CN116074844B - 一种基于全流量自适应检测的5g切片逃逸攻击检测方法 - Google Patents

Abstract

本发明公开了一种基于全流量自适应检测的5G切片逃逸攻击检测方法，实现对切片逃逸攻击的自适应检测；针对切片内和切片间切片逃逸攻击的不同点，提出十一元组特征，实现对切片内和切片间的切片逃逸攻击检测；引入两级检测模块，利用信息熵技术进行快速的初步预检测，对于预检测存在异常的流量进行第二级检测复核，极大缩短了检测时间；引入自注意力机制、长短期记忆网络和协同检测模型，自注意力机制可以帮助确定特征权重，协同检测模型从攻击流量的传播链路入手，通过协同分析关联交换机的特征纠偏得出最终检测结果，提高了检测的准确率、降低了检测的误报率；使用sFlow代理技术，避免了在流量采集时大量的消息交换导致的控制器过载。

Description

一种基于全流量自适应检测的5G切片逃逸攻击检测方法

技术领域

本发明涉及5G网络信息安全技术领域，尤其涉及一种基于全流量自适应检测的5G切片逃逸攻击检测方法。

背景技术

5G电力交易专网在引入和使用5G切片技术、带来“降低成本、提高灵活性”的优点的同时，也引入了一些新的安全问题：（1）切片内可能存在的恶意终端会破坏整个切片的性能，还可以通过过度消耗授权切片访问的共享资源来实现切片逃逸攻击；（2）切片间隔离失效时或其他切片的恶意终端通过伪造IP等手段与本切片通信时，来自其他切片的恶意终端对本切片进行攻击，使得本切片性能降低或资源耗尽。

当前国内外对于5G切片安全的研究主要集中在如何缓解切片内的安全风险，对于切片间的安全风险及如何检测切片逃逸攻击关注较少，缺少对于切片内和切片间的切片逃逸攻击的分析检测。而对于分布式拒绝服务攻击的研究大都基于数据集和软件定义网络场景，没有针对切片场景的检测，更缺少对于切片场景的切片逃逸攻击的检测。如，2020年陈莉等人提出了一种基于软件定义网络的分布式拒绝服务攻击检测模型，利用软件定义网络架构中开放流交换机流表项信息，构建了6个特征向量作为检测模型的输入，基于二分类思想，构建了基于按误差反向传播训练的多层前馈网络的分布式拒绝服务攻击检测模型。但是该方案并不能解决5G切片场景下切片间和切片内的切片逃逸攻击的检测问题，且存在收集流量时忽视负载均衡、检测速度慢、检测误报率较高的问题。

发明内容

本发明目的是提出一种基于全流量自适应检测的5G切片逃逸攻击检测方法，解决5G电力交易专网中对于切片内和切片间的切片逃逸攻击的全流量自适应检测的技术难题，提高检测模型的准确率，降低检测模型的误报率。

为了实现上述目的，本发明提供如下技术方案：

本发明提供一种基于全流量自适应检测的5G切片逃逸攻击检测方法，包括如下步骤：

步骤1：第一级检测模块通过sFlow代理技术从5G电力交易专网中获取单位时间间隔内的流表信息；使用信息熵技术计算获取到的流表的信息熵，对于熵值正常的流表项，正常下发，对于熵值存在异常的流表项，进入步骤2进行复核；

步骤2：对于步骤1中检测熵值存在异常的流表项，使用第二级检测模块中的十一元组特征提取模块提取其十一元组特征，所述十一元组特征包括四个流的特征、三个切片间逃逸特征和四个交换机关联特征，流的四个特征分别为数据包数量、数据包平均大小、总字节数和数据包到达时间间隔，切片间逃逸三个特征分别为流表持续时间中位数、IP成对流表项数百分比和单项流表项数绝对值，交换机关联四个特征分别为单位时间内数据包数量的最大流入方、单位时间内数据包数量的最大流出方、单位时间内字节的最大流入方和单位时间内字节的最大流出方；将十一元组特征构成的特征向量和数据报报文段输入基于长短期记忆网络和自注意力机制的检测模型进行检测，得到检测结果P，P为切片逃逸攻击行为的发生概率；将提取到的十一元组特征中的四个交换机关联特征做相应的格式转换，并和得到的检测结果P一起输入协同检测模型进行检测，得到协同检测的检测结果；

步骤3：判断步骤2中的得到的协同检测结果是否为正常，若为正常，则正常下发，若为异常，则进入异常处理模块。

进一步地，第一级检测模块主要包括流量采集模块和信息熵预检测模块；流量采集模块使用sFlow代理技术获取交换机中的流表信息，并将获取的流表信息作为信息熵预检测模块的输入；信息熵预检测模块使用信息熵技术，对收集到的切片网络中流量进行信息熵计算，通过对于熵值的观察，初步判断一段时间内网络中是否存在异常，若存在异常，则将该段时间内的流表信息作为第二级检测模块的输入；若判定无异常，则将流表正常下发。

进一步地，步骤1的具体过程如下：

步骤11：通过sFlow代理技术获取5G电力交易专网中单位时间间隔内的数据流表项；

步骤12：根据步骤11中获得的流表，提取一组四元组I，四元组I中的参数分别为源地址、目的地址、数据包数量和协议；

步骤13：根据步骤12得到的四元组I和信息熵计算公式，计算数据流的信息熵；

步骤14：重复步骤12和步骤13五次，对比五次获得的信息熵与网络信息熵阈值的大小；

步骤15：若连续五次信息熵小于网络信息熵阈值，则判定可能存在异常流量，将数据流输入第二级检测模型进行复核；否则判定为正常流量，下发流表。

进一步地，第二级检测模块包括十一元组特征提取模块、基于长短期记忆网络和自注意力机制的检测模块以及协同检测模块，以实现切片内切片逃逸攻击检测和切片间切片逃逸攻击检测；

实现切片内切片逃逸攻击检测的过程为：首先通过十一元组特征提取模块获取通用特征即流的特征和交换机关联特征，将流的特征和数据报报文段作为基于长短期记忆网络和自注意力机制的检测模型的输入后，得到该条流受到切片逃逸攻击的概率，交换机关联特征经过处理后与基于长短期记忆网络和自注意力机制的检测模型的输出概率构成协同检测模型的输入，协同检测模型通过综合交换机关联特征实现对检测结果纠偏；

实现切片间切片逃逸攻击检测的过程为：首先通过十一元组特征提取模块获取通用特征流的特征和针对性特征即切片间逃逸特征，将流的特征、切片间逃逸特征和数据报报文段输入基于长短期记忆网络和自注意力机制的检测模型进行检测，得到该条流受到切片逃逸攻击的概率，将十一元组特征中的交换机关联特征进行格式转换，并与输出概率一起作为协同检测模型的输入，协同检测模型通过综合交换机关联特征实现对检测结果纠偏。

进一步地，步骤2的具体过程如下：

步骤21：对于从第一级检测模块接入的需要复核的数据流，提取其十一元组特征；

步骤22：将通用特征即流的特征和针对性特征即切片间逃逸特征以及数据报报文段作为基于长短期记忆网络和自注意力机制的检测模型的输入；

步骤23：经过基于长短期记忆网络和自注意力机制的检测模型的检测，得到输出结果P，P的取值为0或者1；

步骤24：将十一元组特征中的四个交换机关联特征进行格式转换，并与步骤23得到的P一起作为协同检测模型的输入；

步骤25：协同检测模型得到最终的检测结果，输出1表示发生了切片逃逸攻击，进入异常处理模块；输出0表示未发生异常，正常下发流表。

进一步地，在基于自注意力机制和长短期记忆网络的检测模型的输入层中，首先输入提取的十一元组特征中的一组或几组和数据报报文段，经过自注意力机制的处理，找到每个特征的相对重要性并为其自适应的分配权重，同时忽略掉数据报报文段中不重要的信息。

进一步地，在基于自注意力机制和长短期记忆网络的检测模型的隐藏层中，经过自注意力机制处理过后的数据作为长短期记忆网络模型的输入，长短期记忆网络模型由三个密集层和两个隐藏层组成，并由Keras Python库来构建模型，最后输出结果P，若结果为0表示没有切片逃逸攻击发生，若结果为1则表示该条流是一条切片逃逸攻击流量。

进一步地，步骤2中的协同检测模型使用基于长短期记忆网络和自注意力机制的检测模型。

进一步地，步骤2将十一元组特征中的四个交换机关联特征进行格式转换的方式为：将提取的交换机关联特征中交换机编号替换为该交换机此时发生切片逃逸攻击的概率。

进一步地，步骤3的具体过程如下：

步骤31：对于步骤2中获得的最终检测结果，若为0，表示检测结果为正常流量，进行流表下发；

步骤32：对于步骤2中获得的最终检测结果，若为1，表示检测结果为异常流量，停止流表下发，并将该流量的源地址加入到违规次数计数表表项中并记录其违规次数；

步骤33：对于步骤32中记录的违规次数，将其与违规次数阈值进行对比，若该地址发送数据包的违规次数达到阈值，则屏蔽该地址的所有流量，若该地址的违规次数尚未达到阈值，则摒弃该条违规流量。

与现有技术相比，本发明提出的一种基于全流量自适应检测的5G切片逃逸攻击检测方法，具有以下有益效果：

1、本发明针对5G切片场景，能够实现对切片逃逸攻击的自适应检测；

2、本发明针对切片内和切片间切片逃逸攻击的不同点，创新性提出了十一元组特征，用于实现对切片内和切片间的切片逃逸攻击检测；

3、本发明引入两级检测方法，利用信息熵技术进行快速的初步预检测，对于预检测存在异常的流量再进行第二级检测复核，极大缩短了检测时间；

4、本发明引入自注意力机制和协同检测模型，自注意力机制可以帮助确定特征权重，协同检测模型从攻击流量的传播链路入手，通过协同分析关联交换机的特征纠偏得出最终检测结果；

5、本发明使用sFlow代理技术，避免了在流量采集时大量的消息交换导致的控制器过载。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于全流量自适应检测的5G切片逃逸攻击检测方法的流程图。

图2为本发明实施例提供的两级检测模块的结构和使用的技术。

图3为本发明实施例提供的第一级检测模块的流程图。

图4为本发明实施例提供的第二级检测模块的原理图。

图5为本发明实施例提供的基于自注意力机制和长短期记忆网络的检测模型的原理图。

图6为本发明实施例提供的交换机特征格式转换的示意图。

图7为本发明实施例提供的异常处理模块的流程图。

具体实施方式

本发明提出了一种基于全流量自适应检测切片逃逸攻击的两级检测方法，对以“六元组”流表特征为基础的检测方案进行改进，创新性提出“十一元组”流表特征，以此实现对5G电力交易专网中切片内和切片间切片逃逸攻击的自适应检测，此外可以在提高检测效率的同时降低误警率。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出的一种基于全流量自适应检测的5G切片逃逸攻击检测方法，如图1所示，包括两级检测模块和异常处理模块两部分。两级检测方法又分为第一级检测模块和第二级检测模块，详细步骤如下：

步骤1：第一级检测模块通过sFlow代理技术从5G电力交易专网中获取单位时间间隔内的流表信息；使用信息熵技术计算获取到的流表的信息熵，对于熵值正常的流表项，正常下发，对于熵值存在异常的流表项，进入步骤2进行复核；

步骤2：对于步骤1中检测熵值存在异常的流表项，使用第二级检测模块提取其十一元组特征，十一元组特征包括四个流的特征[P_N，P_A，B，P_I]、三个切片间逃逸特征[FT_D，FE_P，FE_V]和四个交换机关联特征[DP_IN，DP_OUT，B_IN，B_OUT]，将十一元组特征和数据报报文段输入基于长短期记忆网络和自注意力机制的检测模型进行检测，得到检测结果P，P为切片逃逸攻击行为的发生概率；将提取到的十一元组特征中的四个交换机关联特征做相应的格式转换，并和得到的检测结果P一起输入协同检测模型进行检测，得到协同检测的检测结果；

步骤3：判断步骤2中的得到的协同检测结果是否为异常，若为正常，则正常下发，若为异常，则进入异常处理模块。

（一）两级检测模块

图2展示了两级检测模块的结构和主要使用的技术。两级检测模块分为第一级检测模块和第二级检测模块。被检测流量率先经过第一级检测模块，若为异常，则通过第二级检测模块复核。第一级检测模块主要使用了信息熵技术和sFlow代理技术。第二级检测模块主要利用了自注意力机制和长短期记忆网络技术，同时引入了十一元组特征方案和协同检测方案。

（1）第一级检测模块

如图3所示，第一级检测模块主要包括流量采集和信息熵预检测两个部分。在流量采集部分，5G切片中的软件定义网络控制器的集中控制方式使得控制平面承担的负载很大，当交换机大量的流请求以及交换机与控制器之间的消息交换大量发生时，很容易造成控制器过载或者负载不均衡。为避免在流量采集时大量的消息交换导致控制器过载，使用sFlow代理辅助收集交换机中的流表信息，实现超大网络流量的实时获取、分析，该部分获取的流表信息将作为信息熵预检测模块的输入。在信息熵预检测部分，使用信息熵技术，对收集到的切片网络中流量进行信息熵计算，通过对于熵值的观察，快速初步判断一段时间内网络中是否存在异常，若存在异常，则将该段时间内的流表信息作为第二级检测模块的输入；若判定无异常，则将流表正常下发。第一级检测模块的具体步骤如下：

步骤1：通过sFlow代理技术获取5G电力交易专网中单位时间间隔内的数据流表项；

步骤2：根据步骤1中获得的流表，提取一组四元组I=<源地址，目的地址，数据包数量，协议>；

步骤3：根据步骤2得到的四元组I和香农信息熵计算公式，计算数据流的信息熵；

步骤4：重复步骤2和步骤3五次，对比五次获得的信息熵与网络信息熵阈值的大小；

步骤5：若连续五次信息熵小于网络信息熵阈值，则判定可能存在异常流量，接入第二级检测模型复核；否则判定为正常流量，下发流表。

（2）第二级检测模块

第二级检测模块按照检测步骤划分可以分为十一元组特征的提取、基于自注意力机制和长短期记忆网络的检测模型和协同检测模型三个部分，按照检测功能划分又可以划分为切片内切片逃逸攻击检测模块和切片间切片逃逸攻击检测模块。第二级检测的原理框图如图4所示。第二级检测模块的具体步骤如下：

步骤1：对于从第一级检测模块的需要复核的数据流，提取其十一元组特征；

步骤2：将通用特征即流的特征和针对性特征即切片间逃逸特征以及数据报报文段作为基于长短期记忆网络和自注意力机制的检测模型的输入；

步骤3：得到基于长短期记忆网络和自注意力机制的检测模型的输出结果P，P为0或者1；

步骤4：将十一元组特征中的四个交换机关联特征进行格式转换，并与步骤3得到的P一起作为协同检测模型的输入；

步骤5：协同检测模型得到最终的检测结果，输出1表示发生了切片逃逸攻击，进入异常处理模块；输出0表示未发生异常，正常下发流表。

（a）十一元组特征提取

在十一元组特征的提取的部分，定义了十一元组特征，作为检测模型的输入，通过第一级检测模块输入到第二级检测模块的流表信息，可以提取到所列特征，其中流的特征四个：[P_N，P_A，B，P_I]，交换机关联特征四个：[DP_IN，DP_OUT，B_IN，B_OUT]，切片间逃逸特征三个：[FT_D，FE_P，FE_V]。具体说明如表1所示。

表1 十一元组特征

（b）基于自注意力机制和长短期记忆网络的检测模型

基于长短期记忆网络（Long short-term memory，LSTM）和自注意力机制（Self-attention）切片逃逸检测模型的原理框图如图5所示。在输入层中，首先输入上一步中提取的十一元组特征中的一组或几组和数据报报文段，经过自注意力机制的处理，找到每个特征的相对重要性并为其自适应的分配权重，同时忽略掉数据报报文段中不重要的信息。经过自注意力机制处理过后的数据作为长短期记忆网络模型的输入，LSTM模型由三个密集层和两个隐藏层组成，由Keras Python库来构建模型。最后输出检测结果，若结果为0表示没有切片逃逸攻击发生，若结果为1则表示该条流是一条切片逃逸攻击流量。

（c）协同检测模型

在切片逃逸攻击发生时，攻击流量会影响从源地址到目的地址的整个链路，为综合考虑关联交换机的信息，本方法融入了交换机协同检测。本方法的一大特点为把协同检测转化为另一个机器学习问题，因此需要选择一个合适的机器学习模型。协同检测同样是一个有监督的二分类问题，而且训练数据条数与流表特征条数相同，虽然维数更低，但数据规模同样非常庞大，因此协同检测模块仍然使用基于长短期记忆网络和自注意力机制的检测模型。

交换机关联特征不能直接使用，因为这些特征数据只是交换机的名称或者编号，需要转换后才可以使用。控制器每隔固定时间间隔提取的是一组交换机的流表特征，每个交换机都有自己对应的记录。协同检测模型会得到每条记录对应的交换机发生切片逃逸攻击行为的概率，此时，将同时提取的交换机关联特征中交换机编号替换为该交换机此时发生切片逃逸攻击行为的概率，即可与之前结果一起组成协同检测特征。图6为交换机的特征格式转换示意图。

如图7中所示，

代表第N号交换机，/>

代表第N号交换机提取到的流的检测结果。交换机关联特征[DP_IN，DP_OUT，B_IN，B_OUT]经过处理转换成该交换机提取到的流的检测结果与基于长短期记忆网络和自注意力机制的检测模型对于该条流的检测结果组合成为[/>

，/>

，/>

，/>

]作为模型的输入，经过模型的分析检测后输出检测结果作为最终的检测结果。

（d）切片内切片逃逸攻击检测

切片内逃逸行为检测部分通过从流表信息中提取两组特征：第一组为流的特征即[P_N，P_A，B，P_I]，第二组为交换机关联特征即[DP_IN，DP_OUT，B_IN，B_OUT]，将第一组流的特征和数据报报文段作为基于长短期记忆网络和自注意力机制的检测模型的输入后，可得到该条流受到切片逃逸攻击的概率P，第二组特征经过处理后与基于长短期记忆网络和自注意力机制的检测模型的输出P构成协同检测模型的输入，协同检测模块通过综合交换机关联特征实现对检测结果纠偏，确保对切片逃逸攻击早期的检测的准确率。

（e）切片间切片逃逸检测

切片间逃逸行为检测部分在特征提取部分与切片内逃逸行为检测部分不同表现在，切片间逃逸行为检测模块会从流表信息中提取额外一组特征，即：[FT_D，FE_P，FE_V]，以此来实现对跨切片的切片逃逸行为的检测。

切片间逃逸特征组实现对切片间逃逸攻击的检测的依据如下：

当攻击者进行跨切片的切片逃逸行为攻击切片时，会伪造IP地址（InternetProtocol Address，网际协议地址）并且会不断地更换伪造的地址，因此，交换机的流表中会存在大量的在后续很长一段时间里都不被数据包匹配的流表项。当一个流表项不被匹配的存续时间超过“停滞等待超时时间”时，该流表项就会自动消失。当切片逃逸攻击发生时，流表中会出现大量的存续时间小于“停滞等待超时时间”的流表项而缺少存续时间大于“停滞等待超时时间”的流表项。因此，流表持续时间中位数可以反映流和交换机的状态，观测其二者是否受到了切片逃逸行为攻击。同时，中位数不仅可以反映流表项的存续时间，还可以避免异常的最大值和最小值的影响，提高准确率，降低误警率。

当发生跨切片的切片逃逸攻击时，流表中会出现大量的不成对的流表项。正常情况下，流表项是可以找到与其源地址、目的地址成对应关系的流表项的。虽然正常情况下交换机为了链路负载均衡使用非对称路由机制也可能导致一定程度的非成对流表项，但是所占比例与遭遇切片逃逸攻击时不同，因此，IP成对流表项占总流表项的百分比可以反映该交换机是否受到切片逃逸攻击。

为避免IP成对流表项占总流表项的百分比在交换机流表项较多时的不敏感导致的检测效果下降，加入单项流表项数绝对值。

（二）异常处理模块

异常处理模块的流程图如图7所示。对于最终检测结果为正常的流量，进行流表下发；对于检测结果判定为异常的流量，将该流量的源地址加入到违规次数计数表项中并记录其违规次数，若该地址发送数据包的违规次数达到阈值，则屏蔽该地址的所有流量，若该地址的违规次数尚未达到阈值，则摒弃该条违规流量。

本发明的优点如下：

（1）针对5G切片场景，提出了一套对于切片逃逸攻击的检测方法，能够实现对切片逃逸攻击的自适应检测；

（2）针对切片内和切片间切片逃逸攻击的不同点，创新性提出了“十一元组”特征，用于实现对切片内和切片间的切片逃逸攻击检测；

（3）引入两级检测模块，利用信息熵技术进行快速的初步预检测，对于预检测存在异常的流量再进行第二级检测复核，极大缩短了检测时间；

（4）引入自注意力机制、长短期记忆网络和协同检测模型，自注意力机制可以帮助确定特征权重，协同检测模型从攻击流量的传播链路入手，通过协同分析关联交换机的特征纠偏得出最终检测结果，提高了检测的准确率、降低了检测的误报率；

（5）注重负载均衡，使用sFlow代理技术，避免了在流量采集时大量的消息交换导致的控制器过载。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，但这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，包括如下步骤：

步骤1：第一级检测模块通过sFlow代理技术从5G电力交易专网中获取单位时间间隔内的流表信息；使用信息熵技术计算获取到的流表的信息熵，对于熵值正常的流表项，正常下发，对于熵值存在异常的流表项，进入步骤2进行复核；

步骤2：对于步骤1中检测熵值存在异常的流表项，使用第二级检测模块中的十一元组特征提取模块提取其十一元组特征，所述十一元组特征包括四个流的特征、三个切片间逃逸特征和四个交换机关联特征，流的四个特征分别为数据包数量、数据包平均大小、总字节数和数据包到达时间间隔，切片间逃逸三个特征分别为流表持续时间中位数、IP成对流表项数百分比和单项流表项数绝对值，交换机关联四个特征分别为单位时间内数据包数量的最大流入方、单位时间内数据包数量的最大流出方、单位时间内字节的最大流入方和单位时间内字节的最大流出方；将十一元组特征构成的特征向量和数据报报文段输入基于长短期记忆网络和自注意力机制的检测模型进行检测，得到检测结果P，P为切片逃逸攻击行为的发生概率；将提取到的十一元组特征中的四个交换机关联特征做相应的格式转换，并和得到的检测结果P一起输入协同检测模型进行检测，得到协同检测的检测结果；

步骤3：判断步骤2中的得到的协同检测结果是否为正常，若为正常，则正常下发，若为异常，则进入异常处理模块。

2.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，第一级检测模块包括流量采集模块和信息熵预检测模块；流量采集模块使用sFlow代理技术获取交换机中的流表信息，并将获取的流表信息作为信息熵预检测模块的输入；信息熵预检测模块使用信息熵技术，对收集到的切片网络中流量进行信息熵计算，通过对于熵值的观察，初步判断一段时间内网络中是否存在异常，若存在异常，则将该段时间内的流表信息作为第二级检测模块的输入；若判定无异常，则将流表正常下发。

3.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，步骤1的具体过程如下：

步骤11：通过sFlow代理技术获取5G电力交易专网中单位时间间隔内的数据流表项；

步骤12：根据步骤11中获得的流表，提取一组四元组I，四元组I中的参数分别为源地址、目的地址、数据包数量和协议；

步骤13：根据步骤12得到的四元组I和信息熵计算公式，计算数据流的信息熵；

步骤14：重复步骤12和步骤13五次，对比五次获得的信息熵与网络信息熵阈值的大小；

步骤15：若连续五次信息熵小于网络信息熵阈值，则判定可能存在异常流量，将数据流输入第二级检测模型进行复核；否则判定为正常流量，下发流表。

4.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，第二级检测模块包括十一元组特征提取模块、基于长短期记忆网络和自注意力机制的检测模块以及协同检测模块，以实现切片内切片逃逸攻击检测和切片间切片逃逸攻击检测；

实现切片内切片逃逸攻击检测的过程为：首先通过十一元组特征提取模块获取通用特征即流的特征和交换机关联特征，将流的特征和数据报报文段作为基于长短期记忆网络和自注意力机制的检测模型的输入后，得到该条流受到切片逃逸攻击的概率，交换机关联特征经过处理后与基于长短期记忆网络和自注意力机制的检测模型的输出概率构成协同检测模型的输入，协同检测模型通过综合交换机关联特征实现对检测结果纠偏；

实现切片间切片逃逸攻击检测的过程为：首先通过十一元组特征提取模块获取通用特征流的特征和针对性特征即切片间逃逸特征，将流的特征、切片间逃逸特征和数据报报文段输入基于长短期记忆网络和自注意力机制的检测模型进行检测，得到该条流受到切片逃逸攻击的概率，将十一元组特征中的交换机关联特征进行格式转换，并与输出概率一起作为协同检测模型的输入，协同检测模型通过综合交换机关联特征实现对检测结果纠偏。

5.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，步骤2的具体过程如下：

步骤21：对于从第一级检测模块接入的需要复核的数据流，提取其十一元组特征；

步骤22：将通用特征即流的特征和针对性特征即切片间逃逸特征以及数据报报文段作为基于长短期记忆网络和自注意力机制的检测模型的输入；

步骤23：经过基于长短期记忆网络和自注意力机制的检测模型的检测，得到输出结果P，P的取值为0或者1；

步骤24：将十一元组特征中的四个交换机关联特征进行格式转换，并与步骤23得到的P一起作为协同检测模型的输入；

步骤25：协同检测模型得到最终的检测结果，输出1表示发生了切片逃逸攻击，进入异常处理模块；输出0表示未发生异常，正常下发流表。

6.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，在基于自注意力机制和长短期记忆网络的检测模型的输入层中，首先输入提取的十一元组特征中的一组或几组和数据报报文段，经过自注意力机制的处理，找到每个特征的相对重要性并为其自适应的分配权重，同时忽略掉数据报报文段中不重要的信息。

7.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，在基于自注意力机制和长短期记忆网络的检测模型的隐藏层中，经过自注意力机制处理过后的数据作为长短期记忆网络模型的输入，长短期记忆网络模型由三个密集层和两个隐藏层组成，并由Keras Python库来构建模型，最后输出结果P，若结果为0表示没有切片逃逸攻击发生，若结果为1则表示该条流是一条切片逃逸攻击流量。

8.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，步骤2中的协同检测模型使用基于长短期记忆网络和自注意力机制的检测模型。

9.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，步骤2将十一元组特征中的四个交换机关联特征进行格式转换的方式为：将提取的交换机关联特征中交换机编号替换为该交换机此时发生切片逃逸攻击的概率。

10.根据权利要求1所述的基于全流量自适应检测的5G切片逃逸攻击检测方法，其特征在于，步骤3的具体过程如下：

步骤31：对于步骤2中获得的最终检测结果，若为0，表示检测结果为正常流量，进行流表下发；

步骤32：对于步骤2中获得的最终检测结果，若为1，表示检测结果为异常流量，停止流表下发，并将该流量的源地址加入到违规次数计数表表项中并记录其违规次数；

步骤33：对于步骤32中记录的违规次数，将其与违规次数阈值进行对比，若该地址发送数据包的违规次数达到阈值，则屏蔽该地址的所有流量，若该地址的违规次数尚未达到阈值，则摒弃该条违规流量。

Images