨特征重要性閾值的調(diào)整而變化。圖中，橫坐標(biāo)表示特征重要性閾值從0到0.06的變化，縱坐標(biāo)表示OOB錯誤率的變化。實(shí)線條表示OOB錯誤率隨特征重要性閾值的變化趨勢，虛線表示當(dāng)閾值為0.01時，OOB錯誤率最低。此時模型去除了不重要的特征，保留了對預(yù)測性能最重要的特征，達(dá)到了模型復(fù)雜度和性能的最佳平衡。

選擇0.01作為特征重要性閾值，確保了模型性能和復(fù)雜度的平衡，減少了過擬合和欠擬合的風(fēng)險。通過觀察OOB錯誤率在不同閾值下的變化，并選擇錯誤率最小的點(diǎn)，最終得到一個包含21個重要特征的精簡數(shù)據(jù)集，這些特征對DDoS攻擊檢測最有影響。

在Bi-LSTM訓(xùn)練過程中采用隨機(jī)森林算法優(yōu)化后的數(shù)據(jù)集進(jìn)行，經(jīng)過訓(xùn)練后的模型使用準(zhǔn)確率（Accuracy）、檢測率（Precision）、召回率（Recall）和F1分?jǐn)?shù)進(jìn)行性能評估。TP（True Positives）為正確檢測到的DDoS攻擊次數(shù)，TN（True Negatives）為正確識別為正常流量的次數(shù)，F(xiàn)P（False Positives）為錯誤地將正常流量標(biāo)記為DDoS攻擊的次數(shù)（誤報），F(xiàn)N（False Negatives）為未檢測到的實(shí)際DDoS攻擊次數(shù)（漏報）。在訓(xùn)練過程中，使用Adam優(yōu)化器進(jìn)行參數(shù)更新及學(xué)習(xí)率調(diào)整，其結(jié)合動量進(jìn)行參數(shù)更新的公式為

mt=β1mt-1+（1-β1）gt，

vt=β2vt-1+（1-β2）g2t，

式中，mt和vt分別是第t個時間步的一階矩估計(jì)（動量）和二階矩估計(jì)（動量的平方），t是當(dāng)前的時間步數(shù)，β1是一階矩動量的衰減率，通常取值0.9，β2是二階矩動量的衰減率，通常取值0.999，gt是當(dāng)前時間步的梯度。之后對矩動量進(jìn)行修正：

t=mt1-βt1，" t=vt1-βt2，

式中，t與t分別是第t個時間步的一階與二階矩估計(jì)的偏差修正值。通過偏差修正，消除了初期偏向零的影響，使得動量估計(jì)更加準(zhǔn)確，同時確保了在優(yōu)化初期二階矩估計(jì)更加準(zhǔn)確，最后更新第t個時間步的參數(shù)值θt：

θt=θt-1-α·tt+ε。

將一階矩除以二階矩的平方根，使用學(xué)習(xí)率α對前一步得到的值進(jìn)行縮放，使用得到的結(jié)果對當(dāng)前的參數(shù)進(jìn)行更新，ε是一個小常數(shù)，避免計(jì)算出現(xiàn)除零錯誤。對于二分類問題，使用交叉熵?fù)p失函數(shù)計(jì)算模型的損失，公式為

L=-（ylnp+（1-y）ln（1-p）），

其中，y是真實(shí)標(biāo)簽，p是預(yù)測為正樣本的概率。當(dāng)y=1（正類）時，損失函數(shù)變?yōu)?lnp。如果預(yù)測p接近1，損失接近0，表示模型預(yù)測準(zhǔn)確；如果預(yù)測p接近0，那么損失將會變大，表示模型預(yù)測不準(zhǔn)確。為探究檢測模型性能，使用驗(yàn)證集對訓(xùn)練過程中準(zhǔn)確率變化與損失率變化進(jìn)行驗(yàn)證，驗(yàn)證結(jié)果如圖9所示。

結(jié)合圖9，圖中曲線表明模型訓(xùn)練過程中沒有發(fā)現(xiàn)明顯的過擬合或欠擬合問題，模型的學(xué)習(xí)速率設(shè)置得當(dāng)，訓(xùn)練周期足夠讓模型學(xué)習(xí)到數(shù)據(jù)中的模式，模型其余參數(shù)設(shè)定見表2。

2.2.2 對比驗(yàn)證與結(jié)果分析

使用前文收集到的數(shù)據(jù)集進(jìn)行結(jié)果驗(yàn)證，基于1.3.2中共收集到十萬條數(shù)據(jù)，為了確保數(shù)據(jù)集中正常流量與攻擊流量之間的平衡，數(shù)據(jù)集由五萬條正常流量數(shù)據(jù)與五萬條攻擊數(shù)據(jù)組成。在數(shù)據(jù)集的劃分上，將80%的數(shù)據(jù)用作訓(xùn)練集，以訓(xùn)練和優(yōu)化DDoS攻擊檢測模型；剩余的20%則作為測試集，其中隨機(jī)森林對整個數(shù)據(jù)集進(jìn)行特征提取后的熱力變化圖如圖10、圖11所示。

對比實(shí)驗(yàn)?zāi)Ｐ桶↘NN、RF、LSTM和Bi-LSTM。為了確?？杀刃?，將LSTM與Bi-LSTM模型的訓(xùn)練參數(shù)設(shè)置與本文所用模型相同，學(xué)習(xí)率設(shè)為0.01，訓(xùn)練輪次一致。實(shí)驗(yàn)結(jié)果見表3。

為驗(yàn)證模型檢測DDoS攻擊性能，采用CICIDS2019數(shù)據(jù)集^[6]。該數(shù)據(jù)集由加拿大信息安全研究中心提供，包含431 371條數(shù)據(jù)及80種特征，模擬了多種類型的網(wǎng)絡(luò)活動和惡意攻擊。對比結(jié)果見表4。

結(jié)合表3與表4可以得出，通過在不同數(shù)據(jù)集上進(jìn)行的DDoS攻擊檢測實(shí)驗(yàn)，RF+Bi-LSTM模型顯示出了顯著的高性能。特別是在仿真切片數(shù)據(jù)集上，模型展現(xiàn)了99.38%的準(zhǔn)確率和99.41%的F1分?jǐn)?shù)，遠(yuǎn)超傳統(tǒng)的KNN和RF模型。此外，即便在復(fù)雜的CIC-IDS2019數(shù)據(jù)集上，模型依然維持了99%以上的準(zhǔn)確率。這些結(jié)果表明，RF+Bi-LSTM模型在精確識別和響應(yīng)DDoS攻擊方面具有強(qiáng)大潛力。

3 結(jié)束語

本研究利用Free5GC和UERANSIM構(gòu)建5G網(wǎng)絡(luò)切片平臺，注入良性流量和DoS/DDoS攻擊流量，通過Wireshark和CICFlowMeter工具收集并處理數(shù)據(jù)，用于評估檢測模型。我們使用滑動窗口將數(shù)據(jù)集切分為固定間隔的子序列，并提取特征變化。利用隨機(jī)森林的基尼指數(shù)提取重要特征，將特征子序列輸入Bi-LSTM模型進(jìn)行訓(xùn)練，分析序列數(shù)據(jù)的前后關(guān)系，檢測準(zhǔn)確率達(dá)到99.38%。通過比較不同的DoS/DDoS攻擊檢測算法，驗(yàn)證了基于Bi-LSTM的檢測模型性能優(yōu)越。結(jié)果表明，該方法為5G網(wǎng)絡(luò)切片的DoS/DDoS攻擊檢測提供了一種有效手段，期望其能提高5G網(wǎng)絡(luò)切片的安全性和穩(wěn)定性。

未來的研究應(yīng)針對更復(fù)雜的攻擊模式和不同的網(wǎng)絡(luò)環(huán)境對模型進(jìn)行優(yōu)化和調(diào)整。進(jìn)一步擴(kuò)展研究，探索更多攻擊檢測方法，豐富數(shù)據(jù)集，以全面評估和提升模型性能。此外，研究如何將這些檢測方法應(yīng)用于實(shí)際5G網(wǎng)絡(luò)環(huán)境，以增強(qiáng)5G網(wǎng)絡(luò)的安全防護(hù)能力。

［ 參 考 文 獻(xiàn) ］

[1] CHIRIVELLA-PEREZ E，SALVA-GARCIA P，SANCHEZ-NAVARRO I，et al.E2E network slice management framework for 5G multi-tenant networks[J].Journal of Communications and Networks，2023，13（5）：173.

[2] ANON.3gpp Specifications and Technologies：Release 16[EB/OL].（2020-07-03）[2024-03-24].https：//www.3gpp.org/specifications-technologies/releases/release-16.

[3] ZHANG Shunliang.An overview of network slicing for 5G[J].IEEE Wireless Communications，2019，26（3）：111-117.

[4] OLIMID R F，NENCIONI G.5G network slicing：A security overview[J].IEEE Access，2020，8：99999-100009.

[5] ALWIS de C，PORAMBAGE P，DEV K，et al.A Survey on Network Slicing Security：Attacks，Challenges，Solutions and Research Directions[J].IEEE Communications Surveys amp; Tutorials，2024，26（1）：534-570.

[6] SHARAFALDIN I，LASHKARI A H，HAKAK S，et al.Developing realistic distributed denial of service （DDoS） attack dataset and taxonomy[C]//2019 International Carnahan Conference on Security Technology，2019：1-8.

[7] BOUSALEM B，SILVA V F，LANGAR R，et al.Deep learning-based approach for ddos attacks detection and mitigation in 5g and beyond mobile networks[C]//2022 IEEE 8th International Conference on Network Softwarization，2022：228-230.

[8] ANON.What is free5GC？[EB/OL].（2022-06-20）[2024-03-24].https：//www.free5gc.org/.

[9] ANON.UERANSIM[EB/OL].（2022-05-27）[2024-03-24].https：//github.com/aligungr/UERANSIM/.

[10] LI J H，CAO X D，GUO S L，et al.5GC Network and MEC UPF Data Collection Scheme Research[C]//2021 International Conference on Information and Communication Technologies for Disaster Management，2021：80-85.

[11] ANON.Applications Canadian Institute for Cybersecurity[EB/OL].（2022-07-28）[2024-03-24].https：//www.unb.ca/cic/research/applications.html.

[12] ALI T E，CHONG Y W，MANICKAM S.Comparison of ML/DL Approaches for Detecting DDoS Attacks in SDN[J].Applied Sciences，2023，13（5）：3033.

[13] NOVAES M P，CARVALHO L F，LLORET J，et al.Long short-term memory and fuzzy logic for anomaly detection and mitigation in software-defined network environment[J].IEEE Access，2020，8：83765-83781.

[14] NAJAR A A，MANOHAR N S.DDoS attack detection using MLP and Random Forest Algorithms[J].International Journal of Information Technology，2022，14（5）：2317-2327.

[15] ANUSUYA R，PRABHU M R，PRATHIMA C，et al.Detection of TCP，UDP and ICMP DDOS attacks in SDN Using Machine Learning approach[J].Journal of Survey in Fisheries Sciences，2023，10（S4）：964-971.

[16] SATTAR D，MATRAWY A.Towards secure slicing：Using slice isolation to mitigate DDoS attacks on 5G core network slices[C]//2019 IEEE Conference on Communications and Network Security，2019：82-90.

[17] THANTHARATE A，PAROPKARI R，WALUNJ V，et al.DeepSlice：A deep learning approach towards an efficient and reliable network slicing in 5G networks[C]//2019 IEEE 10th Annual Ubiquitous Computing，Electronics amp; Mobile Communication Conference，2019：762-767.

[18] THANTHARATE A，PAROPKARI R，WALUNJ V，et al.Secure5G：A deep learning framework towards a secure network slicing in 5G and beyond[C]//2020 10th annual computing and communication workshop and conference，2020：852-857.

[19] ALJEBREEN M，ALRAYES F S，MARAY M，et al.Modified Equilibrium Optimization Algorithm With Deep Learning-Based DDoS Attack Classification in 5G Networks[J].IEEE Access，2023，11：108561-108570.

[20] KUADEY N A E，MAALE G T，KWANTWI T，et al.DeepSecure： Detection of distributed denial of service attacks on 5G network slicing—Deep learning approach[J].IEEE Wireless Communications Letters，2021，11（3）：488-492.

[21] BOUSALEM B，SILVA V F，LANGAR R，et al.DDos attacks detection and mitigation in 5g and beyond networks：A deep learning-based approach[C]//GLOBECOM 2022 IEEE Global Communications Conference，2022：1259-1264.

[22] MAJEED A，ALNAJIM A M，WASEEM A，et al.Deep Learning-Based Symptomizing Cyber Threats Using Adaptive 5G Shared Slice Security Approaches[J].Future Internet，2023，15（6）：193.

[23] KHAN M S，F(xiàn)ARZANEH B，SHAHRIAR N，et al.SliceSecure：Impact and Detection of DoS/DDoS Attacks on 5G Network Slices[C]//2022 IEEE Future Networks World Forum，2022：639-642.

[24] ZHANG Y，LIU Y，GUO X，et al.A Bi-LSTM-Based DDoS Attack Detection Method for Edge Computing[J].Energies，2022，15（21）：7882.

[25] WHITWORTH H，AL-RUBAYE S，TSOURDOS A，et al.5G Aviation Networks Using Novel AI Approach for DDoS Detection[J].IEEE Access，2023，11：77518-77542.

［責(zé)任編輯：謝 平］

Research on 5G network slicing attack detection model based on random forest and Bi-LSTM

YIN Longrun， ZHANG Zhibin

Faculty of Information Engineering and Automation， Kunming University of Science and Technology， Kunming 650504， China

Abstract： In addressing the key security challenges of denial of service （DoS） and distributed denial of service （DDoS） attacks in 5G network slicing， this study explores a detection model based on bidirectional long short-term memory networks （Bi-LSTM）. The research involved collecting and analyzing attack data on a simulated 5G slicing platform， revealing inadequacies in data collection of existing methods and demonstrating significant relative gains across multiple key metrics. The proposed model efficiently processes large-scale datasets and shows rapid convergence speed. Experimental results indicate that the model achieves a detection accuracy rate of 99%， significantly surpassing existing methods. These findings not only prove the advanced nature of the proposed approach but also hold substantial practical application value in enhancing the security of 5G network slicing.

Key words： 5G network slicing; denial of service attacks; attack detection model; bidirectional long short-term memory networks（Bi-LSTM）; data analysis