一种网络切片场景下服务功能链异常检测方法

1.一种网络切片场景下服务功能链异常检测方法，其特征在于：该方法包括以下步骤：
S1：在网络切片场景下，为使服务功能链SFC中包含的多个虚拟网络功能VNF独立进行
异常检测，构建分布式异常检测架构；
S2：为挖掘易于网络进行学习的数据深层次特征，对每个VNF中的数据进行特征提取，
采用滑动窗口捕获时间序列数据之间的关系；
S3：由于VNF数据中存在类不平衡问题，采用生成对抗网络GAN学习正常数据特征，并结
合时间卷积网络TCN和自动编码器AE以提升GAN对数据特征的学习能力；
S4：采用异常得分函数评判VNF的状态，进而完成对SFC的异常检测。
2.根据权利要求1所述的一种网络切片场景下服务功能链异常检测方法，其特征在于：
所述S1中，网络切片场景包括：基础设施层、虚拟网络功能层、业务运营支撑系统、网络功能
虚拟化管理与编排NFV MANO以及软件定义网络SDN控制器；SFC由特定集合的VNF由虚拟链
路连接形成，部署在虚拟网络功能层；
所述分布式异常检测架构为对每个VNF独立进行异常检测，为每个VNF提供独立的检测
模块。
3.根据权利要求2所述的一种网络切片场景下服务功能链异常检测方法，其特征在于：
所述S2在，基于滑动窗口的特征提取器，将VNF中原始时间序列数据转换为特征序列，具体
包括：
使用第一层滑动窗口提取数据的范数和曼哈顿距离两种衍生特性，捕获数据时间窗内
和时间窗之间的特征；
使用第二层滑动窗口通过提取平均值MEA、最小值MIN、最大值MAX、第一四分位数Q1、第
二四分位数Q2、第三四分位数Q3、标准差STD和峰间振幅P2P八种统计特征以挖掘数据的深
层次特征，得到原始数据的特征序列。
4.根据权利要求3所述的一种网络切片场景下服务功能链异常检测方法，其特征在于：
所述S3中，使用GAN对数据特征进行学习，仅使用正常数据进行训练以解决数据类不平衡的
问题，提出分布式GAN模型，该模型在每个VNF的网元管理器EM中部署生成器，生成器由TCN
与AE构建的三层编解码器构成，在NFV MANO的虚拟化网络功能管理器VNFM)中部署鉴别器，
构造多个生成器和单个鉴别器的分布式GAN模型，以学习单个SFC中VNF的正常数据特征，具
体包括：
在每个VNF中，将VNF中的正常数据输入至特征提取器中得到该VNF的特征序列；
将特征序列输入至EM中的生成器中，通过三层编解码器分别获得数据的潜在表示、重
构特征以及重构潜在特征，并将生成的数据发送至鉴别器进行鉴别；
鉴别器收到由生成器发送的数据后，使用鉴别器损失函数计算得到鉴别器更新梯度以
及反馈误差，梯度用于更新鉴别器网络参数，反馈误差需发送至相应的EM用于更新生成器
网络参数；
生成器收到由鉴别器发送的反馈误差后，使用生成器损失函数以及反馈误差计算得到
生成器更新梯度，以完成生成器中编解码器的参数更新；
鉴别器和生成器不断交互执行，进行多次全局迭代，使得每个VNF的生成器都能够很好
地学习并重构正常数据特征。
5.根据权利要求4所述的一种网络切片场景下服务功能链异常检测方法，其特征在于：
所述S4中，对每个VNF的状态通过异常评分函数进行评判，异常评分函数A(Xi)由表观损失La
和潜在损失Ll共同表示：
A(Xi)＝λ×La+(1‑λ)×Ll
其中，Xi为第i个VNF的时间序列数据，λ为La所占权重，La用于衡量重构特征和特征序列
之间的差异，Ll用于衡量重构潜在表示和潜在表示之间的差异；
当输入Xi时，每个分布式VNF中的生成器对其计算异常得分A(Xi)，当A(Xi)大于评判阈
值时，则判定该输入数据存在异常，即第i个VNF存在异常，完成对SFC的异常检测。

一种网络切片场景下服务功能链异常检测方法\n技术领域\n[0001] 本发明属于移动通信技术领域，涉及一种网络切片场景下服务功能链异常检测方\n法。\n背景技术\n[0002] 网络切片是5G网络中的关键技术，能够提供多样化可定制的网络服务。与传统网\n络相比， 5G网络中引入了软件定义网络(SDN)和网络功能虚拟化(NFV)技术，将网络功能与\n专用 硬件设备解耦，在灵活部署网络的前提下也使得网络管理更加复杂，网络故障点及故\n障类型 增加，因此在网络故障的管理方面将面临更大的挑战。\n[0003] 为了有效利用网络资源、提升网络的运营效率，同时降低资本支出(CAPEX)和运营\n支出 (OPEX)，对网络切片状态的提前感知和异常判断尤为重要。由于在动态网络环境中，\n定制 化网络服务能否正常运行依托于网络切片中服务功能链(SFC)的状态，因此可通过检\n测SFC 中包含的多个虚拟网络功能(VNF)的状态完成对SFC的异常检测。\n[0004] 现有技术对SFC中VNF的异常检测，采用对VNF状态预测或聚类等方式，采用集中式\n机 器学习对网络进行训练，且在训练过程中未考虑网络中数据正常和异常类不平衡的问\n题。\n发明内容\n[0005] 有鉴于此，本发明的目的在于提供一种网络切片场景下服务功能链异常检测方\n法，解决 训练中数据正常和异常类不平衡的问题，同时能够增强虚拟网络安全性，有效提\n高异常检测 的准确性和稳定性。\n[0006] 为达到上述目的，本发明提供如下技术方案：\n[0007] 一种网络切片场景下服务功能链异常检测方法，该方法包括以下步骤：\n[0008] S1：在网络切片场景下，为使服务功能链SFC中包含的多个虚拟网络功能VNF独立\n进行 异常检测，构建分布式异常检测架构；\n[0009] S2：为挖掘易于网络进行学习的数据深层次特征，对每个VNF中的数据进行特征提\n取， 采用滑动窗口捕获时间序列数据之间的关系；\n[0010] S3：由于VNF数据中存在类不平衡问题，采用生成对抗网络GAN学习正常数据特征，\n并 结合时间卷积网络TCN和自动编码器AE以提升GAN对数据特征的学习能力；\n[0011] S4：采用异常得分函数评判VNF的状态，进而完成对SFC的异常检测。\n[0012] 可选的，所述S1中，网络切片场景包括：基础设施层、虚拟网络功能层、业务运营支\n撑 系统、网络功能虚拟化管理与编排NFV MANO以及软件定义网络SDN控制器；SFC由特定集 \n合的VNF由虚拟链路连接形成，部署在虚拟网络功能层；\n[0013] 所述分布式异常检测架构为对每个VNF独立进行异常检测，为每个VNF提供独立的\n检测 模块。\n[0014] 可选的，所述S2中，基于滑动窗口的特征提取器，将VNF中原始时间序列数据转换\n为特 征序列，具体包括：\n[0015] 使用第一层滑动窗口提取数据的范数和曼哈顿距离两种衍生特性，捕获数据时间\n窗内和 时间窗之间的特征；\n[0016] 使用第二层滑动窗口通过提取平均值MEA、最小值MIN、最大值MAX、第一四分位数 \nQ1、第二四分位数Q2、第三四分位数Q3、标准差STD和峰间振幅P2P八种统计特征以挖掘 数\n据的深层次特征，得到原始数据的特征序列。\n[0017] 可选的，所述S3中，使用GAN对数据特征进行学习，仅使用正常数据进行训练以解\n决 数据类不平衡的问题，提出分布式GAN模型，该模型在每个VNF的网元管理器EM中部署生 \n成器，生成器由TCN与AE构建的三层编解码器构成，在NFV MANO的虚拟化网络功能管理 器\nVNFM)中部署鉴别器，构造多个生成器和单个鉴别器的分布式GAN模型，以学习单个SFC 中\nVNF的正常数据特征，具体包括：\n[0018] 在每个VNF中，将VNF中的正常数据输入至特征提取器中得到该VNF的特征序列；\n[0019] 将特征序列输入至EM中的生成器中，通过三层编解码器分别获得数据的潜在表\n示、重 构特征以及重构潜在特征，并将生成的数据发送至鉴别器进行鉴别；\n[0020] 鉴别器收到由生成器发送的数据后，使用鉴别器损失函数计算得到鉴别器更新梯\n度以及 反馈误差，梯度用于更新鉴别器网络参数，反馈误差需发送至相应的EM用于更新生\n成器网 络参数；\n[0021] 生成器收到由鉴别器发送的反馈误差后，使用生成器损失函数以及反馈误差计算\n得到生 成器更新梯度，以完成生成器中编解码器的参数更新；\n[0022] 鉴别器和生成器不断交互执行，进行多次全局迭代，使得每个VNF的生成器都能够\n很好 地学习并重构正常数据特征。\n[0023] 可选的，所述S4中，对每个VNF的状态通过异常评分函数进行评判，异常评分函数A\n(Xi) 由表观损失La和潜在损失Ll共同表示：\n[0024] A(Xi)＝λ×La+(1‑λ)×Ll\n[0025] 其中，Xi为第i个VNF的时间序列数据，λ为La所占权重，La用于衡量重构特征和特征\n序列 之间的差异，Ll用于衡量重构潜在表示和潜在表示之间的差异；\n[0026] 当输入Xi时，每个分布式VNF中的生成器对其计算异常得分A(Xi)，当A(Xi)大于评\n判 阈值时，则判定该输入数据存在异常，即第i个VNF存在异常，完成对SFC的异常检测。\n[0027] 本发明的有益效果在于：本发明构建了分布式GAN异常检测模型，实现了SFC中每\n个VNF 能够独立进行异常检测，提高了检测准确性和稳定性，同时提升了整体虚拟网络的\n鲁棒性， 进而增强网络安全性。\n[0028] 本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并\n且在某 种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可\n以从本发 明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现\n和获得。\n附图说明\n[0029] 为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优\n选的详 细描述，其中：\n[0030] 图1为本发明整体流程；\n[0031] 图2为本发明单次训练迭代步骤。\n[0032]\n具体实施方式\n[0033] 以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书\n所揭露 的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体\n实施方式加 以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背\n离本发明的精 神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以\n示意方式说明本 发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以\n相互组合。\n[0034] 其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本\n发明 的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不\n代表 实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是\n可以理 解的。\n[0035] 本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描\n述中， 需要理解的是，若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位 或位置关\n系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不 是指示\n或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图 中描\n述位置关系的用语仅用于示例性说明，不能理解为对本发明的限制，对于本领域的普通 技\n术人员而言，可以根据具体情况理解上述术语的具体含义。\n[0036] 参见图1，图1是本发明基于分布式GAN异常检测方法的整体流程。本发明的SFC中\n包 含k个VNF，SFC中的时间序列数据为X，在第i个VNF上的EMi中，给定一个时间序列数据 \n其中 Xi表示EMi在一 \n段时间t内，包含n个属性的数据。Gi为EMi中的生成器，Gi包含由TCN构成的三层编解码 器：\n编码器 解码器 编码器 Fi和 分别表示Xi的特征序列和重构特征序列，zi和 分\n别表示Fi的潜在表示和 的重构潜在表示。 分别表示用于更新 的\n误差项。\n[0037] 在训练阶段，基于分布式GAN异常检测方法只使用正常数据进行训练。首先，在每\n个EM 中使用特征提取器对原始时间序列进行特征提取，计算数据中的衍生特性和统计特\n征。之后， 将特征序列输入到生成器模块中，对数据进行重构。然后，将每个EM中产生的特\n征序列与 重构序列一起输入到鉴别器模块中，使用鉴别器对特征序列与重构序列进行鉴\n别，并反馈参 数供生成器模块优化调整，使得每个EM中的生成器模块能够很好地对正常数\n据进行重构。\n[0038] 在测试阶段，只使用每个EM的生成器模块进行异常检测。将测试数据输入至某个\nEM的 生成器模块中，若测试数据为正常数据，则生成器模型能够很好地对其进行重构，即\n获得较 低的异常得分；反之，则生成器模型重构数据时会产生较大的偏差，获得较高的异\n常得分， 即可认为EM中数据存在异常。\n[0039] 所述方法中基于滑动窗口的特征提取器包含两个步骤：计算衍生特性和计算统计\n特征。\n[0040] 首先通过第一层滑动窗口计算衍生特性。使用范数捕获同一个时间窗口内数据之\n间的特 征，用NR表示。使用范数差以衡量两个时间窗之间的差异，用MD表示。对于EMi，给定 \n一时间序列数据 该时间序列总长度为t，使用窗口尺寸为 Sw\n(Sw>1)，移动步长为Ss的滑动窗口对时间序列数据进行分割，可得到c个时间窗。 表 示\nEMi的第m个时间窗口，包含时间间隔为[mSs‑1,mSs+Sw‑2](m≥1)的原始时间序列 数据，该\n时间窗内的范数可表示为：\n[0041]\n[0042] 其中， 表示 的第j个属性的时间序列数据。\n[0043] 范数差可表示为：\n[0044]\n[0045] 在得到范数和范数差后，将其组合得到序列 其中 为Ii的第\nm个 数据，\n[0046] 之后通过第二层滑动窗口计算统计特征。为每个衍生特性选取8个统计特征对其\n进行描 述：平均值(MEA)、最小值(MIN)、最大值(MAX)、第一四分位数(Q1)、第二四分位数\n(Q2)、第 三四分位数(Q3)、标准差(STD)和峰间振幅(P2P)，从而衡量数据的集中趋势和离\n散程度。可得 到特征序列Fi：\n[0047]\n[0048] 其中， 为Fi的第j个数据，d为提取特征后\n的时间 序列行数，n为时间序列的属性数。\n[0049] 参见图2，图2是本发明基于分布式GAN异常检测方法的单次训练迭代步骤。\n[0050] 在鉴别器端，在每一次进行全局迭代时，从k个分布式EMi中收集生成的数据流 \n和真实的正常数据流{(F1,z1),…,(Fk，zk)}，然后通过接收到的数据流\n以及 损失函数Jdis，完成对鉴别器D的参数wd更新。最后为每个EMi中的编解码器计算误差项\n具体过程如下：\n[0051] 首先计算鉴别器梯度。鉴别器D为接收到的每组数据流(Fi,zi)、 计算损失函\n数， 损失函数Jdis的表达式为：\n[0052]\n[0053] 其中，D(·)是来自真实的正常数据集的概率。数据流(Fi，zi)、 的损失函数\nJdis对wd求 导可得到梯度Δwdi，对于k个EMi可得到k个梯度{Δwd1，…,Dwdk}，使用k个梯度的\n平均值 Δwd对鉴别器D的参数wd进行更新。\n[0054] 之后计算误差项。为了更新分布式的EMi中部署的生成器模块，需要分别对\n的参数进行更新。MANO根据所接收到的数据流分别计算出 的误\n差项 并将其发送至相应的EMi中完成参数更新。\n[0055] 的误差项 每个 被定义为：\n[0056]\n[0057] 其中，zi为 为zi的第j个数据。\n[0058] 的误差项 每个 被定义为：\n[0059]\n[0060] 其中， 为 为 的第j个数据。\n[0061] 的误差项 每个 被定义为：\n[0062]\n[0063] 其中， 为 为 的第j个数据。\n[0064] 在生成器端，分布式生成器Gi的每次全局迭代中，分别生成一组数据流(Fi,zi)、\n发送至MANO中的鉴别器D。之后使用来自鉴别器D的误差项 分别对\n的参数 进行更新，具体过程如下：\n[0065] 首先生成数据流。在每个分布式EMi中，使用只包含正常时间序列数据Xi经过特征\n提取 器得到Fi，Fi经过编码器 可提取到zi，再经过解码器 获得 经过编码器\n提取到  通过上述步骤，可构成原始特征流(Fi，zi)和重构特征流 将其发送至\nMANO中进 行鉴别。\n[0066] 之后对生成器Gi参数进行更新。在分布式EMi中，使用鉴别损失Lf、表观损失La和潜\n在 损失Ll三个部分构成Gi的损失函数Jgen。\n[0067] 鉴别损失Lf可衡量鉴别器D将重构数据误判为真实数据所产生的损失。鉴别损失Lf\n的表 达式为：\n[0068]\n[0069] 其中，s(·)为二元交叉熵损失函数，D(·)为数据被预测为真实数据的概率。为了\n欺骗鉴别器D， 使得Gi生成的重构数据更接近真实数据，令a＝1。\n[0070] 表观损失La可衡量重构特征序列和特征序列之间的差异，通过不断缩小La可使得\n重构特 征序列与特征序列更接近。表观损失La的表达式为：\n[0071]\n[0072] 潜在损失Ll可衡量重构特征数据的潜在表示和特征序列的潜在表示之间的差异，\n有助于 学习重构特征序列和特征序列的潜在表示。潜在损失Ll的表达式为：\n[0073]\n[0074] 因此，生成器Gi的损失函数Jgen可表示为：\n[0075] Jgen＝ωf×Lf+ωa×La+ωl×Ll\n[0076] 其中，ωf、ωa、ωl为调整在损失函数Jgen中Lf、La、Ll的权重。\n[0077] 分布式EMi从MANO中收到误差项 之后，通过计算损失函数Jgen，对其\n生 成器Gi中的三个子网 的参数 进行更新。\n[0078] 的参数更新可表示为：\n[0079]\n[0080] 其中， 是 的第l个参数。\n[0081] 的参数更新可表示为：\n[0082]\n[0083] 其中， 是 的第l个参数。\n[0084] 的参数更新可表示为：\n[0085]\n[0086] 其中， 是 的第l个参数。\n[0087] 在计算得到 之后，使用Adam优化器对参数进行更新。\n[0088] 最后对每个VNF的状态通过异常评分函数进行评判，异常评分函数A(Xi)由表观损\n失La和潜在损失Ll共同表示：\n[0089] A(Xi)＝λ×La+(1‑λ)×Ll\n[0090] 其中，Xi为第i个VNF的时间序列数据，λ为La所占权重，La用于衡量重构特征和特征\n序列 之间的差异，Ll用于衡量重构潜在表示和潜在表示之间的差异。\n[0091] 当输入Xi时，每个分布式VNF中的生成器对其计算异常得分A(Xi)，当A(Xi)大于评\n判 阈值时，则判定该输入数据存在异常，即第i个VNF存在异常，从而完成对SFC的异常检\n测。\n[0092] 最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较\n佳实施 例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技\n术方案进 行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明\n的权利要求 范围当中。