面向5G MEC 基于行為的用戶異常檢測方案

張偉成，衛紅權，劉樹新，王庚潤

（戰略支援部隊信息工程大學國家數字交換系統工程技術研究中心，鄭州 450001）

0 概述

在萬物互聯時代，人與物、物與物之間的信息交互更為頻繁。物聯網、車聯網、工業互聯網、AR/VR等技術的蓬勃發展，促使智能設備數量和數據量呈指數級增長。Machina Research 報告指出，到2025 年全球智能設備的總數將超過270 億，根據思科云指數預測，截至2021 年，終端每年產生的數據量將達到847 ZB，集中式的云計算將難以應對指數級增長的設備數量和數據量對用戶極致體驗的要求。移動邊 緣計算（Mobile Edge Computing，MEC）［1-2］通過將云計算能力和IT 服務環境下沉到網絡邊緣，就近向用戶提供服務，能有效彌補云計算的不足。

移動邊緣計算具有豐富的應用場景，如企業園區專網應用、車聯網等，這在帶來便利的同時也面臨更多的安全挑戰［3-4］。一方面是用戶側帶來的威脅。邊緣側的MEC 節點匯聚著周邊用戶的敏感信息，惡意用戶能夠利用邊緣節點進行橫向或縱向攻擊［5］。Haystax 于2019 年發布的網絡內部安全威脅報告［6］指出，內部惡意用戶是造成數據泄露的第二大原因。惡意用戶可以分為兩類，一類是非法身份的攻擊者，另一類是合法身份的攻擊者，而最具破壞性的是合法身份的攻擊者。合法身份的攻擊者通常具備內部權限，了解敏感數據的存放位置。攻擊者冒用合法用戶的身份以及合法用戶有意或無意的惡意行為都將對MEC 安全防護提出巨大的挑戰。另一方面是MEC 資源受限等特性帶來的挑戰。MEC 節點呈資源約束性、分布式等特性，使MEC 難以承載云計算中的防護配置［7］。因此，對MEC 場景內用戶異常進行輕量級監測，對保護MEC 安全至關重要。

將機器學習及其子領域深度學習應用于對異常用戶的檢測，是當前的主流選擇［8］。但MEC 場景下的異常檢測面臨著諸多挑戰，存在正負樣本嚴重不均衡、樣本特征位置異常、不能滿足大數據量和復雜模型的訓練［9］等問題。

本文針對5G MEC 架構，提出一種基于行為的用戶異常檢測方案。將云數據中心的計算任務卸載到用戶側和邊緣側，在用戶側進行數據預處理，在邊緣側進行模型訓練，并在邊緣側選擇輕量級機器學習算法，緩解云數據中心計算壓力。同時，避免使用存在缺陷的公開數據集，而是選用真實的用戶行為數據進行訓練，保證所設計方案的可行性。針對樣本不均衡、異常樣本特征未知的問題，在對特定用戶的異常檢測過程中采用無監督的單分類機器學習算法，從而確保檢測方案的安全性。

1 相關工作

異常檢測是檢測數據是否符合預期行為的過程［10］。異常可以被定義為不符合預期的行為模式，直接異常檢測方法是定義一個表示正常行為的區域，將任何觀察到的不屬于這個區域的行為都認為是異常行為，如同“白名單機制”。此機制存在以下不足：1）正常行為和異常行為的邊界不精確，難以劃定正常的區域；2）一些狡猾的惡意行為通過偽裝可以被觀察為正常值。間接異常檢測方法如同“黑名單”機制，是通過定義一個表示異常行為的區域，核心思想是窮舉現有的異常行為，不足是難以檢查未知的異常行為。而基于機器學習的異常檢測有別于“查黑”“查白”的防護體系，而是通過“查行為”的方式，以大數據為基礎，以機器學習、人工智能的分析為核心，通過建立正常行為基線對超出基線的行為進行告警，可以抽象為機器學習領域中的分類問題。

文獻［11］將判別受限玻爾茲曼機（Discriminative Restricted Boltzmann Machine，DRBM）技術應用于用戶異常檢測，使用公開的網絡流量數據進行訓練，并針對實際的數據進行測試，數據特征主要以數據包的大小、類型、數據包之間的時間間隔、源IP 地址及端口、目的IP 地址及端口等數據包的外部屬性為主。但此模型的訓練過程計算消耗較大，不適用于資源受限的邊緣設備。

文獻［12］提出一種混合機器學習方法以檢測內部威脅，該方案先使用多狀態長短時記憶網絡（Multi State Long Short Term Memory，MSLSTM）對每個用戶行為動作序列進行編碼，再將固定大小的特征矩陣作為卷積神經網絡（Convolution Neural Network，CNN）的輸入進行內部威脅檢測，從而判斷特定用戶的特定操作是否異常。

文獻［13］提供了一種可以直接部署在資源受限設備上的異常檢測方案，該方案使用公開的流量數據（包含已經標記的惡意流量）作為異常檢測的數據集，利用機器學習中的支持向量機（Support Vector Machine，SVM）進行二分類。實驗結果表明，該方案對惡意流量的識別準確率可達98.22%，但要求數據集正負樣本有標簽且樣本均衡。

文獻［14］所設計的方案能夠在邊緣設備直接托管和執行，該方案采用孤立森林（isolation Forest，iForest）和局部影響因子（Local Οutlier Factor，LΟF）對正常流量與異常流量進行識別檢測，訓練數據集為流量數據，其所需訓練樣本不需要進行標注，能夠應對未知的威脅。

文獻［15］針對5G 網絡用戶流量設計了一個可擴展的異常檢測框架，該框架采用深度學習技術，從網絡流中提取144 個流量特征分兩個階段對用戶流量進行檢測，第一階段采用深度神經網絡（Deep Neural Network，DNN）進行異常檢測，第二階段采用LSTM 進行異常檢測，實現了檢測系統的資源消耗優化。所提方法對邊緣服務器配置要求較高，需要支持多種深度學習框架、搭載較強的圖形處理器（Graphics Processing Unit，GPU）。

文獻［16］所提方案由云服務器負責存儲數據，由霧節點和MEC 服務器進行模型訓練，采用樣本選擇極限學習機（Sample Selected Extreme Learning Machine，SS-ELM）算法進行異常檢測，降低了云數據中心的計算負擔，減少了訓練時間，提高了訓練精度，但方案所使用的KDD Cup 99 數據集不能進行網絡入侵檢測系統的評估［17］。

文獻［18］基于MEC 的方法將核心網的計算任務卸載到邊緣側的MEC 服務器上，以真實的用戶呼叫記錄為數據驅動，采用前饋深度神經網絡算法進行異常檢測，克服了高誤報率和低準確性的限制，提高了用戶服務體驗質量。文獻［19］在此基礎上采用CNN 實現了同樣的目標，但不足是將計算任務分配到資源受限的邊緣側進行深度學習算法訓練，增加了模型的訓練的時間成本。

對上述異常檢測方案進行對比，如表1 所示。現有的基于機器學習的異常檢測方法，可以分為有監督和無監督兩類。有監督的異常檢測主要是通過對正常樣本和已知的異常樣本進行分類訓練，是一種二分類或多分類的判別過程，即觀察到的異常行為是已知的、訓練樣本中存在的，此類方法對未知的攻擊手段識別度不高。無監督的異常檢測以深度學習和單分類為主，訓練樣本只有正樣本或者僅有極少量的負樣本，樣本沒有標簽，異常檢測過程符合實際網絡需求。在計算資源消耗方面，相較于深度學習算法，傳統的機器學習算法對計算資源要求較低，基于深度學習的異常檢測計算消耗往往較大。與傳統的云計算模式相比，采用邊緣計算架構的方案能夠降低云數據中心的計算壓力，提高用戶服務體驗質量。

表1 異常檢測方案對比Table 1 Comparison of anomaly detection schemes

2 面向5G MEC 的用戶異常檢測方法

本文針對5G MEC 架構中易在用戶側發生的仿冒攻擊和內部威脅，提出基于行為的用戶異常檢測方法。在緩解云數據中心計算壓力方面，將云數據中心的計算任務卸載到用戶側和邊緣側，在用戶側進行數據預處理，在邊緣側進行模型訓練。基于邊緣側資源有限的特性，在算法選擇上避免使用神經網絡等需要大量計算資源的深度學習算法，而是以傳統的輕量級機器學習算法為主，從而在邊緣側不需要搭載高性能的設備即可完成模型訓練。在數據集選擇上，避免使用存有缺陷的公開數據集，選用真實的用戶行為數據進行訓練保證所設計方案的可行性。同時，在對特定用戶的異常檢測過程中采用無監督的單分類機器學習算法，解決樣本不均衡和異常樣本特征未知的問題。

2.1 設計思想

將用戶產生的行為數據完整地上傳到云數據中心進行預處理及模型訓練，會加重云數據中心的訓練負擔，大量數據在上傳過程中也會產生額外的時間消耗，同時還可能導致用戶隱私信息泄露。本文所設計的檢測方案在邊緣計算框架內實施，數據在本地進行預處理，模型在邊緣進行訓練，并對用戶進行異常檢測。

對用戶進行異常檢測的流程如圖1 所示，分為以下兩個階段：

圖1 用戶異常檢測流程Fig.1 Procedure of user anomaly detection

第一階段為用戶一致性檢驗階段，主要對已知用戶的身份進行一致性檢測。通過將園區內全部合法用戶的歷史行為數據訓練為一個多分類器，然后利用多分類器對進入園區的用戶進行有監督的分類識別，識別正常且一致的為正常合法用戶，識別不出或者識別結果不一致的為異常用戶，其中模型可以根據用戶量的大小由部署在園區的邊緣服務器進行單獨訓練或者分布式聯合訓練，也可由云數據中心進行訓練。本文采用在邊緣服務器上訓練的方式，依據歷史數據對已知用戶的身份進行一致性檢驗。

第二階段為異常檢測階段，主要針對單個合法用戶進行異常監測，監測用戶可能產生的異于常態的行為。此過程由部署在園區內的邊緣服務器執行，主要是通過一個單分類算法對每一個合法用戶的行為數據進行訓練，每個用戶分別訓練一個檢測模型，用戶新產生的行為數據通過檢測模型進行異常檢測，以判斷合法用戶是否存在異于常態的行為。

2.2 用戶行為建模

除網絡流量特征之外，終端用戶的各種活動也能表征每一個用戶，例如用戶位置信息、應用程序使用記錄、用戶運動軌跡、電池電量的變化率等。由于應用程序已經成為理解人類行為動態和影響力的重要媒介，本文對用戶使用應用程序產生的記錄進行行為建模，從而對用戶進行異常檢測。用戶的行為模型如下：

異常的行為主要從3 個維度進行表述：

2.3 檢測流程

基于圖1 所示的用戶異常檢測流程，第一階段（用戶一致性檢驗）和第二階段（用戶異常檢測）的詳細流程如圖2 所示。

圖2 用戶異常檢測詳細流程Fig.2 Detailed procedure of user anomaly detection

2.3.1 數據預處理和特征選擇

在機器學習中，多數算法只能處理數值型數據，不能處理文字、字符串等數據。為了讓數據適應算法需要對數據進行編碼的要求，即轉換數據類型為數值型，本文采用獨熱編碼（Οne-Hot）對用戶的行為記錄進行編碼。獨熱編碼主要是采用N位狀態寄存器來對N個狀態進行編碼，每個狀態都有獨立的寄存器，并且在任意時候只有一位有效。獨熱編碼是分類變量作為二進制向量的表示。

由于MEC 場景的輕量級限制，特征維度較大的數據在邊緣側進行訓練會加重邊緣側的計算負擔，因此需要對獨熱編碼產生的行為特征數據進行特征選擇，在不引起重要信息丟失的前提下去除無關特征和冗余特征。本文主要采用互信息（Mutual Information，MI）法進行特征選擇。MI 是測量兩個特征之間相互依賴關系的一種特征選擇方法，可以過濾無關的特征以降低數據的維度，從而降低運算開銷，提高訓練速度。

2.3.2 用戶一致性檢驗階段

如圖3 所示，用戶一致性檢驗階段主要是對園區內用戶身份的合法性進行檢測。本文采用機器學 習［20］中的極 限梯度提升（eXtreme Gradient Boosting，XGBoost）算法對用戶合法身份進行檢測。XGBoost 是一種提升樹模型算法，其將許多樹模型集成在一起形成一個很強的分類器，能夠比其他使用梯度提升的集成算法更加快速，并且已經被認為是在分類和回歸上都擁有超高性能的先進評估器。通過采用XGBoost 算法對園區內所有合法用戶進行模型訓練，形成一個多分類器，然后對帶有身份標簽的用戶進行分類區別：若無法識別出用戶的身份，則表明此用戶非園區內合法用戶；若識別出用戶身份但與用戶的身份標簽不一致，則表明合法用戶之間存在權限資源濫用現象；若識別出用戶身份但且與用戶的身份標簽一致，則表明此用戶為合法的正常用戶。此階段訓練數據集為固定園區內所有合法用戶的歷史行為記錄，屬于有監督的訓練。

圖3 用戶一致性檢驗過程Fig.3 User consistency verification process

2.3.3 單個用戶異常檢測階段

本文方法流程的第二階段為對單個合法用戶的異常檢測，主要依據單個用戶的歷史行為記錄對當前的行為是否為異常進行判別，由于樣本較為單一（均為正樣本，或僅有少量的負樣本），因此此階段主要采用單分類算法中的（Οne-Class Classification，ΟCC）孤立森林（iForest）算法進行模型訓練。單分類［21］是多分類算法中的一種特殊情況，其中在訓練期間觀察到的數據主要來自正類。單分類方法廣泛用于異常圖像檢測和異常事件檢測等領域，而孤立森林［22］是常見的用于挖掘異常數據的單分類算法，通常用于網絡安全中的攻擊檢測和流量異常等分析。iForest 算法主要針對用戶行為數據特征中容易被孤立的離群點進行檢測、評分、標注。此階段通過iForest 算法建立訓練模型后，從用戶行為數據的時間維度、空間維度、時間-空間維度產生特征的疏離程度進行自動評分，評分結果為負值的標記為異常用戶行為，反之，則為正常。實驗過程也可設定閾值對模型判別結果進行干預。

3 實驗分析與仿真結果

3.1 數據集

當前智能終端已經成為人們生活中必不可少的一部分，各類應用程序如影音娛樂、出行導航、金融理財、社交通信等豐富著人們的日常生活。借肋搭載在智能終端上的應用程序，可以對用戶進行辨別，并以此對特定用戶的日常行為是否異常進行分析判斷。本文所使用的數據集是由麻省理工學院人類動力學實驗室發布的真實的用戶數據集［23］。該數據集記錄了130 名參與者基于傳感器的完整人類行為記錄，包括通話記錄、應用程序使用記錄、GPS 定位記錄、Wi-Fi 接入點、短信息記錄、電池使用情況記錄等數據。

3.2 評價指標

不同的機器學習任務具有不同的評估指標，每個指標的側重點也不同，混淆矩陣［24］詳細描述了分類結果，可用于對分類模型性能進行評估。二分類的混淆矩陣如表2 所示。其中：TP表示正樣本被正確分類的數量；FN表示正樣本被錯誤分類的數量；FP表示負樣本被錯誤分類的數量；TN表示負樣本被正確分類的數量。

表2 二分類混淆矩陣Table 2 Binary confusion matrix

在網絡安全領域，評估模型中常用的指標是精確率、召回率和F1 值［8］。在對內部人員威脅的檢測過程中，異常樣本占比較小，而本文更關注的是對異常的識別概率，因此，本文主要采用準確率、F1 值、FAR 來對模型進行評估。

準確率為正確分類的樣本占全部樣本的比例，如式（1）所示：

精確率為正確分類的正樣本占分類為正的樣本的比例，如式（2）所示：

召回率為正確分類的正樣本占實際正樣本的比例，如式（3）所示：

F1 值為精確率與召回率的加權調和平均，如式（4）所示：

一般來說，F1 值越高，模型的表現越好。

誤報率（FAR）為預測錯誤的負樣本數量占實際負樣本數量的百分比，如式（5）所示：

3.3 實驗分析

3.3.1 實驗環境

本文使用Intel?CoreTMi7-7700 CPU@3.60 GHz，64 GB 內存和安裝Window 10 操作系統的電腦模擬邊緣服務器，使用kirin 980、8 GB 內存和安裝Android 10 操作系統的榮耀手機模擬終端用戶設備，使用Python 語言、sklearn 庫中的數據預處理與特征選擇模塊以及XGBoost 模塊進行仿真。

3.3.2 實驗步驟

本文從數據集中隨機選取20 個用戶作為小型固定園區P 的合法用戶，對20 個用戶進行編號，記為P=｛U1，U2，…，Un｝，其中，Un代表第n個用戶，n為1～20的整數。從數據集中隨機選取4 個用戶作為惡意用戶（不含P 中合法用戶），對4 個惡意用戶進行編號，記為Hacker=｛H1，H2，…，Hm｝，其中，Hm代表第m個惡意用戶，m為1～4 的整數。實驗數據樣本如表3 所示。

表3 實驗數據樣本Table 3 Samples of experimental data

數據預處理在用戶側執行，以用戶U1為例，對U1產生的行為記錄采用獨熱編碼進行處理，形成一個包含172 個特征的數據集。在特征選擇過程中，計算特征的互信息（MI）值，在172 個特征里有70 個特征的互信息值為0，102 個特征的互信息值大于0，選取102 個與分類相關的特征進行訓練。圖4 所示為用戶U1行為記錄在用戶側進行數據預處理時間消耗，橫坐標為行為數據的樣本數量，縱坐標為處理樣本數量所需要的時間，實驗結果表明，處理10 000 條行為記錄用時僅為0.014 s，能夠滿足用戶側的計算需求。

圖4 U1行為記錄數據預處理時間消耗Fig.4 Pre-processing time consumption of U1 behavior records data

用戶一致性檢驗階段采用XGBoost算法進行多分類，本文用P 內的20 個已知用戶的行為數據進行模型訓練。測試集Test 由P 中的合法用戶與Hacker 中的惡意用戶共同組成，由Hacker對P 中的前4 個用戶進行對應仿冒，結果如圖5 所示。可以看出：U5～U20的單個用戶的識別準確率分布在0.9～1.0 之間，整體識別準確率為0.953，表明本文所采用的用戶行為模型能夠有效區分各個用戶；攻擊者H1～H4的分類準確率要顯著低于U5～U20，表明本文所采用的用戶行為模型能夠有效區分合法用戶與非法用戶。

圖5 用戶一致性檢驗準確率Fig.5 Accuracy of user consistency test

對單一用戶的異常檢測在邊緣服務器上進行，采用單分類iForest算法進行異常檢測。本次實驗未考慮用戶有新下載應用程序的情況，主要針對用戶有相對固定應用程序的使用環境。實驗測試集由5 000條數據組成，其中正常的用戶行為數據4 500條，異常的用戶行為數據500 條，異常數據采用人工注入的方式生成。以用戶U1為例，U1產生的混淆矩陣如表4 所示，可計算得到F1 值為0.958，誤報率為0.01。

表4 U1產生的混淆矩陣Table 4 Confusion matrix generated by U1

圖6 為邊緣側服務器對U1不同樣本數據量進行模型訓練的時間消耗，結果顯示，使用10 萬條數據進行訓練所需時間僅為6 s，表明所設計方案能夠滿足資源受限邊緣設備的計算要求。

圖6 邊緣側模型訓練時間消耗Fig.6 Model training time consumption in edge side

3.3.3 檢測方案對比

本文采用真實用戶所產生的用戶應用程序使用記錄作為數據驅動，使異常檢測過程更貼近實際。對比各個方案的評估指標，如表5 所示。可以看出：綜合考慮準確率和F1 值，本文方案表現較優，能夠達到與采用網絡流量進行異常檢測同樣的效果，而在FAR 值方面，本文方案要優于其他方案；在模型訓練時間消耗方面，本文方案采用傳統的輕量機器學習算法，模型訓練時間為秒級，優于采用深度學習的方案；同時，本文方案訓練樣本不需要標注，能夠應對未知的異常情況。整體來看，本文方案性能較優且能滿足邊緣計算場景。

表5 檢測性能對比Table 5 Comparison of detection performance

3.3.4 可擴展性、復雜度和安全性分析

對本文方案的可擴展性、復雜度、安全性進行分析，如表6 所示。在可擴展性方面，本文方案第二階段通過對每一個合法用戶訓練模型來實施檢測，新加入的用戶只需單獨進行模型訓練，并不影響其他用戶的檢測過程，具有一定的可擴展性；在算法復雜度方面，本文方案采用傳統的機器學習算法，模型訓練的計算復雜程度要優于采用深度學習的算法；在安全性方面，文獻［11-16］方案主要針對的是惡意網絡流量所產生的一系列流量相關的攻擊，文獻［18-19］方案主要應對的是用戶所在基站服務區內可能發生的拒絕服務攻擊，本文方案針對用戶可能產生的內部威脅，能夠應對非法用戶的仿冒攻擊以及合法用戶的權限濫用和惡意行為；在應對未知威脅方面，本文方案在異常檢測過程中采用單分類算法，能夠應對未知的威脅。整體來看，本文方案在可擴展性、復雜度、安全性方面能夠滿足設計要求且性能較優。

表6 可擴展性、復雜度與安全性對比Table 6 Comparison of scalability，complexity and security

4 結束語

針對邊緣計算場景下的內部安全威脅，本文提出一種基于行為的用戶異常檢測方案。通過用戶一致性檢驗，分析判斷固定園區內的用戶是否遭受仿冒攻擊或者存在權限濫用，從而表征用戶之間的差異性。在此基礎上，采用單分類算法iForest 進行針對單一用戶的異常檢測，解決樣本單一、異常行為未知這兩個問題。本文方案將機器學習技術應用于邊緣計算場景，在用戶側進行數據預處理，在邊緣側進行模型訓練，其中數據處理采用獨熱編碼的方式進行，同時采用互信息法進行特征選擇以降低計算復雜度。實驗結果表明，該方案對多用戶分類準確率達到0.953，能夠準確區分合法用戶與非法用戶，且對用戶異常行為的誤報率僅為0.01。同時，其在用戶側進行數據編碼處理和在邊緣側進行異常檢測時模型的訓練耗時能夠滿足邊緣計算場景要求。本文方案的不足之處是對特定用戶的異常檢測存在局限性，僅驗證了部署邊緣服務器的小型固定園區。下一步將提升方案的靈活性和可靠性，使其適用于數據量較大的應用場景。