《Future Internet》:Intelligent Threat Defense Mechanisms for 5G APIs
Asif Yasin,
Seyed Ebrahim Hosseini,
Muhammad Nadeem and
Shahbaz Pervez
编辑推荐:
随着5G独立组网(Standalone, SA)核心网的规模化部署,应用编程接口(API)已成为网络功能间通信的核心载体,支撑数据实时共享与业务快速调度。然而,基于服务化架构(Service-Based Architecture, SBA)的5G核心网通过网络
随着5G独立组网(Standalone, SA)核心网的规模化部署,应用编程接口(API)已成为网络功能间通信的核心载体,支撑数据实时共享与业务快速调度。然而,基于服务化架构(Service-Based Architecture, SBA)的5G核心网通过网络功能暴露的API面临严峻安全挑战:此类API对外可访问、处理敏感控制面操作,并采用超文本传输协议第2版(HTTP/2)与JavaScript对象表示法(JSON)交换结构化数据,成为网络攻击的高价值目标。传统安全工具依赖固定规则,难以检测新型演变威胁。针对这一缺口,研究人员提出基于人工智能(AI)的自适应API安全框架,测试长短期记忆网络(Long Short-Term Memory, LSTM)与强化学习(Reinforcement Learning, RL)两类模型:LSTM通过学习历史流量时序模式识别异常,RL通过与环境交互的动态反馈优化决策。研究采用Python生成合成流量数据集,涵盖正常API调用及分布式拒绝服务(DDoS)、暴力破解、结构化查询语言(SQL)注入等多类攻击。实验结果表明,LSTM与RL模型的检测准确率均达约95%,显著优于准确率仅58%的传统静态规则基线模型;两类模型在降低误报率、提升响应速度方面表现优异,其中RL对未知演变攻击的适应性尤为突出。该研究验证了自适应AI安全机制在检测演变API威胁中的有效性,为电信网络提供了更智能、灵活的威胁防护方案,支持实时风险评分与自动化响应,可应对未来网络安全挑战。
论文解读
研究背景与意义
5G独立组网(Standalone, SA)核心网采用服务化架构(Service-Based Architecture, SBA),网络功能(Network Function, NF)通过暴露的应用编程接口(API)实现松耦合通信,支撑超低时延、海量连接等特性。然而,API的开放性与控制面敏感性使其成为网络攻击的关键入口:攻击者可通过API实施分布式拒绝服务(DDoS)、暴力破解、注入攻击等,威胁核心网稳定运行。传统安全方案依赖静态规则匹配已知攻击特征,无法应对动态演变的新型威胁,且5G场景下攻击检测的微小延迟可能导致大规模业务中断。因此,研究人员开展本研究,旨在构建自适应智能防御机制,解决现有方案的滞后性与局限性。该研究成果发表于《Future Internet》,为5G及未来网络的核心网API安全提供了实证有效的技术路径。
关键技术方法
研究人员采用合成数据驱动的实验范式,通过Locust负载测试框架、Scapy数据包操纵工具与OWASP Zed攻击代理(OWASP ZAP)生成包含正常与恶意请求的合成API流量数据集,涵盖认证请求、会话创建等正常行为及SQL注入、暴力破解、DDoS等攻击场景,数据格式遵循5G服务化接口(Service-Based Interface, SBI)常用的JSON规范。研究构建两类AI检测模型:长短期记忆网络(LSTM)用于时序异常检测,输入为单步6维特征向量(请求方法、载荷长度、源IP熵值、API端点风险等级、时间窗口内请求频率、认证状态),经单层64单元LSTM层后通过Sigmoid激活函数输出二分类结果;强化学习(RL)采用Deep Q-Network(DQN)架构,基于OpenAI Gym自定义环境,以6维特征为状态空间、允许/阻塞为动作空间,通过贝尔曼方程更新Q值,结合经验回放与ε-贪婪策略平衡探索与利用,奖励机制根据动作正确性赋予+2至-3的分值。模型性能通过准确率、精确率、召回率、F1分数、ROC曲线下面积(AUC-ROC)、单请求响应时间及缓解有效性等指标评估,以静态规则模型为基线对照。
研究结果
4.1 LSTM模型训练结果
LSTM模型在训练过程中准确率快速收敛并保持稳定,训练集与验证集精度接近,未出现过拟合现象,证明其对时序流量模式的捕捉能力有效。
4.2 强化学习智能体训练性能
RL智能体的累计奖励随训练轮次(episode)增加持续提升,初期因策略随机奖励较低,后期通过反馈优化逐步掌握最优决策,仅在遭遇新攻击模式时出现短暂波动,展现出动态适应能力。
4.3 准确率与分类指标
LSTM与RL模型的检测准确率均达95%,静态规则模型仅为58%;LSTM与RL的精确率达95%、召回率达94%、F1分数达95%,静态模型对应指标仅为51%、58%、51%;ROC曲线显示LSTM与RL的AUC值约为0.94,静态模型仅为0.49,接近随机猜测水平。
4.4 响应时间
RL模型处理4000个请求的总响应时间为0.3638秒(单请求0.000091秒),LSTM为0.5639秒(单请求0.000141秒),静态模型最快但仅0.1794秒(单请求0.000045秒),但其低准确率导致可靠性不足。
4.5 缓解有效性与可扩展性
LSTM与RL对恶意流量的平均阻断率达92%,静态模型仅13%;在高并发场景下(>500请求/秒),LSTM与RL仍保持稳定检测性能,静态模型处理能力降至250请求/秒后出现显著性能衰减。
4.6 告警准确性与适应性
LSTM通过时序模式学习有效识别慢速暴力破解等隐蔽攻击,RL通过奖励反馈快速适配新型攻击变种,两者均输出0-1区间的风险评分,支持分级响应决策,误报率显著低于静态模型。
讨论与结论
研究通过对比现有文献指出,多数既往工作聚焦通用网络入侵检测或静态安全框架,未深入5G核心网API层,且缺乏动态风险评分机制。本研究的LSTM+RL融合框架在准确率与实用性间取得平衡,优于传统方案与单一AI模型。局限性在于合成数据未完全覆盖真实5G控制面复杂流程,特征集未纳入3GPP SBA元数据,且RL动作仅支持二元决策。未来将引入可解释人工智能(Explainable AI, XAI)提升透明度,扩展多步响应策略,并验证于真实运营商网络环境。
研究结论表明,LSTM与RL的结合可显著提升5G SA核心网API的威胁检测能力,实现实时、自适应的安全防护,为电信运营商降低运维成本、提升威胁可见性提供了可行技术方案,推动5G安全从静态防御向智能动态防御演进。
