[发明专利]一种基于全流量自适应检测的5G切片逃逸攻击检测方法

说明书

本发明公开了一种基于全流量自适应检测的5G切片逃逸攻击检测方法，实现对切片逃逸攻击的自适应检测；针对切片内和切片间切片逃逸攻击的不同点，提出十一元组特征，实现对切片内和切片间的切片逃逸攻击检测；引入两级检测模块，利用信息熵技术进行快速的初步预检测，对于预检测存在异常的流量进行第二级检测复核，极大缩短了检测时间；引入自注意力机制、长短期记忆网络和协同检测模型，自注意力机制可以帮助确定特征权重，协同检测模型从攻击流量的传播链路入手，通过协同分析关联交换机的特征纠偏得出最终检测结果，提高了检测的准确率、降低了检测的误报率；使用sFlow代理技术，避免了在流量采集时大量的消息交换导致的控制器过载。

技术领域

本发明涉及5G网络信息安全技术领域，尤其涉及一种基于全流量自适应检测的5G切片逃逸攻击检测方法。

背景技术

5G电力交易专网在引入和使用5G切片技术、带来“降低成本、提高灵活性”的优点的同时，也引入了一些新的安全问题：（1）切片内可能存在的恶意终端会破坏整个切片的性能，还可以通过过度消耗授权切片访问的共享资源来实现切片逃逸攻击；（2）切片间隔离失效时或其他切片的恶意终端通过伪造IP等手段与本切片通信时，来自其他切片的恶意终端对本切片进行攻击，使得本切片性能降低或资源耗尽。

当前国内外对于5G切片安全的研究主要集中在如何缓解切片内的安全风险，对于切片间的安全风险及如何检测切片逃逸攻击关注较少，缺少对于切片内和切片间的切片逃逸攻击的分析检测。而对于分布式拒绝服务攻击的研究大都基于数据集和软件定义网络场景，没有针对切片场景的检测，更缺少对于切片场景的切片逃逸攻击的检测。如，2020年陈莉等人提出了一种基于软件定义网络的分布式拒绝服务攻击检测模型，利用软件定义网络架构中开放流交换机流表项信息，构建了6个特征向量作为检测模型的输入，基于二分类思想，构建了基于按误差反向传播训练的多层前馈网络的分布式拒绝服务攻击检测模型。但是该方案并不能解决5G切片场景下切片间和切片内的切片逃逸攻击的检测问题，且存在收集流量时忽视负载均衡、检测速度慢、检测误报率较高的问题。

发明内容

本发明目的是提出一种基于全流量自适应检测的5G切片逃逸攻击检测方法，解决5G电力交易专网中对于切片内和切片间的切片逃逸攻击的全流量自适应检测的技术难题，提高检测模型的准确率，降低检测模型的误报率。

为了实现上述目的，本发明提供如下技术方案：

本发明提供一种基于全流量自适应检测的5G切片逃逸攻击检测方法，包括如下步骤：

步骤1：第一级检测模块通过sFlow代理技术从5G电力交易专网中获取单位时间间隔内的流表信息；使用信息熵技术计算获取到的流表的信息熵，对于熵值正常的流表项，正常下发，对于熵值存在异常的流表项，进入步骤2进行复核；

步骤2：对于步骤1中检测熵值存在异常的流表项，使用第二级检测模块中的十一元组特征提取模块提取其十一元组特征，所述十一元组特征包括四个流的特征、三个切片间逃逸特征和四个交换机关联特征，流的四个特征分别为数据包数量、数据包平均大小、总字节数和数据包到达时间间隔，切片间逃逸三个特征分别为流表持续时间中位数、IP成对流表项数百分比和单项流表项数绝对值，交换机关联四个特征分别为单位时间内数据包数量的最大流入方、单位时间内数据包数量的最大流出方、单位时间内字节的最大流入方和单位时间内字节的最大流出方；将十一元组特征构成的特征向量和数据报报文段输入基于长短期记忆网络和自注意力机制的检测模型进行检测，得到检测结果P，P为切片逃逸攻击行为的发生概率；将提取到的十一元组特征中的四个交换机关联特征做相应的格式转换，并和得到的检测结果P一起输入协同检测模型进行检测，得到协同检测的检测结果；

步骤3：判断步骤2中的得到的协同检测结果是否为正常，若为正常，则正常下发，若为异常，则进入异常处理模块。