基于XAI和LLM的AI-RAN异常DDoS检测技术

下一代无线接入网络（RAN）通过智能控制器引入可编程性、智能化和近实时控制能力，从而增强RAN及更广泛5G/6G基础设施的安全性。本文全面探讨了在未来安全RAN环境中使用大语言模型（LLM）辅助可解释人工智能（XAI）入侵检测系统（IDS）的机遇、挑战和研究空白。

基于此，提出了一种基于LLM可解释的异常检测系统，用于检测分布式拒绝服务（DDoS）攻击。该系统使用从E2节点提取的多变量时间序列关键性能指标（KPMs），在近实时RAN智能控制器（Near-RT RIC）中运行。采用基于LSTM的模型训练来识别恶意用户设备（UE）行为。

为增强透明度，应用了事后局部可解释性方法（如LIME和SHAP）来解释个体预测结果。此外，利用LLM技术将技术性解释转换为非专业用户可理解的自然语言洞察。

在真实5G网络KPMs上的实验结果表明，该框架在实现高检测精度（F1分数>0.96）的同时，还能提供可操作且可解释的输出结果。