關(guān)鍵詞：核心網(wǎng)；ResNet；LSTM；simpleCNN；異常檢測；自動(dòng)化

doi：10.3969/J.ISSN.1672-7274.2025.04.034

中圖分類號：TN929.53 文獻(xiàn)標(biāo)志碼：B 文章編碼：1672-7274（2025）04-0099-03

Abstract： With the rapid development of big data，cloud computing，artificial intellgence，and 5G technology， network applications have become increasingly widespread and convenient.By 2O24，the number of Internet users inthe World willreach6bilion，anincreaseof3.3billionover2014，and the Internet penetrationratehas reached 76% .This huge scale of internet users has brought a massive amount of online user traffc，including both normal and abnormal traffic.Therefore，the detection technologyof abnormal user trafc is crucial for improving network information security. As a mainstream core network equipment provider， ZTE is commited to providing innovative technologies and solutions for global telecommunications operators，consumers，and more.By combining ResNet （Residual Network），LSTM（Long Short Term Memory），and SimpleCNN（Simple Convolutional Neural Network） neural network models，ZTE has successfully achieved automated anomaly detection of user plane data streams， which is expected to provide some help for the digitization of core network delivery and operation.

Keywords： core network; ResNet; LSTM; simpleCNN; anomaly detection; automation

研究背景

動(dòng)化技術(shù)顯得尤為迫切。

在運(yùn)營商網(wǎng)絡(luò)中，移動(dòng)通信網(wǎng)絡(luò)占據(jù)了極為重要的地位[1-2]。移動(dòng)通信網(wǎng)絡(luò)由接入網(wǎng)、承載網(wǎng)和核心網(wǎng)三大部分組成，其中，核心網(wǎng)作為用戶數(shù)據(jù)和信令的承載者，在整個(gè)網(wǎng)絡(luò)中扮演控制大腦的角色，確保整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和服務(wù)質(zhì)量[3]。

然而，隨著某國網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶流量的激增，核心網(wǎng)用戶面數(shù)據(jù)流異常場景也日益復(fù)雜多樣（如單流上行或下行零流量、DNS域名欺詐、TTL欺詐等）。傳統(tǒng)的核心網(wǎng)異常用戶數(shù)據(jù)流檢測手段嚴(yán)重依賴人工分析，不僅效率低下，還存在誤報(bào)的問題。因此，研發(fā)一種能夠?qū)崿F(xiàn)用戶異常數(shù)據(jù)流精確檢測的自

2 理論模型

2.1殘差神經(jīng)網(wǎng)絡(luò)

殘差網(wǎng)絡(luò)（ResNet）是卷積神經(jīng)網(wǎng)絡(luò)CNN的變種，有效地解決了傳統(tǒng)CNN在訓(xùn)練過程中出現(xiàn)的梯度消失與爆炸、資源消耗過大以及過擬合等問題[4]。ResNet模型包含多個(gè)殘差塊。

在殘差網(wǎng)絡(luò)中，將目標(biāo)函數(shù)設(shè)定為 IN（X）=X+f（X） 其中， X 是輸入， f（χ） 為將兩層卷積層運(yùn)算后的結(jié)果。

不同于傳統(tǒng)的 N（x）=f（x） ，殘差網(wǎng)絡(luò)通過將輸入 ?X 直接短路到非線性層的輸出，實(shí)現(xiàn)了對輸入 ?X 的微小調(diào)整，最終使輸出 N（χ） 為輸入x和殘差 f（χ） 的疊加。

2.2長短期記憶網(wǎng)絡(luò)

長短期記憶網(wǎng)絡(luò)（LSTM）是一種特殊遞歸神經(jīng)網(wǎng)絡(luò)，特別適用于處理時(shí)間序列數(shù)據(jù)[5]。LSTM通過獲取、存儲和傳遞控制信息，有效解決了RNN常見的梯度消失或在網(wǎng)絡(luò)深度增大時(shí)爆炸的問題，從而在性能和穩(wěn)定性上有了顯著的提高。

LSTM網(wǎng)絡(luò)在RNN的基礎(chǔ)上增加了遺忘門、輸入門、輸出門三種方式來實(shí)現(xiàn)對數(shù)據(jù)的記憶功能。遺忘門可以選擇性地丟棄上一個(gè)細(xì)胞塊的信息，輸入門控制是否記錄新數(shù)據(jù)到細(xì)胞狀態(tài)中，輸出門決定是否輸出數(shù)據(jù)。具體的計(jì)算公式為

f_t=σ（W_f?[h_t-1，x_t]+b_f）

式中， f_t 和 h_t-1 分別表示遺忘門的門控系數(shù)和t-1時(shí)刻的隱藏層狀態(tài)； h_t-1 和 ∣x_t 是t時(shí)刻的輸入。

式中， i_t 和 O_t 分別表示輸入門和輸出門的門控系數(shù)。

式中， 是候選記憶單元，表示t時(shí)刻tanh層創(chuàng)建的候選值常量。

式中， C_t-1 為t-1時(shí)刻的記憶單元； C_t 為t時(shí)刻LSTM單元狀態(tài)。

h_t=O_t*tanh（C_t）

式中， h_t 是通過輸出門處理，最終輸出門決定保留的部分。

式（1）至式（6）中， W_f 7 W_f ！ W_O 是門控節(jié)點(diǎn)的權(quán)重值； b_f 、 b_i 、 b_O 表示門控節(jié)點(diǎn)的偏差值； W_C 和 b_C 分別是記憶單元的權(quán)重值和偏差值； σ 表示sigmoid函數(shù)。

2.3ResNet-LSTM-SimpleCNN集成模型

本文構(gòu)建了一個(gè)結(jié)合ResNet、LSTM和SimpleCNN的核心網(wǎng)用戶面異常數(shù)據(jù)流檢測模型。該模型首先利用ResNet提取數(shù)據(jù)流的原始特征，然后將這些特征向量輸入LSTM，LSTM細(xì)胞通過循環(huán)連接進(jìn)行長序列預(yù)測，通過輸出層生成預(yù)測結(jié)果。同時(shí)，原始數(shù)據(jù)還將通過SimpleCNN進(jìn)行訓(xùn)練和預(yù)測。最終，ResNet-LSTM模型的輸出與SimpleCNN的輸出相加，形成ResNet-LSTM-SimpleCNN集成模型的最終結(jié)果。集成模型的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

2.4模型評估

通常，使用準(zhǔn)確率（Accuracy）、精確率（Precision）、召回率（Recall）、Fl值（F1-score）以及損失收斂速度（Lossconvergence）來評估模型性能。這些指標(biāo)的計(jì)算基于以下指標(biāo)：TP（真正例）、FN（假負(fù)例）、FP（假正例）和TN（真負(fù)例）。具體的計(jì)算公式如下：

3 實(shí)驗(yàn)結(jié)果與分析

為驗(yàn)證本文提出的技術(shù)方案的有效性，我們進(jìn)行了詳細(xì)的實(shí)驗(yàn)。實(shí)驗(yàn)過程包括數(shù)據(jù)預(yù)處理、ResNet-LSTM-SimpleCNN模型訓(xùn)練、模型評估和異常檢測四個(gè)步驟，其具體步驟如下。

3.1數(shù)據(jù)預(yù)處理

首先從中興通訊核心網(wǎng)EMS + 產(chǎn)品中導(dǎo)出用戶數(shù)據(jù)流，每一條用戶數(shù)據(jù)流的信息包括時(shí)間、MSISDN、IMSI、源目IP、源目端口、總流量、上行流量、下行流量、持續(xù)時(shí)間、URL、Domain、DNSDomain、TTL等。根據(jù)典型異常場景，給用戶數(shù)據(jù)流打上正常/異常標(biāo)簽。讀取用戶數(shù)據(jù)流的信息和數(shù)據(jù)標(biāo)簽信息，對其中缺失的信息處理為-999，從而適應(yīng)模型的訓(xùn)練需求，同時(shí)避免因缺失值導(dǎo)致的錯(cuò)誤。把上述數(shù)據(jù)流和標(biāo)簽的數(shù)據(jù)類型處理成單精度浮點(diǎn)數(shù)數(shù)據(jù)類型，采用StandardScaler標(biāo)準(zhǔn)化器，對數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，使不同的特點(diǎn)尺度、范圍都是一樣的。

3.2模型訓(xùn)練

基于處理后數(shù)據(jù)，劃分訓(xùn)練集和測試集（ 80% 數(shù)據(jù)用于訓(xùn)練、 20% 數(shù)據(jù)用于測試），將訓(xùn)練集特征轉(zhuǎn)換為PyTorch張量，從而可以將其直接用于深度學(xué)習(xí)模型的訓(xùn)練和推理過程，將其類型轉(zhuǎn)換為浮點(diǎn)型，從而可以更好地支持計(jì)算過程中的梯度傳播。

對于ResNet-LSTM，包含一個(gè)ResNet層、一個(gè)LSTM層、一個(gè)一維批量歸一化層和一個(gè)全連接層。其中，一維批量歸一化層和全連接層主要用于規(guī)范LSTM的輸出和將LSTM的輸出映射到類別預(yù)測的數(shù)量。輸入數(shù)據(jù)首先由ResNet模型提取特征，將模型的輸出作為LSTM的輸入，對特征序列進(jìn)行建模。對LSTM的輸出進(jìn)行ReLU激活函數(shù)處理，加速模型的訓(xùn)練過程且減少過擬合，進(jìn)行維度置換操作（0，2，1），這一步操作將LSTM輸出中的維度進(jìn)行調(diào)整，交換batchsize和序列長度，以滿足批量規(guī)范化層的輸入要求。接著，對輸出進(jìn)行批量歸一化處理，加速模型訓(xùn)練且解決梯度消失問題，從而對深層神經(jīng)網(wǎng)絡(luò)進(jìn)行更好的訓(xùn)練。再次進(jìn)行維度置換（0，2，1）LSTM輸出，還原維度順序。最終，通過全鏈接層映射LSTM的輸出到類別預(yù)測數(shù)量，從而進(jìn)行分類任務(wù)的預(yù)測。全連接層提供了靈活性，并將其映射到特定數(shù)量的類別預(yù)測。這一步驟允許模型根據(jù)輸入數(shù)據(jù)的特征進(jìn)行分類，并輸出與問題相對應(yīng)的預(yù)測結(jié)果。

在集成模型中，ResNet-LSTM和SimpleCNN的輸出被簡單地相加起來，以產(chǎn)生最終的輸出。這樣做的目的是讓模型能夠從兩個(gè)不同的特征提取器中獲得信息，并結(jié)合它們的預(yù)測能力，以提高整體性能。

本文中的ResNet-LSTM結(jié)合模型適用于需要將網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)換為圖像特征并結(jié)合時(shí)序信息進(jìn)行異常檢測的場景，適合復(fù)雜的數(shù)據(jù)流分析。此外，集成模型能夠更全面地學(xué)習(xí)數(shù)據(jù)的特征信息，從而提高模型的表現(xiàn)和性能。

3.3模型評估

基于模型訓(xùn)練過程中產(chǎn)生的測試數(shù)據(jù)標(biāo)簽和訓(xùn)練過程中的損失，和EMS + 產(chǎn)品導(dǎo)出用戶數(shù)據(jù)流數(shù)據(jù)原標(biāo)簽進(jìn)行對比，計(jì)算準(zhǔn)確率、精確率、召回率、F1值、損失收斂速度。

對于Lossconvergence（損失收斂速度），模型訓(xùn)練過程中，每個(gè)epoch結(jié)束后，計(jì)算當(dāng)前epoch的訓(xùn)練loss的平均值，將當(dāng)前epoch的訓(xùn)練loss添加到loss_values列表中。最后，輸出當(dāng)前epoch的Lossconvergence，并保存4位小數(shù)。表1是基于不同數(shù)據(jù)集的性能評估結(jié)果。

3.4異常檢測

從中興通訊核心網(wǎng)EMS + 產(chǎn)品中導(dǎo)出待檢測的數(shù)據(jù)，待檢測數(shù)據(jù)可以是單一的csv文件或者多個(gè)csv文件壓縮的zip文件，在工具Web操作界面上導(dǎo)入打好數(shù)據(jù)標(biāo)簽的訓(xùn)練數(shù)據(jù)和待檢測數(shù)據(jù)，工具進(jìn)行自動(dòng)化訓(xùn)練和異常用戶數(shù)據(jù)流檢測，檢測的場景包括單流上行或下行零流量、DNS域名欺詐、TTL欺詐等。待工具檢測完成后，輸出包含異常場景的用戶數(shù)據(jù)流的csv文件報(bào)告。

4結(jié)束語

基于本項(xiàng)工作開發(fā)的智能化檢測工具，中興通訊為某國核心網(wǎng)的用戶面數(shù)據(jù)流的異常檢測提供了綜合解決方案。實(shí)驗(yàn)結(jié)果表明，相比于傳統(tǒng)方式，該方案具有如下優(yōu)勢：一是檢測精度高，基于CIC-IDS2017、CIC-IDS2018數(shù)據(jù)集和某國核心網(wǎng)EMS + 導(dǎo)出的數(shù)據(jù)，使用模型進(jìn)行檢測，結(jié)果顯示檢測數(shù)據(jù)的準(zhǔn)確度在 99% 以上；二是運(yùn)維效率高，本方案實(shí)現(xiàn)的網(wǎng)絡(luò)異常用戶數(shù)據(jù)流檢測，實(shí)現(xiàn)了自動(dòng)化檢測和分析，耗時(shí)從2h縮短至1min，使運(yùn)維效率提升到新的水平；三是運(yùn)維成本低，傳統(tǒng)的用戶面異常流量檢測依賴專家經(jīng)驗(yàn)，對網(wǎng)絡(luò)運(yùn)維人員的技術(shù)等級要求更高，而本方案可以實(shí)現(xiàn)自動(dòng)化檢測，降低對專家的依賴，從而降低運(yùn)維成本。未來，中興通訊將繼續(xù)與各大電信運(yùn)營商深度合作，提供更加高效、智能的網(wǎng)絡(luò)交付運(yùn)維工具，共同推動(dòng)網(wǎng)絡(luò)交付運(yùn)維的智能化進(jìn)程。

參考文獻(xiàn)

[1]傅淼.5G移動(dòng)通信網(wǎng)絡(luò)關(guān)鍵技術(shù)概述[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2018，008（005）：65-66.69

[2]顧靜.移動(dòng)通信運(yùn)營商互聯(lián)網(wǎng)業(yè)務(wù)內(nèi)控管理的研究[J].當(dāng)代會(huì)計(jì)，2022（6）：28-30.

[3]虞志剛，馮旭，黃照祥，陸洲.通信、網(wǎng)絡(luò)、計(jì)算融合的天地一體化信息網(wǎng)絡(luò)體系架構(gòu)研究[J].電信科學(xué)，2022，38（04）：11-29.

[4]王安義，王柯柯.基于ResNet的海洋環(huán)境下OFDM深度接收機(jī)研究[J].信息技術(shù)，2022，46（12）：6-11.

[5]程宇陽，周丙濤，施成熙.基于長短期記憶人工神經(jīng)網(wǎng)絡(luò)與SUMO仿真的交通信號燈配時(shí)優(yōu)化[J].科學(xué)技術(shù)創(chuàng)新，2021（26）：67-70.