基于隨機森林與Bi-LSTM的5G網(wǎng)絡(luò)切片攻擊檢測模型

摘 要： 針對5G網(wǎng)絡(luò)切片中的DoS和DDoS攻擊這一關(guān)鍵安全挑戰(zhàn)，研究了一種基于雙向長短期記憶網(wǎng)絡(luò)（Bi-LSTM）的攻擊檢測模型。該研究在模擬的5G切片平臺上收集和分析攻擊數(shù)據(jù)，揭示了現(xiàn)有方法在數(shù)據(jù)收集方面的不足，并在多個關(guān)鍵指標上展現(xiàn)了顯著的相對增益。所提出的模型能夠高效處理大規(guī)模數(shù)據(jù)集，并展現(xiàn)出快速的收斂速度。實驗結(jié)果表明，該模型在檢測準確率方面達到了99%，顯著優(yōu)于現(xiàn)有方法。這一發(fā)現(xiàn)不僅證明了所提方案的先進性，也對提升5G網(wǎng)絡(luò)切片的安全性具有重要的實際應(yīng)用價值。

關(guān)鍵詞： 5G網(wǎng)絡(luò)切片；DoS/DDoS攻擊；攻擊檢測模型；雙向長短期記憶網(wǎng)絡(luò)；數(shù)據(jù)分析

中圖分類號： TN915.08

文獻標識碼： A" 文章編號： 2096-3998（2024）06-0046-10

收稿日期：2024-04-17" 修回日期：2024-05-30

*通信作者：張智斌（1965—），男，云南昆明人，副教授，主要研究方向為計算機網(wǎng)絡(luò)安全。

引用格式：尹龍潤，張智斌.基于隨機森林與Bi-LSTM的5G網(wǎng)絡(luò)切片攻擊檢測模型[J].陜西理工大學學報（自然科學版），2024，40（6）：46-55.

隨著5G技術(shù)的發(fā)展，其高速傳輸、低延遲和廣泛的連接能力正重塑未來的通信網(wǎng)絡(luò)。網(wǎng)絡(luò)切片作為5G網(wǎng)絡(luò)的核心功能，可以在同一物理基礎(chǔ)設(shè)施上復用虛擬化邏輯網(wǎng)絡(luò)，提供多種垂直業(yè)務(wù)服務(wù)^[1]。在3GPP Release 16中，網(wǎng)絡(luò)切片成為重要組成部分^[2]，能夠支持具有不同服務(wù)質(zhì)量（QoS）需求的各類應(yīng)用，如物聯(lián)網(wǎng)（IoT）和機器類型通信（MTC）^[3]。然而，網(wǎng)絡(luò)切片面臨嚴重的安全威脅，特別是阻斷服務(wù)攻擊（Denial of Service Attack，DoS）和分布式阻斷服務(wù)攻擊（Distributed Denial of Service Attack，DDoS），這些攻擊可能嚴重影響網(wǎng)絡(luò)性能和服務(wù)可用性^[4]。

5G網(wǎng)絡(luò)切片面臨的安全問題主要包括：生命周期各階段的安全問題、片內(nèi)安全問題和切片間安全問題。惡意用戶設(shè)備（UE）可能在短時間內(nèi)發(fā)送大量數(shù)據(jù)包，導致網(wǎng)絡(luò)擁塞和服務(wù)中斷，即使攻擊未導致服務(wù)中斷，大量惡意流量也會引起網(wǎng)絡(luò)延遲和吞吐量下降^[5]。

盡管傳統(tǒng)網(wǎng)絡(luò)的DDoS攻擊檢測已有一些公開數(shù)據(jù)集，如CICDoS和CIC-DDoS2019^[6]，但關(guān)于5G網(wǎng)絡(luò)切片的DoS/DDoS攻擊檢測方法研究較少，特別是缺乏專門針對5G網(wǎng)絡(luò)切片環(huán)境的數(shù)據(jù)集。本研究通過構(gòu)建5G切片仿真平臺生成包含真實攻擊場景的數(shù)據(jù)集，提出了一種基于雙向長短期記憶網(wǎng)絡(luò)^[7]（bidirectional long short-term memory networks，Bi-LSTM）的DoS/DDoS攻擊檢測模型，并取得了良好效果。本文主要工作包括：

（1）使用Free5GC和UERANSIM建立5G切片仿真平臺^[8-9]；

（2）利用仿真平臺和Wireshark捕獲良性流量和DoS/DDoS攻擊流量的數(shù)據(jù)包^[10]；

（3）使用CICFlowMeter工具將數(shù)據(jù)包構(gòu)造成數(shù)據(jù)集^[11]；

（4）基于Bi-LSTM實現(xiàn)DoS/DDoS攻擊檢測模型，并對其進行評估。

在DDoS攻擊檢測方面，早期研究多采用統(tǒng)計學、機器學習和密碼學方法。Ali等^[12]在SDN網(wǎng)絡(luò)中對比了SVM、KNN、DT、MLP和CNN的檢測效果，結(jié)合機器學習與深度學習的方法取得了更好效果。Novaes等^[13]提出了一種基于熵的方法，在防御SDN中的DDoS攻擊中效果顯著。Najar等^[14]采用不同類型的機器學習技術(shù)來檢測DDoS攻擊，其中隨機森林（Random Forest，RF）在訓練和驗證集上的準確率分別達到了99.13%和97%。Anusuya等^[15]在SDN中使用KNN、SVM、DT和RF進行數(shù)據(jù)預處理，發(fā)現(xiàn)隨機森林和決策樹算法效果更好。

隨著5G技術(shù)的發(fā)展，DDoS攻擊檢測在5G網(wǎng)絡(luò)中的應(yīng)用成為關(guān)鍵問題。Sattar等^[16]提出了基于切片隔離的數(shù)學模型，成功緩解了5G網(wǎng)絡(luò)中的DDoS攻擊。Thantharate等^[17-18]展示了基于大規(guī)模數(shù)據(jù)流量和僵尸網(wǎng)絡(luò)的DDoS攻擊，并提出了Secure5G模型，確保端到端安全。Aljebreen等^[19]在5G霧計算物聯(lián)網(wǎng)應(yīng)用中提出了MEOADL-ADC方法，用于分類5G網(wǎng)絡(luò)中的DDoS攻擊，確保5G網(wǎng)絡(luò)的穩(wěn)健防護。Kuadey等^[20]提出的DeepSecure框架模型，利用CIC-DDoS2019數(shù)據(jù)集有效檢測DDoS攻擊，并使用CNN模型進行DDoS檢測，維護PRB的正常開銷^[21]。還有研究提出PACDS系統(tǒng)，通過DL模型在DDoS檢測中表現(xiàn)良好^[22]。

盡管已有多種DDoS攻擊檢測方法，包括基于報文特征、熵測量、切片隔離模型和深度學習，但大多數(shù)未針對5G網(wǎng)絡(luò)切片環(huán)境進行優(yōu)化。由于5G切片網(wǎng)絡(luò)對物理資源的高要求和復雜性，現(xiàn)有方法可能無法充分捕捉和分析該環(huán)境下的DDoS攻擊特征。本研究提出的基于Bi-LSTM的DDoS攻擊檢測模型，能夠更有效地處理5G網(wǎng)絡(luò)切片中的時間序列數(shù)據(jù)，捕捉長期依賴性和復雜的時間動態(tài)，通過在5G仿真環(huán)境中收集真實數(shù)據(jù)集，確保檢測的準確性和效率，為5G網(wǎng)絡(luò)的安全防護提供了新視角和解決方案。

1 仿真環(huán)境設(shè)計與數(shù)據(jù)收集

1.1 實驗場景

虛擬機（Virtual Machine）：實驗采用三臺運行Ubuntu 20.04（內(nèi)核版本5.15.0-72-generic）的虛擬機，每臺具有唯一IP地址。一臺部署Free5GC核心網(wǎng)絡(luò)，其余兩臺生成接入切片網(wǎng)絡(luò)的UE。

仿真平臺：選擇Free5GC和UERANSIM作為仿真平臺，因為它們都是遵循3GPP標準的開源軟件，確保了仿真環(huán)境與真實5G網(wǎng)絡(luò)的一致性，并支持最新的5G技術(shù)（如核心接入和移動性管理、會話管理等），適合研究5G技術(shù)和安全挑戰(zhàn)。

啟動Free5GC核心網(wǎng)絡(luò)后，實現(xiàn)5G網(wǎng)絡(luò)功能的服務(wù)化架構(gòu)^[2]，如圖1所示。其中各模塊含義：UE為用戶設(shè)備（由UERANSIM模擬），（R）AN為無線接入網(wǎng)絡(luò)，DN為數(shù)據(jù)網(wǎng)絡(luò)；核心網(wǎng)網(wǎng)元功能如下：AMF（接入和移動性管理）注冊、連接、可達性、移動性管理和認證，SMF會話管理和IP分配/管理，UPF（用戶平面）支持多UPF和ULCL、負責數(shù)據(jù)包路由/轉(zhuǎn)發(fā)和SSC模式，AUSF網(wǎng)絡(luò)認證服務(wù)，NRF（網(wǎng)絡(luò)功能倉儲）網(wǎng)絡(luò)功能發(fā)現(xiàn)和注冊，UDM（統(tǒng)一數(shù)據(jù)管理）用戶數(shù)據(jù)管理，UDR（統(tǒng)一數(shù)據(jù)倉庫）存儲用戶數(shù)據(jù)、PCF網(wǎng)絡(luò)策略和計費控制，NSSF網(wǎng)絡(luò)切片選擇和管理，N3IWF（網(wǎng)絡(luò)互連）確保各種網(wǎng)絡(luò)設(shè)備的覆蓋^[2]。

1.2 網(wǎng)絡(luò)切片生成及組網(wǎng)過程

（1）網(wǎng)絡(luò)切片創(chuàng)建：在Free5GC平臺上，定義和創(chuàng)建網(wǎng)絡(luò)切片，分配帶寬、存儲和計算資源，確保滿足服務(wù)要求。

（2）使用UERANSIM配置模擬的UE設(shè)備，包括它們的身份、功能以及要連接的特定切片。UE通過UERANSIM模擬連接到特定的5G切片，進行數(shù)據(jù)傳輸和通信。

在UE注冊過程中，網(wǎng)元間的通信包括：（R）AN發(fā)送N2消息至AMF，AMF調(diào)用AUSF進行UE認證，AUSF請求UDM獲取認證和用戶數(shù)據(jù)，AMF訪問PCF獲取策略數(shù)據(jù)，UDM和PCF訪問UDR獲取數(shù)據(jù)庫信息

PDU會話建立過程中，各網(wǎng)元間的通信操作包括：UE向AMF發(fā)送NAS（非接入層）消息，AMF向SMF發(fā)送Nsmf_PDUSession的請求，以創(chuàng)建或更新會話的狀態(tài)信息，SMF運用Nudm_UECM_Registration信息向UDM注冊，SMF與PCF根據(jù)PCF制定的會話管理策略（一組控制設(shè)備和網(wǎng)絡(luò)間數(shù)據(jù)傳輸會話的規(guī)則或政策）進行交互，SMF向UPF發(fā)送N4會話建立或修改請求，UDM和PCF訪問UDR以獲取數(shù)據(jù)庫中的數(shù)據(jù)。部署并啟動所有服務(wù)后，可以通過UE注冊獲得仿真后的Free5GC平臺組網(wǎng)圖，詳細信息如圖2所示。

（3）UE注冊與接入：通過執(zhí)行命令build/nr-gnb-c config/free5gc-gnb.yaml，UERANSIM根據(jù)配置文件啟動UE實例。模擬的UE依據(jù)配置文件中的S-NSSAI信息嘗試與特定網(wǎng)絡(luò)切片（如eMBB或URLLC）建立連接。連接嘗試開始后，AMF啟動認證程序驗證連接請求的合法性。認證成功后，AMF完成UE的注冊過程，允許其接入網(wǎng)絡(luò)。最終，如圖3、圖4所示，網(wǎng)絡(luò)接口被成功創(chuàng)建，表明UE已成功注冊至5G網(wǎng)絡(luò)，并被分配到特定網(wǎng)絡(luò)切片，獲取IP配置以進行數(shù)據(jù)傳輸。

（4）網(wǎng)絡(luò)切片性能評估：在成功部署5G網(wǎng)絡(luò)切片并確保其符合既定服務(wù)質(zhì)量（QoS）標準后，對其性能進行細致評估。為此，采用iperf網(wǎng)絡(luò)性能測量工具，專注于量化網(wǎng)絡(luò)的吞吐量。由圖5可知，仿真環(huán)境已經(jīng)顯示出5G網(wǎng)絡(luò)切片在吞吐量方面的性能，在傳輸4.26 GB數(shù)據(jù)時達到3.66 Gbit/s的高帶寬，滿足了絕大多數(shù)5G應(yīng)用場景需求。鑒于UERANSIM的配置文件（free5gc-gnb.yaml）被設(shè)置為eMBB模式，這一帶寬水平意味著網(wǎng)絡(luò)能夠無縫支持高清視頻流、大規(guī)模數(shù)據(jù)傳輸及其他需要高帶寬的應(yīng)用。

結(jié)合圖4的數(shù)據(jù)，從UE到目標服務(wù)器的平均往返延遲（RTT）維持在36.3～38.4 ms之間。這一延遲水平已符合eMBB切片的服務(wù)質(zhì)量標準（吞吐量達到數(shù)GB、延遲50 ms以內(nèi)）^[23]。

1.3 數(shù)據(jù)集創(chuàng)建

1.3.1 網(wǎng)絡(luò)切片流量設(shè)計

如圖6所示，5G切片環(huán)境下的DDoS檢測實驗由slice1和slice2兩張切片組成。實驗環(huán)境使用6臺虛擬機，每臺內(nèi)存2 048 MB、處理器2個、存儲空間20 GB。環(huán)境包括用戶設(shè)備（UE1到UE6）、5G新無線接入網(wǎng)（gNB）、兩個服務(wù)器（Server1和Server2）和5G核心網(wǎng)絡(luò)（5GC）。5GC由AMF、SMF1、SMF2和UPF1、UPF2等網(wǎng)絡(luò)功能實現(xiàn)，IP地址為192.168.23.157，作為控制中心。

Server1和Server2的IP地址分別為192.168.23.147和192.168.23.137，作為正常流量和DDoS流量的目標節(jié)點。通過區(qū)分虛線表示的攻擊流量和實線表示的正常流量，衡量DDoS檢測模型的效果。

結(jié)合圖6，正常流量由用戶設(shè)備（UE5、UE6）通過UPF1、UPF2發(fā)起，模擬增強型移動寬帶（eMBB）場景的典型用戶行為。設(shè)計了以下通信活動：高速互聯(lián)網(wǎng)訪問、郵件傳輸、大文件下載上傳和文件復制。每個用戶設(shè)備通過gNB連接到5GC，并路由到相應(yīng)服務(wù)器。

在5G網(wǎng)絡(luò)中，攻擊可分為控制面攻擊和用戶面攻擊?？刂泼婀翎槍W(wǎng)絡(luò)信令和控制消息，用戶面攻擊針對傳輸用戶數(shù)據(jù)的部分。仿真實驗中，設(shè)計了用戶面攻擊以測試網(wǎng)絡(luò)的安全防護和高強度惡意流量的響應(yīng)性能。使用UE和hping3工具向核心網(wǎng)虛擬機執(zhí)行攻擊，旨在造成網(wǎng)絡(luò)擁塞，影響正常用戶數(shù)據(jù)傳輸。具體的攻擊方法見表1。

1.3.2 數(shù)據(jù)流量收集

使用CICFlowMeter^[11]工具，將wireshark采集到的pcap文件轉(zhuǎn)換為csv文件。與傳統(tǒng)DDoS數(shù)據(jù)集相比，除了插入名為“Slice”的特征外，還新增了10個特征，包括流量持續(xù)時間、目標IP、目標端口、前向數(shù)據(jù)包長度標準偏差、源IP、源端口、ACK標志計數(shù)、協(xié)議類型、前向總數(shù)據(jù)包量、前向最小分段大小。所得csv文件包含84個流量特性，在100 000條記錄中，正常流量占50%，5種混合攻擊流量共占50%。

2 基于隨機森林與Bi-LSTM的檢測模型研究

2.1 模型設(shè)計

對收集到的數(shù)據(jù)集進行如下處理，以確保數(shù)據(jù)一致性和提升模型對時間序列數(shù)據(jù)的處理能力。

標簽轉(zhuǎn)換：將“Attack/Normal”標簽轉(zhuǎn)化為數(shù)值類型，Attack為1，Normal為0；時間戳規(guī)范：利用Python的datetime函數(shù)計算每個時間戳與基準時間戳的差值，并生成時間序列特征；異常值處理：處理數(shù)據(jù)集中的“Flow Pks/s”和“Flow Bytes/s”特征，這兩個特征中存在部分“inf”值，這種現(xiàn)象是由于在數(shù)據(jù)傳輸中遇到時間間隔接近0秒的情況導致的，使用縮放技術(shù)將“inf”值轉(zhuǎn)換為正常值。

結(jié)合隨機森林的特征選擇能力與雙向長短期記憶網(wǎng)絡(luò)（Bi-LSTM）的動態(tài)學習能力，提出基于隨機森林和Bi-LSTM的DDoS攻擊檢測算法。隨機森林使用袋外數(shù)據(jù)（Out of Bag，OOB）錯誤率篩選最具預測價值的特征，減少模型復雜性并提高對關(guān)鍵攻擊特征的關(guān)注度；Bi-LSTM捕獲長期依賴信息，有效識別復雜網(wǎng)絡(luò)行為中的攻擊模式，從而準確檢測DDoS攻擊。具體步驟如圖7所示。

如圖7所示的DDoS攻擊檢測模型結(jié)合了隨機森林的特征選擇能力和Bi-LSTM的時序分析優(yōu)勢^[24]，預期能實現(xiàn)高準確率和高召回率的DDoS攻擊實時檢測。通過不斷優(yōu)化模型參數(shù)，算法能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境和攻擊模式，有效提升DDoS檢測能力，因此RF+Bi-LSTM在面對5G網(wǎng)絡(luò)的特性時具有以下優(yōu)勢：

（1）提高魯棒性：結(jié)合兩種模型可以增強檢測模型的魯棒性，即使在動態(tài)和復雜的網(wǎng)絡(luò)環(huán)境中也能保持較高的檢測準確率。

（2）強化對動態(tài)行為的識別：結(jié)合使用兩種方法可以更好地處理5G切片網(wǎng)絡(luò)的動態(tài)和復雜特性。隨機森林強化了模型對特征的理解和選擇，而Bi-LSTM加強了對時間序列數(shù)據(jù)中動態(tài)行為模式的捕捉能力。

2.2 仿真驗證

2.2.1 特征提取與模型性能評估

隨機森林的OOB特性用于評估每個特征的重要性分數(shù)。通過在模型訓練過程中保留未使用的OOB樣本，并在這些樣本上評估模型性能，可以量化每個特征在未見數(shù)據(jù)上的預測貢獻。

具體而言，首先記錄包含該特征時隨機森林模型在OOB樣本上的預測誤差作為基線。然后，隨機打亂該特征在OOB樣本中的值，保持其他特征不變，再次計算模型預測誤差。特征的重要性分數(shù)由打亂特征前后OOB預測誤差的變化量確定，變化量越大，表明該特征對模型預測性能越重要。

變量Xj在第i棵樹中的置換重要性VIMij^（OOB）通過以下過程計算：（1）使用隨機抽取的訓練自助樣本構(gòu)建樹，并計算袋外數(shù)據(jù)的預測錯誤率作為基線；（2）隨機打亂變量Xj的值，再次計算OOB數(shù)據(jù)的預測錯誤率；（3）計算打亂前后OOB預測錯誤率的差異，作為該樹中變量Xj的置換重要性：

VIMij^（OOB）=1nio[niop=1I（Yp=Yip）-niop=1I（Yp=Yip，πj）]，

其中nio表示第i棵樹OOB數(shù)據(jù)中的觀測樣本數(shù)量；I（g）是指示函數(shù)，當兩個值相等時取值為1，不等時取值為0；Yp表示第p個觀測的真實結(jié)果；Yip是隨機置換前第i棵樹對OOB數(shù)據(jù)的預測結(jié)果；Yip，πj是隨機置換后第i棵樹對OOB數(shù)據(jù)的預測結(jié)果。若變量j沒有在第i棵樹中出現(xiàn)，則VIMij^（OOB）=0。

變量Xj在整個隨機森林中的置換重要性VIMj^（OOB）是所有樹中置換重要性VIMij^（OOB）的平均值：

VIM^（OOB）j=1nni=1VIM^i（OOB）j，

其中n表示隨機森林中分類樹的總數(shù)。這個平均值反映了變量Xj在整體預測中的重要性，特別是其值被隨機置換后對預測錯誤率的影響。

為進一步展現(xiàn)OOB錯誤率與特征重要性閾值的關(guān)系，圖8展示了在實際數(shù)據(jù)集上應(yīng)用隨機森林模型時，OOB錯誤率如何跟隨特征重要性閾值的調(diào)整而變化。圖中，橫坐標表示特征重要性閾值從0到0.06的變化，縱坐標表示OOB錯誤率的變化。實線條表示OOB錯誤率隨特征重要性閾值的變化趨勢，虛線表示當閾值為0.01時，OOB錯誤率最低。此時模型去除了不重要的特征，保留了對預測性能最重要的特征，達到了模型復雜度和性能的最佳平衡。

選擇0.01作為特征重要性閾值，確保了模型性能和復雜度的平衡，減少了過擬合和欠擬合的風險。通過觀察OOB錯誤率在不同閾值下的變化，并選擇錯誤率最小的點，最終得到一個包含21個重要特征的精簡數(shù)據(jù)集，這些特征對DDoS攻擊檢測最有影響。

在Bi-LSTM訓練過程中采用隨機森林算法優(yōu)化后的數(shù)據(jù)集進行，經(jīng)過訓練后的模型使用準確率（Accuracy）、檢測率（Precision）、召回率（Recall）和F1分數(shù)進行性能評估。TP（True Positives）為正確檢測到的DDoS攻擊次數(shù)，TN（True Negatives）為正確識別為正常流量的次數(shù)，F(xiàn)P（False Positives）為錯誤地將正常流量標記為DDoS攻擊的次數(shù)（誤報），F(xiàn)N（False Negatives）為未檢測到的實際DDoS攻擊次數(shù)（漏報）。在訓練過程中，使用Adam優(yōu)化器進行參數(shù)更新及學習率調(diào)整，其結(jié)合動量進行參數(shù)更新的公式為

mt=β1mt-1+（1-β1）gt，

vt=β2vt-1+（1-β2）g2t，

式中，mt和vt分別是第t個時間步的一階矩估計（動量）和二階矩估計（動量的平方），t是當前的時間步數(shù)，β1是一階矩動量的衰減率，通常取值0.9，β2是二階矩動量的衰減率，通常取值0.999，gt是當前時間步的梯度。之后對矩動量進行修正：

t=mt1-βt1，" t=vt1-βt2，

式中，t與t分別是第t個時間步的一階與二階矩估計的偏差修正值。通過偏差修正，消除了初期偏向零的影響，使得動量估計更加準確，同時確保了在優(yōu)化初期二階矩估計更加準確，最后更新第t個時間步的參數(shù)值θt：

θt=θt-1-α·tt+ε。

將一階矩除以二階矩的平方根，使用學習率α對前一步得到的值進行縮放，使用得到的結(jié)果對當前的參數(shù)進行更新，ε是一個小常數(shù)，避免計算出現(xiàn)除零錯誤。對于二分類問題，使用交叉熵損失函數(shù)計算模型的損失，公式為

L=-（ylnp+（1-y）ln（1-p）），

其中，y是真實標簽，p是預測為正樣本的概率。當y=1（正類）時，損失函數(shù)變?yōu)?lnp。如果預測p接近1，損失接近0，表示模型預測準確；如果預測p接近0，那么損失將會變大，表示模型預測不準確。為探究檢測模型性能，使用驗證集對訓練過程中準確率變化與損失率變化進行驗證，驗證結(jié)果如圖9所示。

結(jié)合圖9，圖中曲線表明模型訓練過程中沒有發(fā)現(xiàn)明顯的過擬合或欠擬合問題，模型的學習速率設(shè)置得當，訓練周期足夠讓模型學習到數(shù)據(jù)中的模式，模型其余參數(shù)設(shè)定見表2。

2.2.2 對比驗證與結(jié)果分析

使用前文收集到的數(shù)據(jù)集進行結(jié)果驗證，基于1.3.2中共收集到十萬條數(shù)據(jù)，為了確保數(shù)據(jù)集中正常流量與攻擊流量之間的平衡，數(shù)據(jù)集由五萬條正常流量數(shù)據(jù)與五萬條攻擊數(shù)據(jù)組成。在數(shù)據(jù)集的劃分上，將80%的數(shù)據(jù)用作訓練集，以訓練和優(yōu)化DDoS攻擊檢測模型；剩余的20%則作為測試集，其中隨機森林對整個數(shù)據(jù)集進行特征提取后的熱力變化圖如圖10、圖11所示。

對比實驗?zāi)Ｐ桶↘NN、RF、LSTM和Bi-LSTM。為了確?？杀刃?，將LSTM與Bi-LSTM模型的訓練參數(shù)設(shè)置與本文所用模型相同，學習率設(shè)為0.01，訓練輪次一致。實驗結(jié)果見表3。

為驗證模型檢測DDoS攻擊性能，采用CICIDS2019數(shù)據(jù)集^[6]。該數(shù)據(jù)集由加拿大信息安全研究中心提供，包含431 371條數(shù)據(jù)及80種特征，模擬了多種類型的網(wǎng)絡(luò)活動和惡意攻擊。對比結(jié)果見表4。

結(jié)合表3與表4可以得出，通過在不同數(shù)據(jù)集上進行的DDoS攻擊檢測實驗，RF+Bi-LSTM模型顯示出了顯著的高性能。特別是在仿真切片數(shù)據(jù)集上，模型展現(xiàn)了99.38%的準確率和99.41%的F1分數(shù)，遠超傳統(tǒng)的KNN和RF模型。此外，即便在復雜的CIC-IDS2019數(shù)據(jù)集上，模型依然維持了99%以上的準確率。這些結(jié)果表明，RF+Bi-LSTM模型在精確識別和響應(yīng)DDoS攻擊方面具有強大潛力。

3 結(jié)束語

本研究利用Free5GC和UERANSIM構(gòu)建5G網(wǎng)絡(luò)切片平臺，注入良性流量和DoS/DDoS攻擊流量，通過Wireshark和CICFlowMeter工具收集并處理數(shù)據(jù)，用于評估檢測模型。我們使用滑動窗口將數(shù)據(jù)集切分為固定間隔的子序列，并提取特征變化。利用隨機森林的基尼指數(shù)提取重要特征，將特征子序列輸入Bi-LSTM模型進行訓練，分析序列數(shù)據(jù)的前后關(guān)系，檢測準確率達到99.38%。通過比較不同的DoS/DDoS攻擊檢測算法，驗證了基于Bi-LSTM的檢測模型性能優(yōu)越。結(jié)果表明，該方法為5G網(wǎng)絡(luò)切片的DoS/DDoS攻擊檢測提供了一種有效手段，期望其能提高5G網(wǎng)絡(luò)切片的安全性和穩(wěn)定性。

未來的研究應(yīng)針對更復雜的攻擊模式和不同的網(wǎng)絡(luò)環(huán)境對模型進行優(yōu)化和調(diào)整。進一步擴展研究，探索更多攻擊檢測方法，豐富數(shù)據(jù)集，以全面評估和提升模型性能。此外，研究如何將這些檢測方法應(yīng)用于實際5G網(wǎng)絡(luò)環(huán)境，以增強5G網(wǎng)絡(luò)的安全防護能力。

［ 參 考 文 獻 ］

[1] CHIRIVELLA-PEREZ E，SALVA-GARCIA P，SANCHEZ-NAVARRO I，et al.E2E network slice management framework for 5G multi-tenant networks[J].Journal of Communications and Networks，2023，13（5）：173.

[2] ANON.3gpp Specifications and Technologies：Release 16[EB/OL].（2020-07-03）[2024-03-24].https：//www.3gpp.org/specifications-technologies/releases/release-16.

[3] ZHANG Shunliang.An overview of network slicing for 5G[J].IEEE Wireless Communications，2019，26（3）：111-117.

[4] OLIMID R F，NENCIONI G.5G network slicing：A security overview[J].IEEE Access，2020，8：99999-100009.

[5] ALWIS de C，PORAMBAGE P，DEV K，et al.A Survey on Network Slicing Security：Attacks，Challenges，Solutions and Research Directions[J].IEEE Communications Surveys amp; Tutorials，2024，26（1）：534-570.

[6] SHARAFALDIN I，LASHKARI A H，HAKAK S，et al.Developing realistic distributed denial of service （DDoS） attack dataset and taxonomy[C]//2019 International Carnahan Conference on Security Technology，2019：1-8.

[7] BOUSALEM B，SILVA V F，LANGAR R，et al.Deep learning-based approach for ddos attacks detection and mitigation in 5g and beyond mobile networks[C]//2022 IEEE 8th International Conference on Network Softwarization，2022：228-230.

[8] ANON.What is free5GC？[EB/OL].（2022-06-20）[2024-03-24].https：//www.free5gc.org/.

[9] ANON.UERANSIM[EB/OL].（2022-05-27）[2024-03-24].https：//github.com/aligungr/UERANSIM/.

[10] LI J H，CAO X D，GUO S L，et al.5GC Network and MEC UPF Data Collection Scheme Research[C]//2021 International Conference on Information and Communication Technologies for Disaster Management，2021：80-85.

[11] ANON.Applications Canadian Institute for Cybersecurity[EB/OL].（2022-07-28）[2024-03-24].https：//www.unb.ca/cic/research/applications.html.

[12] ALI T E，CHONG Y W，MANICKAM S.Comparison of ML/DL Approaches for Detecting DDoS Attacks in SDN[J].Applied Sciences，2023，13（5）：3033.

[13] NOVAES M P，CARVALHO L F，LLORET J，et al.Long short-term memory and fuzzy logic for anomaly detection and mitigation in software-defined network environment[J].IEEE Access，2020，8：83765-83781.

[14] NAJAR A A，MANOHAR N S.DDoS attack detection using MLP and Random Forest Algorithms[J].International Journal of Information Technology，2022，14（5）：2317-2327.

[15] ANUSUYA R，PRABHU M R，PRATHIMA C，et al.Detection of TCP，UDP and ICMP DDOS attacks in SDN Using Machine Learning approach[J].Journal of Survey in Fisheries Sciences，2023，10（S4）：964-971.

[16] SATTAR D，MATRAWY A.Towards secure slicing：Using slice isolation to mitigate DDoS attacks on 5G core network slices[C]//2019 IEEE Conference on Communications and Network Security，2019：82-90.

[17] THANTHARATE A，PAROPKARI R，WALUNJ V，et al.DeepSlice：A deep learning approach towards an efficient and reliable network slicing in 5G networks[C]//2019 IEEE 10th Annual Ubiquitous Computing，Electronics amp; Mobile Communication Conference，2019：762-767.

[18] THANTHARATE A，PAROPKARI R，WALUNJ V，et al.Secure5G：A deep learning framework towards a secure network slicing in 5G and beyond[C]//2020 10th annual computing and communication workshop and conference，2020：852-857.

[19] ALJEBREEN M，ALRAYES F S，MARAY M，et al.Modified Equilibrium Optimization Algorithm With Deep Learning-Based DDoS Attack Classification in 5G Networks[J].IEEE Access，2023，11：108561-108570.

[20] KUADEY N A E，MAALE G T，KWANTWI T，et al.DeepSecure： Detection of distributed denial of service attacks on 5G network slicing—Deep learning approach[J].IEEE Wireless Communications Letters，2021，11（3）：488-492.

[21] BOUSALEM B，SILVA V F，LANGAR R，et al.DDos attacks detection and mitigation in 5g and beyond networks：A deep learning-based approach[C]//GLOBECOM 2022 IEEE Global Communications Conference，2022：1259-1264.

[22] MAJEED A，ALNAJIM A M，WASEEM A，et al.Deep Learning-Based Symptomizing Cyber Threats Using Adaptive 5G Shared Slice Security Approaches[J].Future Internet，2023，15（6）：193.

[23] KHAN M S，F(xiàn)ARZANEH B，SHAHRIAR N，et al.SliceSecure：Impact and Detection of DoS/DDoS Attacks on 5G Network Slices[C]//2022 IEEE Future Networks World Forum，2022：639-642.

[24] ZHANG Y，LIU Y，GUO X，et al.A Bi-LSTM-Based DDoS Attack Detection Method for Edge Computing[J].Energies，2022，15（21）：7882.

[25] WHITWORTH H，AL-RUBAYE S，TSOURDOS A，et al.5G Aviation Networks Using Novel AI Approach for DDoS Detection[J].IEEE Access，2023，11：77518-77542.

［責任編輯：謝 平］

Research on 5G network slicing attack detection model based on random forest and Bi-LSTM

YIN Longrun， ZHANG Zhibin

Faculty of Information Engineering and Automation， Kunming University of Science and Technology， Kunming 650504， China

Abstract： In addressing the key security challenges of denial of service （DoS） and distributed denial of service （DDoS） attacks in 5G network slicing， this study explores a detection model based on bidirectional long short-term memory networks （Bi-LSTM）. The research involved collecting and analyzing attack data on a simulated 5G slicing platform， revealing inadequacies in data collection of existing methods and demonstrating significant relative gains across multiple key metrics. The proposed model efficiently processes large-scale datasets and shows rapid convergence speed. Experimental results indicate that the model achieves a detection accuracy rate of 99%， significantly surpassing existing methods. These findings not only prove the advanced nature of the proposed approach but also hold substantial practical application value in enhancing the security of 5G network slicing.

Key words： 5G network slicing; denial of service attacks; attack detection model; bidirectional long short-term memory networks（Bi-LSTM）; data analysis