anamika882/LLM-CTI-5G-ORAN

GitHub: anamika882/LLM-CTI-5G-ORAN

该项目构建了一条端到端的网络威胁情报流水线,利用机器学习、可解释 AI 和大语言模型自动检测并分析针对 5G O-RAN 架构的网络攻击。

Stars: 0 | Forks: 0

# 基于 LLM 辅助的 5G O-RAN 安全网络威胁情报 ## 概述 本项目提出了一种端到端的网络威胁情报(CTI) pipeline,用于检测和分析针对 5G 开放式无线接入网(O-RAN)环境的网络攻击。该系统结合了机器学习、可解释人工智能(XAI)、MITRE ATT&CK 映射以及大型语言模型(LLM),可自动对网络流量进行分类,生成结构化的 CTI 告警,利用威胁情报对其进行丰富,并生成对分析人员友好的事件报告。 这项工作是在都柏林大学(UCD)攻读博士学位期间的编程评估环节中开发的。 ## 项目 Pipeline 数据集 → 数据清洗 → 特征工程 → 随机森林分类 → XGBoost 对比 → SHAP 可解释性 → 结构化 CTI 告警生成 → MITRE ATT&CK 丰富 → LLM 辅助威胁分析 → 事件报告生成 ## 项目结构 ``` LLM-CTI-5G-ORAN │ ├── data/ ├── models/ ├── outputs/ ├── reports/ ├── src/ ├── README.md ├── requirements.txt └── .gitignore ``` ## 机器学习模型 - 随机森林 - XGBoost(性能对比) 最终随机森林准确率: ``` 87.84% ``` ## 可解释 AI 本项目使用 SHAP(SHapley Additive exPlanations)来解释模型预测,并识别最具影响力的网络流量特征。 ## 威胁情报功能 - 结构化 CTI 告警(JSON) - MITRE ATT&CK 映射 - 威胁严重性分类 - 建议的响应措施 - 基于 LLM 的威胁摘要 - 可供分析人员直接使用的事件报告 ## 大型语言模型 本项目集成了: - Ollama - Qwen2.5 3B 以自动将结构化的 CTI 告警转化为详细的网络威胁情报报告。 ## 数据集 本项目使用了 NetsLab-5GORAN-IDD 数据集。 由于 GitHub 的文件大小限制(100 MB),本仓库未包含完整的数据集。 下载地址: https://www.kaggle.com/datasets/netslabdemo/netslab-5g-oran-idd 在运行 pipeline 之前,请将下载的 CSV 文件放入: ``` data/ ``` ## 安装说明 克隆仓库 ``` git clone https://github.com/anamika882/LLM-CTI-5G-ORAN.git ``` 安装依赖项 ``` pip install -r requirements.txt ``` 运行完整的 pipeline ``` python src/step12_demo_pipeline.py ``` ## 结果 随机森林准确率 87.84% XGBoost 准确率 86.49% SHAP 可解释性 已实现 LLM CTI 报告生成 已实现 MITRE ATT&CK 映射 已实现 ## 后续工作 - 实时数据包捕获 - 流式 CTI pipeline - 多 LLM 对比 - 用于分布式 O-RAN 安全的联邦学习 - 与安全信息和事件管理(SIEM)集成 ## 作者 Anamika Guha 工程硕士(网络安全) 利默里克大学 爱尔兰 ## 许可证 本仓库仅用于学术和研究目的。
标签:5G O-RAN, AI风险缓解, Apex, DLL 劫持, 可解释AI, 大语言模型, 威胁情报, 开发者工具, 异常检测, 机器学习, 网络安全, 逆向工具, 速率限制, 隐私保护