核心網用戶面異常流量智能化檢測創新方案與實踐

關鍵詞：核心網；ResNet；LSTM；simpleCNN；異常檢測；自動化

doi：10.3969/J.ISSN.1672-7274.2025.04.034

中圖分類號：TN929.53 文獻標志碼：B 文章編碼：1672-7274（2025）04-0099-03

Abstract： With the rapid development of big data，cloud computing，artificial intellgence，and 5G technology， network applications have become increasingly widespread and convenient.By 2O24，the number of Internet users inthe World willreach6bilion，anincreaseof3.3billionover2014，and the Internet penetrationratehas reached 76% .This huge scale of internet users has brought a massive amount of online user traffc，including both normal and abnormal traffic.Therefore，the detection technologyof abnormal user trafc is crucial for improving network information security. As a mainstream core network equipment provider， ZTE is commited to providing innovative technologies and solutions for global telecommunications operators，consumers，and more.By combining ResNet （Residual Network），LSTM（Long Short Term Memory），and SimpleCNN（Simple Convolutional Neural Network） neural network models，ZTE has successfully achieved automated anomaly detection of user plane data streams， which is expected to provide some help for the digitization of core network delivery and operation.

Keywords： core network; ResNet; LSTM; simpleCNN; anomaly detection; automation

研究背景

動化技術顯得尤為迫切。

在運營商網絡中，移動通信網絡占據了極為重要的地位[1-2]。移動通信網絡由接入網、承載網和核心網三大部分組成，其中，核心網作為用戶數據和信令的承載者，在整個網絡中扮演控制大腦的角色，確保整個網絡的穩定運行和服務質量[3]。

然而，隨著某國網絡規模的擴大和用戶流量的激增，核心網用戶面數據流異常場景也日益復雜多樣（如單流上行或下行零流量、DNS域名欺詐、TTL欺詐等）。傳統的核心網異常用戶數據流檢測手段嚴重依賴人工分析，不僅效率低下，還存在誤報的問題。因此，研發一種能夠實現用戶異常數據流精確檢測的自

2 理論模型

2.1殘差神經網絡

殘差網絡（ResNet）是卷積神經網絡CNN的變種，有效地解決了傳統CNN在訓練過程中出現的梯度消失與爆炸、資源消耗過大以及過擬合等問題[4]。ResNet模型包含多個殘差塊。

在殘差網絡中，將目標函數設定為 IN（X）=X+f（X） 其中， X 是輸入， f（χ） 為將兩層卷積層運算后的結果。

不同于傳統的 N（x）=f（x） ，殘差網絡通過將輸入 ?X 直接短路到非線性層的輸出，實現了對輸入 ?X 的微小調整，最終使輸出 N（χ） 為輸入x和殘差 f（χ） 的疊加。

2.2長短期記憶網絡

長短期記憶網絡（LSTM）是一種特殊遞歸神經網絡，特別適用于處理時間序列數據[5]。LSTM通過獲取、存儲和傳遞控制信息，有效解決了RNN常見的梯度消失或在網絡深度增大時爆炸的問題，從而在性能和穩定性上有了顯著的提高。

LSTM網絡在RNN的基礎上增加了遺忘門、輸入門、輸出門三種方式來實現對數據的記憶功能。遺忘門可以選擇性地丟棄上一個細胞塊的信息，輸入門控制是否記錄新數據到細胞狀態中，輸出門決定是否輸出數據。具體的計算公式為

f_t=σ（W_f?[h_t-1，x_t]+b_f）

式中， f_t 和 h_t-1 分別表示遺忘門的門控系數和t-1時刻的隱藏層狀態； h_t-1 和 ∣x_t 是t時刻的輸入。

式中， i_t 和 O_t 分別表示輸入門和輸出門的門控系數。

式中， 是候選記憶單元，表示t時刻tanh層創建的候選值常量。

式中， C_t-1 為t-1時刻的記憶單元； C_t 為t時刻LSTM單元狀態。

h_t=O_t*tanh（C_t）

式中， h_t 是通過輸出門處理，最終輸出門決定保留的部分。

式（1）至式（6）中， W_f 7 W_f ！ W_O 是門控節點的權重值； b_f 、 b_i 、 b_O 表示門控節點的偏差值； W_C 和 b_C 分別是記憶單元的權重值和偏差值； σ 表示sigmoid函數。

2.3ResNet-LSTM-SimpleCNN集成模型

本文構建了一個結合ResNet、LSTM和SimpleCNN的核心網用戶面異常數據流檢測模型。該模型首先利用ResNet提取數據流的原始特征，然后將這些特征向量輸入LSTM，LSTM細胞通過循環連接進行長序列預測，通過輸出層生成預測結果。同時，原始數據還將通過SimpleCNN進行訓練和預測。最終，ResNet-LSTM模型的輸出與SimpleCNN的輸出相加，形成ResNet-LSTM-SimpleCNN集成模型的最終結果。集成模型的網絡結構如圖1所示。

2.4模型評估

通常，使用準確率（Accuracy）、精確率（Precision）、召回率（Recall）、Fl值（F1-score）以及損失收斂速度（Lossconvergence）來評估模型性能。這些指標的計算基于以下指標：TP（真正例）、FN（假負例）、FP（假正例）和TN（真負例）。具體的計算公式如下：

3 實驗結果與分析

為驗證本文提出的技術方案的有效性，我們進行了詳細的實驗。實驗過程包括數據預處理、ResNet-LSTM-SimpleCNN模型訓練、模型評估和異常檢測四個步驟，其具體步驟如下。

3.1數據預處理

首先從中興通訊核心網EMS + 產品中導出用戶數據流，每一條用戶數據流的信息包括時間、MSISDN、IMSI、源目IP、源目端口、總流量、上行流量、下行流量、持續時間、URL、Domain、DNSDomain、TTL等。根據典型異常場景，給用戶數據流打上正常/異常標簽。讀取用戶數據流的信息和數據標簽信息，對其中缺失的信息處理為-999，從而適應模型的訓練需求，同時避免因缺失值導致的錯誤。把上述數據流和標簽的數據類型處理成單精度浮點數數據類型，采用StandardScaler標準化器，對數據進行標準化處理，使不同的特點尺度、范圍都是一樣的。

3.2模型訓練

基于處理后數據，劃分訓練集和測試集（ 80% 數據用于訓練、 20% 數據用于測試），將訓練集特征轉換為PyTorch張量，從而可以將其直接用于深度學習模型的訓練和推理過程，將其類型轉換為浮點型，從而可以更好地支持計算過程中的梯度傳播。

對于ResNet-LSTM，包含一個ResNet層、一個LSTM層、一個一維批量歸一化層和一個全連接層。其中，一維批量歸一化層和全連接層主要用于規范LSTM的輸出和將LSTM的輸出映射到類別預測的數量。輸入數據首先由ResNet模型提取特征，將模型的輸出作為LSTM的輸入，對特征序列進行建模。對LSTM的輸出進行ReLU激活函數處理，加速模型的訓練過程且減少過擬合，進行維度置換操作（0，2，1），這一步操作將LSTM輸出中的維度進行調整，交換batchsize和序列長度，以滿足批量規范化層的輸入要求。接著，對輸出進行批量歸一化處理，加速模型訓練且解決梯度消失問題，從而對深層神經網絡進行更好的訓練。再次進行維度置換（0，2，1）LSTM輸出，還原維度順序。最終，通過全鏈接層映射LSTM的輸出到類別預測數量，從而進行分類任務的預測。全連接層提供了靈活性，并將其映射到特定數量的類別預測。這一步驟允許模型根據輸入數據的特征進行分類，并輸出與問題相對應的預測結果。

在集成模型中，ResNet-LSTM和SimpleCNN的輸出被簡單地相加起來，以產生最終的輸出。這樣做的目的是讓模型能夠從兩個不同的特征提取器中獲得信息，并結合它們的預測能力，以提高整體性能。

本文中的ResNet-LSTM結合模型適用于需要將網絡數據流轉換為圖像特征并結合時序信息進行異常檢測的場景，適合復雜的數據流分析。此外，集成模型能夠更全面地學習數據的特征信息，從而提高模型的表現和性能。

3.3模型評估

基于模型訓練過程中產生的測試數據標簽和訓練過程中的損失，和EMS + 產品導出用戶數據流數據原標簽進行對比，計算準確率、精確率、召回率、F1值、損失收斂速度。

對于Lossconvergence（損失收斂速度），模型訓練過程中，每個epoch結束后，計算當前epoch的訓練loss的平均值，將當前epoch的訓練loss添加到loss_values列表中。最后，輸出當前epoch的Lossconvergence，并保存4位小數。表1是基于不同數據集的性能評估結果。

3.4異常檢測

從中興通訊核心網EMS + 產品中導出待檢測的數據，待檢測數據可以是單一的csv文件或者多個csv文件壓縮的zip文件，在工具Web操作界面上導入打好數據標簽的訓練數據和待檢測數據，工具進行自動化訓練和異常用戶數據流檢測，檢測的場景包括單流上行或下行零流量、DNS域名欺詐、TTL欺詐等。待工具檢測完成后，輸出包含異常場景的用戶數據流的csv文件報告。

4結束語

基于本項工作開發的智能化檢測工具，中興通訊為某國核心網的用戶面數據流的異常檢測提供了綜合解決方案。實驗結果表明，相比于傳統方式，該方案具有如下優勢：一是檢測精度高，基于CIC-IDS2017、CIC-IDS2018數據集和某國核心網EMS + 導出的數據，使用模型進行檢測，結果顯示檢測數據的準確度在 99% 以上；二是運維效率高，本方案實現的網絡異常用戶數據流檢測，實現了自動化檢測和分析，耗時從2h縮短至1min，使運維效率提升到新的水平；三是運維成本低，傳統的用戶面異常流量檢測依賴專家經驗，對網絡運維人員的技術等級要求更高，而本方案可以實現自動化檢測，降低對專家的依賴，從而降低運維成本。未來，中興通訊將繼續與各大電信運營商深度合作，提供更加高效、智能的網絡交付運維工具，共同推動網絡交付運維的智能化進程。

參考文獻

[1]傅淼.5G移動通信網絡關鍵技術概述[J].現代工業經濟和信息化，2018，008（005）：65-66.69

[2]顧靜.移動通信運營商互聯網業務內控管理的研究[J].當代會計，2022（6）：28-30.

[3]虞志剛，馮旭，黃照祥，陸洲.通信、網絡、計算融合的天地一體化信息網絡體系架構研究[J].電信科學，2022，38（04）：11-29.

[4]王安義，王柯柯.基于ResNet的海洋環境下OFDM深度接收機研究[J].信息技術，2022，46（12）：6-11.

[5]程宇陽，周丙濤，施成熙.基于長短期記憶人工神經網絡與SUMO仿真的交通信號燈配時優化[J].科學技術創新，2021（26）：67-70.