这篇文档属于类型a,是一篇关于在无线接入网(RAN)中利用可解释人工智能(XAI)和大语言模型(LLM)进行异常检测的原创研究论文。以下是详细的学术报告:
1. 作者与发表信息
- 作者:Sotiris Chatzimiltis(研究生会员,IEEE)、Mohammad Shojafar(高级会员,IEEE)、Mahdi Boloursaz Mashhadi(高级会员,IEEE)和Rahim Tafazolli(会士,IEEE)。
- 机构:英国萨里大学5G/6G创新中心(5G/6GIC)。
- 期刊与时间:发表于《IEEE Transactions on Network Science and Engineering》2026年第13卷。
2. 学术背景
科学领域
研究属于无线通信网络安全与人工智能的交叉领域,聚焦于下一代无线接入网(RAN)的智能化安全防御。
研究动机
- 背景问题:5G/6G网络中的开放RAN(O-RAN)架构引入了可编程性和智能控制器(如Near-RT RIC),但也扩大了攻击面。传统入侵检测系统(IDS)在核心网部署,响应延迟高,且黑盒模型缺乏可解释性。
- 研究目标:提出一个结合序列建模、可解释AI(XAI)和大语言模型(LLM)的框架,实现近实时(Near-RT)的异常检测与解释,提升安全运维效率。
3. 研究流程与方法
框架设计
研究分为三个核心模块:
1. LSTM异常检测模型:
- 输入数据:从用户设备(UE)提取的14维关键性能指标(KPMs),组成时间序列(窗口大小=3)。
- 模型结构:LSTM层(32单元)+全连接层(Sigmoid激活),通过SMOTE+Tomek方法解决数据不平衡问题(攻击样本仅占1.7%)。
- 创新点:引入历史数据比例(Ratio=0.3)防止灾难性遗忘,宏F1分数从0.36提升至>0.96。
XAI解释模块:
- 方法:采用局部解释技术LIME和SHAP,生成特征贡献热力图(图8)。例如,SHAP显示下行比特率(dl_bitrate)是攻击判定的关键特征。
- 输出:技术性解释(如特征权重)需进一步转化为自然语言。
LLM自然语言生成:
- 输入:结合XAI输出、全局特征统计和模型预测结果,设计结构化提示(图2)。
- 模型选择:测试GPT-4 Turbo、DeepSeek-v3等,通过Few-shot提示优化生成质量(图3)。
- 评估指标:Flesch阅读易读性评分(>80)和BERTScore(语义相似度>0.9)。
实验验证
- 数据集:希腊国家科学研究中心(NCSRD)的真实5G网络KPMs,包含686,009条记录(11,456条攻击样本)。
- 对比基线:优于传统ML(XGBoost F1=0.92)和CNN-LSTM(F1=0.94),推理时间仅0.03 ms/样本。
4. 主要结果
检测性能:
- LSTM模型在5类DDoS攻击(如SYN Flood、GTP-U Flood)中宏F1达0.96,误报率(FPR)0.334%,漏报率(FNR)3.01%。
- 时间序列建模显著提升检测能力(表X),尤其在GTP-U攻击中召回率提高40%。
可解释性:
- SHAP全局分析(图9)显示dl_bitrate和ul_tx是top2关键特征。
- LLM生成的自然语言解释被83.3%的工程师评为“清晰可用”(用户研究结果)。
端到端延迟:
- XAPP(检测)与RAPP(解释)分离设计满足Near-RT要求(秒)。
5. 结论与价值
- 科学价值:首次将XAI与LLM结合用于RAN安全,解决了AI模型“黑盒”问题。
- 应用价值:可部署于O-RAN的Near-RT RIC,实现从检测到解释的闭环安全运维。
- 未来方向:扩展至低速率DDoS检测,并探索LLM驱动的自动化缓解策略。
6. 研究亮点
方法创新:
- 提出“XAI-LLM”双模块架构,兼顾检测速度与解释性。
- 引入历史数据比例(Ratio)防止模型遗忘,提升长期稳定性。
工程贡献:
- 开源5G KPMs数据集(NCSRD)填补了RAN异常检测的公共数据空白。
- 轻量化LSTM模型(36K FLOPs)适合边缘设备部署。
7. 其他价值
- 跨学科意义:为6G网络中的AI原生安全(AI-Native Security)提供原型验证。
- 社会影响:降低运营商对安全专家的依赖,推动自动化网络运维。
(总字数:约1800字)