[发明专利]一种基于全流量自适应检测的5G切片逃逸攻击检测方法

权利要求书

1.一种基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，包括如下步骤：

步骤1：第一级检测模块通过sFlow代理技术从5G电力交易专网中获取单位时间间隔内的流表信息；使用信息熵技术计算获取到的流表的信息熵，对于熵值正常的流表项，正常下发，对于熵值存在异常的流表项，进入步骤2进行复核；

步骤2：对于步骤1中检测熵值存在异常的流表项，使用第二级检测模块中的十一元组特征提取模块提取其十一元组特征，所述十一元组特征包括四个流的特征、三个切片间逃逸特征和四个交换机关联特征，流的四个特征分别为数据包数量、数据包平均大小、总字节数和数据包到达时间间隔，切片间逃逸三个特征分别为流表持续时间中位数、IP成对流表项数百分比和单项流表项数绝对值，交换机关联四个特征分别为单位时间内数据包数量的最大流入方、单位时间内数据包数量的最大流出方、单位时间内字节的最大流入方和单位时间内字节的最大流出方；将十一元组特征构成的特征向量和数据报报文段输入基于长短期记忆网络和自注意力机制的检测模型进行检测，得到检测结果P，P为切片逃逸攻击行为的发生概率；将提取到的十一元组特征中的四个交换机关联特征做相应的格式转换，并和得到的检测结果P一起输入协同检测模型进行检测，得到协同检测的检测结果；

步骤3：判断步骤2中的得到的协同检测结果是否为正常，若为正常，则正常下发，若为异常，则进入异常处理模块。

2.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，第一级检测模块包括流量采集模块和信息熵预检测模块；流量采集模块使用sFlow代理技术获取交换机中的流表信息，并将获取的流表信息作为信息熵预检测模块的输入；信息熵预检测模块使用信息熵技术，对收集到的切片网络中流量进行信息熵计算，通过对于熵值的观察，初步判断一段时间内网络中是否存在异常，若存在异常，则将该段时间内的流表信息作为第二级检测模块的输入；若判定无异常，则将流表正常下发。

3.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，步骤1的具体过程如下：

步骤11：通过sFlow代理技术获取5G电力交易专网中单位时间间隔内的数据流表项；

步骤12：根据步骤11中获得的流表，提取一组四元组I，四元组I中的参数分别为源地址、目的地址、数据包数量和协议；

步骤13：根据步骤12得到的四元组I和信息熵计算公式，计算数据流的信息熵；

步骤14：重复步骤12和步骤13五次，对比五次获得的信息熵与网络信息熵阈值的大小；

步骤15：若连续五次信息熵小于网络信息熵阈值，则判定可能存在异常流量，将数据流输入第二级检测模型进行复核；否则判定为正常流量，下发流表。

4.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，第二级检测模块包括十一元组特征提取模块、基于长短期记忆网络和自注意力机制的检测模块以及协同检测模块，以实现切片内切片逃逸攻击检测和切片间切片逃逸攻击检测；

实现切片内切片逃逸攻击检测的过程为：首先通过十一元组特征提取模块获取通用特征即流的特征和交换机关联特征，将流的特征和数据报报文段作为基于长短期记忆网络和自注意力机制的检测模型的输入后，得到该条流受到切片逃逸攻击的概率，交换机关联特征经过处理后与基于长短期记忆网络和自注意力机制的检测模型的输出概率构成协同检测模型的输入，协同检测模型通过综合交换机关联特征实现对检测结果纠偏；

实现切片间切片逃逸攻击检测的过程为：首先通过十一元组特征提取模块获取通用特征流的特征和针对性特征即切片间逃逸特征，将流的特征、切片间逃逸特征和数据报报文段输入基于长短期记忆网络和自注意力机制的检测模型进行检测，得到该条流受到切片逃逸攻击的概率，将十一元组特征中的交换机关联特征进行格式转换，并与输出概率一起作为协同检测模型的输入，协同检测模型通过综合交换机关联特征实现对检测结果纠偏。