anamika882/LLM-CTI-5G-ORAN
GitHub: anamika882/LLM-CTI-5G-ORAN
该项目构建了一条端到端的网络威胁情报流水线,利用机器学习、可解释 AI 和大语言模型自动检测并分析针对 5G O-RAN 架构的网络攻击。
Stars: 0 | Forks: 0
# 基于 LLM 辅助的 5G O-RAN 安全网络威胁情报
## 概述
本项目提出了一种端到端的网络威胁情报(CTI) pipeline,用于检测和分析针对 5G 开放式无线接入网(O-RAN)环境的网络攻击。该系统结合了机器学习、可解释人工智能(XAI)、MITRE ATT&CK 映射以及大型语言模型(LLM),可自动对网络流量进行分类,生成结构化的 CTI 告警,利用威胁情报对其进行丰富,并生成对分析人员友好的事件报告。
这项工作是在都柏林大学(UCD)攻读博士学位期间的编程评估环节中开发的。
## 项目 Pipeline
数据集
→ 数据清洗
→ 特征工程
→ 随机森林分类
→ XGBoost 对比
→ SHAP 可解释性
→ 结构化 CTI 告警生成
→ MITRE ATT&CK 丰富
→ LLM 辅助威胁分析
→ 事件报告生成
## 项目结构
```
LLM-CTI-5G-ORAN
│
├── data/
├── models/
├── outputs/
├── reports/
├── src/
├── README.md
├── requirements.txt
└── .gitignore
```
## 机器学习模型
- 随机森林
- XGBoost(性能对比)
最终随机森林准确率:
```
87.84%
```
## 可解释 AI
本项目使用 SHAP(SHapley Additive exPlanations)来解释模型预测,并识别最具影响力的网络流量特征。
## 威胁情报功能
- 结构化 CTI 告警(JSON)
- MITRE ATT&CK 映射
- 威胁严重性分类
- 建议的响应措施
- 基于 LLM 的威胁摘要
- 可供分析人员直接使用的事件报告
## 大型语言模型
本项目集成了:
- Ollama
- Qwen2.5 3B
以自动将结构化的 CTI 告警转化为详细的网络威胁情报报告。
## 数据集
本项目使用了 NetsLab-5GORAN-IDD 数据集。
由于 GitHub 的文件大小限制(100 MB),本仓库未包含完整的数据集。
下载地址:
https://www.kaggle.com/datasets/netslabdemo/netslab-5g-oran-idd
在运行 pipeline 之前,请将下载的 CSV 文件放入:
```
data/
```
## 安装说明
克隆仓库
```
git clone https://github.com/anamika882/LLM-CTI-5G-ORAN.git
```
安装依赖项
```
pip install -r requirements.txt
```
运行完整的 pipeline
```
python src/step12_demo_pipeline.py
```
## 结果
随机森林准确率
87.84%
XGBoost 准确率
86.49%
SHAP 可解释性
已实现
LLM CTI 报告生成
已实现
MITRE ATT&CK 映射
已实现
## 后续工作
- 实时数据包捕获
- 流式 CTI pipeline
- 多 LLM 对比
- 用于分布式 O-RAN 安全的联邦学习
- 与安全信息和事件管理(SIEM)集成
## 作者
Anamika Guha
工程硕士(网络安全)
利默里克大学
爱尔兰
## 许可证
本仓库仅用于学术和研究目的。
标签:5G O-RAN, AI风险缓解, Apex, DLL 劫持, 可解释AI, 大语言模型, 威胁情报, 开发者工具, 异常检测, 机器学习, 网络安全, 逆向工具, 速率限制, 隐私保护