Interpretable Anomaly-Based DDoS Detection in AI-RAN with XAI and LLMs
作者: Sotiris Chatzimiltis, Mohammad Shojafar, Mahdi Boloursaz Mashhadi, Rahim Tafazolli
分类: cs.CR, cs.LG
发布日期: 2025-07-27
💡 一句话要点
提出基于XAI和LLM的可解释AI-RAN异常DDoS检测系统
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: AI-RAN DDoS检测 可解释人工智能 大型语言模型 LSTM 网络安全 5G/6G
📋 核心要点
- 现有RAN安全方案缺乏透明性和可解释性,难以让非专业人员理解DDoS攻击的成因和影响。
- 利用LSTM模型分析RAN中的关键性能指标(KPM),结合XAI方法和LLM,提供可解释的DDoS攻击检测。
- 在真实5G网络数据上的实验表明,该框架能够以高精度(F1分数>0.96)检测DDoS攻击,并提供可解释的输出。
📝 摘要(中文)
下一代无线接入网络(RAN)通过智能控制器引入了可编程性、智能性和近实时控制,从而增强了RAN内部以及更广泛的5G/6G基础设施的安全性。本文全面调研了大型语言模型(LLM)辅助的可解释(XAI)入侵检测(IDS)在未来安全RAN环境中的机遇、挑战和研究空白。受此启发,我们提出了一种基于LLM可解释的异常检测系统,用于检测分布式拒绝服务(DDoS)攻击,该系统利用从近实时RAN智能控制器(Near-RT RIC)内的E2节点提取的多元时间序列关键性能指标(KPM)。训练基于LSTM的模型以识别基于这些KPM的恶意用户设备(UE)行为。为了提高透明度,我们应用诸如LIME和SHAP之类的事后局部可解释性方法来解释单个预测。此外,LLM用于将技术解释转换为非专业用户可以理解的自然语言见解。在真实5G网络KPM上的实验结果表明,我们的框架实现了高检测精度(F1分数> 0.96),同时提供了可操作且可解释的输出。
🔬 方法详解
问题定义:论文旨在解决在AI-RAN环境中,如何以可解释的方式检测DDoS攻击的问题。现有的DDoS检测方法通常是黑盒模型,缺乏透明度,难以让网络管理员理解攻击的原因和影响,从而难以采取有效的应对措施。此外,传统方法可能无法充分利用RAN中丰富的关键性能指标(KPM)信息。
核心思路:论文的核心思路是结合LSTM模型、可解释性人工智能(XAI)方法和大型语言模型(LLM),构建一个可解释的DDoS检测系统。LSTM模型用于从KPM时间序列中学习正常行为模式,XAI方法(LIME和SHAP)用于解释LSTM模型的预测结果,LLM则将技术解释转换为自然语言,使非专业人员也能理解。
技术框架:该系统主要包含以下几个模块:1) 数据采集模块:从Near-RT RIC的E2节点收集多元时间序列KPM数据。2) LSTM模型训练模块:使用正常流量数据训练LSTM模型,使其能够预测未来的KPM值。3) 异常检测模块:将实际KPM值与LSTM模型的预测值进行比较,如果差异超过阈值,则判定为异常。4) XAI解释模块:使用LIME和SHAP等方法解释LSTM模型的预测结果,找出对预测结果影响最大的KPM特征。5) LLM解释模块:使用LLM将XAI的解释结果转换为自然语言,生成易于理解的报告。
关键创新:该论文的关键创新在于将XAI和LLM引入到AI-RAN的DDoS检测中,实现了可解释的异常检测。这使得网络管理员能够理解DDoS攻击的原因和影响,从而采取更有效的应对措施。此外,该论文还提出了一种基于LSTM模型的DDoS检测方法,能够充分利用RAN中丰富的KPM信息。
关键设计:LSTM模型的结构(层数、神经元数量等)需要根据具体的KPM数据进行调整。异常检测阈值的设置需要权衡检测精度和误报率。LIME和SHAP等XAI方法的参数设置也会影响解释结果的质量。LLM的选择和prompt的设计也会影响自然语言解释的准确性和可理解性。论文中没有详细说明这些参数的具体设置,可能需要根据实际情况进行调整。
🖼️ 关键图片
📊 实验亮点
实验结果表明,该框架在真实5G网络KPM数据上实现了高检测精度,F1分数超过0.96。这表明该方法能够有效地检测DDoS攻击。此外,通过XAI和LLM提供的可解释输出,使得非专业人员也能理解检测结果,从而提高了系统的实用性。
🎯 应用场景
该研究成果可应用于未来的5G/6G无线接入网络(RAN)安全,特别是在AI-RAN环境中,能够提升DDoS攻击的检测和防御能力。通过提供可解释的检测结果,该系统可以帮助网络管理员更好地理解攻击行为,并采取相应的安全措施,从而提高网络的整体安全性。
📄 摘要(原文)
Next generation Radio Access Networks (RANs) introduce programmability, intelligence, and near real-time control through intelligent controllers, enabling enhanced security within the RAN and across broader 5G/6G infrastructures. This paper presents a comprehensive survey highlighting opportunities, challenges, and research gaps for Large Language Models (LLMs)-assisted explainable (XAI) intrusion detection (IDS) for secure future RAN environments. Motivated by this, we propose an LLM interpretable anomaly-based detection system for distributed denial-of-service (DDoS) attacks using multivariate time series key performance measures (KPMs), extracted from E2 nodes, within the Near Real-Time RAN Intelligent Controller (Near-RT RIC). An LSTM-based model is trained to identify malicious User Equipment (UE) behavior based on these KPMs. To enhance transparency, we apply post-hoc local explainability methods such as LIME and SHAP to interpret individual predictions. Furthermore, LLMs are employed to convert technical explanations into natural-language insights accessible to non-expert users. Experimental results on real 5G network KPMs demonstrate that our framework achieves high detection accuracy (F1-score > 0.96) while delivering actionable and interpretable outputs.