基于人工智能技术的轻量级网络入侵检测系统设计

摘" 要： 以提升网络入侵检测技术水平为目的，设计基于人工智能技术的轻量级网络入侵检测系统。该系统数据采集层利用若干个用户探针连接IDS检测服务器后，使用网络数据包捕获模块捕获用户网络运行数据，再通过传输层内防火墙、核心交换机和MQTT/CoAP通信协议将用户网络运行数据发送到逻辑运算层内，该层利用数据预处理模块对用户网络运行数据进行去噪预处理后，将其输入到基于人工智能的网络入侵检测模块内，通过该模块输出轻量级网络入侵检测结果，然后将检测结果发送到展示层，通过入侵告警信息、数据可视化展示等模块实现人机交互。实验表明：该系统运行较为稳定，可有效检测不同类型网络入侵的同时，其检测及时性和入侵告警能力较好，应用效果良好。

关键词： 人工智能； 轻量级； 网络入侵； 检测系统； 数据采集； 硬件结构； 无监督； 免疫优化

中图分类号： TN711⁃34； TP391" " " " " " " " " " " 文献标识码： A" " " " " " " " " "文章编号： 1004⁃373X（2024）05⁃0108⁃04

Design of lightweight network intrusion detection system

based on artificial intelligence technology

DONG Weiwei1， WANG Xi2， ZHONG Xinhui3， FENG Shijie4， WANG Meihong5

（1. School of Information Science and Technology， Hainan University， Haikou 570100， China;

2. School of Information and Communication Engineering， Communication University of China， Beijing 100024， China;

3. School of Microelectronics and Communication Engineering， Chongqing University， Chongqing 400044， China;

4. School of Computer Science and Technology， North China Electric Power University， Beijing 100000， China;

5. School of Cyberspace Security （School of Cryptography）， Hainan University， Haikou 570100， China）

Abstract： A lightweight network intrusion detection system based on artificial intelligence technology is designed to improve the level of network intrusion detection. In the data collection layer of the system， several user probes are used to be connected with the IDS detection server， and then a network packet capture module is used to capture user network operation data. Then， the user network operation data is sent to the logical operation layer by the firewall， core switch， and MQTT/CoAP communication protocol in the transport layer. In the logical operation layer， a data preprocessing module is used to denoise and preprocess the user network operation data. And then， the data after denoising is input into the network intrusion detection module based on artificial intelligence. By this module， the lightweight network intrusion detection results are output. The detection results are sent to the display layer， and the human⁃computer interaction is realized by intrusion alarm information module and data visualization display module. The experiment shows that the system runs relatively smoothly and can detect different types of network intrusions effectively. At the same time， its detection timeliness and intrusion alarm ability are good， which achieves satisfied application effect.

Keywords： artificial intelligence; lightweight; network intrusion; detection system; data collection; hardware structure; non⁃supervision; immune optimization

0" 引" 言

在网络日益发达的现在，网络入侵现象时有发生，给网络用户信息安全带来严重威胁。网络入侵检测则是通过采集和分析网络信息，发现网络入侵的一种网络保护技术[1⁃2]，其主要功能是对网络和用户计算机系统进行实时监控，检测网络和用户计算机系统遭受的入侵行为并向用户发出告警。但在网络日益发达，网络用户和设备激增的情况下，针对网络入侵检测过程中会出现漏警、延迟告警等现象，面对该情况[3]，研究轻量级网络入侵检测系统是该领域研究关注的重点。现在也有很多学者研究轻量级网络入侵检测系统，如文献[3]设计网络入侵检测系统，该系统通过采集网络连接特征值后，针对不同网络流量形式设置评分机制，再通过深度学习模型输出网络入侵检测结果。文献[4]提出多模型判别的网络入侵检测系统，该系统运用Bagging算法将支持向量机、时序卷积神经网络、残差神经网络集成于一体，将网络数据输入到以上模型内获得网络入侵检测结果。以上系统虽然均可实现轻量级网络入侵检测，但检测结果精度不足，导致该两种系统应用效果不佳。人工智能技术是指利用计算机程序实现人类智能的技术，其包括推理、学习、感知的多种机器学习算法[5]，在各个领域应用极为广泛，本文在此以人工智能技术为基础，设计基于人工智能技术的轻量级网络入侵检测系统，提升网络入侵检测技术水平。

1" 轻量级网络入侵检测系统

1.1" 系统总体结构

设计轻量级网络入侵检测系统总体结构，如图1所示。轻量级网络入侵检测系统由采集层、传输层、逻辑运算层和展示层组成，在采集层内利用若干个用户探针获得用户网络运行数据，经过IDS检测服务器传输后使用网络数据包捕获模块获得当前用户网络运行数据，然后将其传输到传输层内，该层通过防火墙、核心交换机和通信协议将当前网络运行数据传输到逻辑运算层内，该层使用数据预处理模块对网络运行数据进行去噪预处理后，将其输入到基于人工智能的网络入侵检测模块内，通过该模块获得当前轻量级网络入侵检测结果后，通过展示层内的历史记录查询、入侵检测结果展示等模块为用户提供交互功能。

1.2" IDS检测服务器硬件设计

IDS检测服务器由若干个Agent组成Agent库，并以其为基础建立控制中心，每个Agent之间通信借助消息传递方式运行[6]。IDS检测服务器硬件结构如图2所示。

IDS检测服务器硬件由被检测主机、主控制中心和分区控制中心组成。被检测网络主机由通信组件、巡视Agent、响应模块和数据采集模块组成，负责获取被检测主机运行数据并将其发送到分区控制中心内。分区控制中心对接收被检测主机运行数据[7]，巡视并分析Agent后，通过通信组件将被检测主机运行数据发送到主控制中心内。主控制中心由Agent库、管理模块、响应模块和综合分析模块组成，其负责对被检测主机运行数据进行综合分析后将其传输到系统采集层网络数据包捕获模块内，获得最终的用户网络运行数据。

1.3" 系统软件设计

1.3.1" 数据包捕获程序设计

系统采集层网络数据包捕获模块是系统的关键部分，其负责采集用户在网络上的运行数据，是实现轻量级网络入侵检测的基础，设计数据包捕获软件运行流程如图3所示。

系统采集层网络数据包捕获模块开始运行时，先开启网卡混杂模式，然后对IDS检测服务器进行监听，寻找当前传输用户网络运行数据设备，判断是否寻找到设备，若没有则继续对IDS检测服务器进行监听，若寻找到设备，则开启网络设备或文件后，获取当前网络号和掩码[8]，捕获当前网络数据包并传输后结束数据包捕获程序，经过上述过程完成数据包捕获过程。

1.3.2" 基于人工智能技术的网络入侵检测算法

系统获取到用户网络运行数据后，系统逻辑运算层对数据进行去噪预处理，避免影响轻量级入侵检测的精度，然后将去噪预处理后的用户网络运行数据输入到基于人工智能技术的网络入侵检测模块内，该模块利用人工智能技术中的无监督免疫优化分层对用户网络运行数据进行轻量级入侵检测[9⁃10]，其详细过程如下：

用户网络入侵可分为内部入侵和外部入侵，建立轻量级网络入侵检测模型[f（x）]，该模型表达式如下：

[f（x）=synR-K（x，x）-2jλjK（xj，x）+i，jλiλjK（xj，xi）] （1）

式中：syn（·）表示合成数据，通过使用合成数据来建立入侵检测模型，以增加模型的训练样本数量；[R]表示用户网络运行数据识别特征；[K（xj，xi）]表示用户网络访问数据；[λ]表示访问数据类别标记。

由于用户遭受网络入侵是无监督的[11]，对于无监督访问数据没有类别的标识[12⁃13]，导致其入侵特征不够明显，在此使用免疫网络优化方法对网络入侵数据进行学习压缩。令[G]表示由用户网络运行数据建立的免疫网络矩阵，然后通过计算免疫网络内节点[Gi]和[Gj]的相似性判断矩阵行向量的距离，依据该距离对用户网络运行数据进行学习压缩。以学习压缩处理后的用户网络运行数据为基础，将该数据对偶成一个优化分类函数[Q（G）]，表达公式如下：

[Q（G）=i=1NQi-i，j=1nQiQj（xi，xj）2] （2）

依据公式（1），则轻量级网络入侵检测模型可改写为：

[f（x）=synR-G（x，x）-2jλjG（xj，x）] （3）

利用优化分类函数[Q（G）]对公式（3）进行优化求解后，即可得到轻量级网络入侵检测结果，将该结果发送至系统展示层内，通过入侵告警信息模块向用户发出入侵告警，通过入侵检测结果模块为用户呈现入侵检测结果。

2" 实验分析

以某学校内网作为实验对象，该学校内网由于应用特殊性，经常遭受网络入侵，对网络信息安全造成了严重影响，运用本文系统对该学校网络进行轻量级入侵检测，验证本文系统的实际应用效果。

用户网络数据包捕获是轻量级网络入侵的基础，以该高校网络内10台主机作为实验对象，测试该10台主机运行时本文系统捕获其数据包的能力，结果如表1所示。

分析表1可知，运用本文系统捕获10台主机运行时的网络数据，捕获的数据包个数与实际数据包个数最大差值仅为1，该差值较小，其说明本文系统可有效捕获网络数据包，为后续轻量级网络入侵检测提供数据基础。

以不同线程数情况下系统性能损失值作为衡量系统稳定性的指标，测试在不同运行线程情况下本文系统的性能损失值变化情况，同时设置性能损失值阈值为10%，测试结果如图4所示。

分析图4可知，本文系统在运行时，其性能损失值随着运行线程数量的增加而增加，但在运行线程数量为80个之前，本文系统性能损失率数值较低，当运行线程数量超过80个后，系统的性能损失率呈现稍大幅度的上升趋势，但性能损失值均低于预设阈值。上述结果表明：本文系统在运行过程中受运行线程数量影响较小，系统运行稳定性能较好。

运用本文系统对某时段内的校园网络入侵进行检测，检测结果如图5所示。

分析图5可知，运用本文系统可有效从若干网络运行正常数据内检测到入侵数据，检测到的入侵数据个数与实际入侵数据个数完全吻合，说明本文系统具备较好的轻量级网络入侵检测能力。

以不同网络入侵类型作为实验对象，使用本文系统对不同网络入侵类型进行轻量级检测并告警，以告警时延作为衡量本文系统轻量级检测性能的指标，验证本文系统应用效果，测试结果如表2所示。

分析表2可知，对于不同类型的网络入侵，本文系统均可有效检测并告警，其中告警延迟最大数值仅为0.05 ms，该数值较小，说明本文系统可及时对网络入侵进行告警，告警延迟时间较小也说明本文系统轻量级检测能力较好，应用效果较好。

3" 结" 论

本文设计基于人工智能技术的轻量级网络入侵检测系统，并以某高校内网作为实验对象，对本文系统进行了多角度验证，从验证结果得知，本文系统捕获网络运行数据包能力较强，可有效检测数据内的入侵数据，并及时向用户发出入侵告警，具备较好的应用效果，未来可在网络入侵检测领域广泛应用。

参考文献

[1] 黄学臻，翟翟，周琳，等.基于轻量级密集神经网络的车载自组网入侵检测方法[J].电子技术应用，2022，48（7）：67⁃73.

[2] 杨彦荣，宋荣杰，周兆永.基于GAN⁃PSO⁃ELM的网络入侵检测方法[J].计算机工程与应用，2020，56（12）：66⁃72.

[3] 何俊鹏，罗蕾，肖堃，等.基于特征值分布和人工智能的网络入侵检测系统的研究与实现[J].计算机应用研究，2021，38（9）：2746⁃2751.

[4] 马琳，王云霄，赵丽娜，等.基于多模型判别的网络入侵检测系统[J].计算机科学，2021，48（z2）：592⁃596.

[5] 刘景美，高源伯.自适应分箱特征选择的快速网络入侵检测系统[J].西安电子科技大学学报（自然科学版），2021，48（1）：176⁃182.

[6] 李贝贝，宋佳芮，杜卿芸，等.DRL⁃IDS：基于深度强化学习的工业物联网入侵检测系统[J].计算机科学，2021，48（7）：47⁃54.

[7] 王璐，文武松.基于人工智能的分布式入侵检测研究[J].计算机科学，2022，49（10）：353⁃357.

[8] 沈纲祥.基于人工智能技术的光通信网络应用研究[J].通信学报，2020，41（1）：162⁃168.

[9] 南静，宁传峰，建中华，等.基于随机配置网络的轻量级人体行为识别模型[J].控制与决策，2023，38（6）：1541⁃1550.

[10] 卞叶童，孙涵.多信息辅助的U型轻量级显著性目标检测模型[J].小型微型计算机系统，2023，44（9）：2023⁃2029.

[11] 柴亚闯，杨文忠，张志豪，等.基于EKM⁃AE模型的无监督主机入侵检测方法[J].小型微型计算机系统，2021，42（4）：868⁃874.

[12] 蔡美玲，汪家喜，刘金平，等.基于Transformer GAN架构的多变量时间序列异常检测[J].中国科学：信息科学，2023，53（5）：972⁃992.

[13] 王进，李琪，黄家玮.路径差异敏感的包散射策略机制[J].计算机工程与应用，2019，55（5）：72⁃75.