基于人工智能技術的輕量級網絡入侵檢測系統設計

摘" 要： 以提升網絡入侵檢測技術水平為目的，設計基于人工智能技術的輕量級網絡入侵檢測系統。該系統數據采集層利用若干個用戶探針連接IDS檢測服務器后，使用網絡數據包捕獲模塊捕獲用戶網絡運行數據，再通過傳輸層內防火墻、核心交換機和MQTT/CoAP通信協議將用戶網絡運行數據發送到邏輯運算層內，該層利用數據預處理模塊對用戶網絡運行數據進行去噪預處理后，將其輸入到基于人工智能的網絡入侵檢測模塊內，通過該模塊輸出輕量級網絡入侵檢測結果，然后將檢測結果發送到展示層，通過入侵告警信息、數據可視化展示等模塊實現人機交互。實驗表明：該系統運行較為穩定，可有效檢測不同類型網絡入侵的同時，其檢測及時性和入侵告警能力較好，應用效果良好。

關鍵詞： 人工智能； 輕量級； 網絡入侵； 檢測系統； 數據采集； 硬件結構； 無監督； 免疫優化

中圖分類號： TN711?34； TP391" " " " " " " " " " " 文獻標識碼： A" " " " " " " " " "文章編號： 1004?373X（2024）05?0108?04

Design of lightweight network intrusion detection system

based on artificial intelligence technology

DONG Weiwei1， WANG Xi2， ZHONG Xinhui3， FENG Shijie4， WANG Meihong5

（1. School of Information Science and Technology， Hainan University， Haikou 570100， China;

2. School of Information and Communication Engineering， Communication University of China， Beijing 100024， China;

3. School of Microelectronics and Communication Engineering， Chongqing University， Chongqing 400044， China;

4. School of Computer Science and Technology， North China Electric Power University， Beijing 100000， China;

5. School of Cyberspace Security （School of Cryptography）， Hainan University， Haikou 570100， China）

Abstract： A lightweight network intrusion detection system based on artificial intelligence technology is designed to improve the level of network intrusion detection. In the data collection layer of the system， several user probes are used to be connected with the IDS detection server， and then a network packet capture module is used to capture user network operation data. Then， the user network operation data is sent to the logical operation layer by the firewall， core switch， and MQTT/CoAP communication protocol in the transport layer. In the logical operation layer， a data preprocessing module is used to denoise and preprocess the user network operation data. And then， the data after denoising is input into the network intrusion detection module based on artificial intelligence. By this module， the lightweight network intrusion detection results are output. The detection results are sent to the display layer， and the human?computer interaction is realized by intrusion alarm information module and data visualization display module. The experiment shows that the system runs relatively smoothly and can detect different types of network intrusions effectively. At the same time， its detection timeliness and intrusion alarm ability are good， which achieves satisfied application effect.

Keywords： artificial intelligence; lightweight; network intrusion; detection system; data collection; hardware structure; non?supervision; immune optimization

0" 引" 言

在網絡日益發達的現在，網絡入侵現象時有發生，給網絡用戶信息安全帶來嚴重威脅。網絡入侵檢測則是通過采集和分析網絡信息，發現網絡入侵的一種網絡保護技術[1?2]，其主要功能是對網絡和用戶計算機系統進行實時監控，檢測網絡和用戶計算機系統遭受的入侵行為并向用戶發出告警。但在網絡日益發達，網絡用戶和設備激增的情況下，針對網絡入侵檢測過程中會出現漏警、延遲告警等現象，面對該情況[3]，研究輕量級網絡入侵檢測系統是該領域研究關注的重點。現在也有很多學者研究輕量級網絡入侵檢測系統，如文獻[3]設計網絡入侵檢測系統，該系統通過采集網絡連接特征值后，針對不同網絡流量形式設置評分機制，再通過深度學習模型輸出網絡入侵檢測結果。文獻[4]提出多模型判別的網絡入侵檢測系統，該系統運用Bagging算法將支持向量機、時序卷積神經網絡、殘差神經網絡集成于一體，將網絡數據輸入到以上模型內獲得網絡入侵檢測結果。以上系統雖然均可實現輕量級網絡入侵檢測，但檢測結果精度不足，導致該兩種系統應用效果不佳。人工智能技術是指利用計算機程序實現人類智能的技術，其包括推理、學習、感知的多種機器學習算法[5]，在各個領域應用極為廣泛，本文在此以人工智能技術為基礎，設計基于人工智能技術的輕量級網絡入侵檢測系統，提升網絡入侵檢測技術水平。

1" 輕量級網絡入侵檢測系統

1.1" 系統總體結構

設計輕量級網絡入侵檢測系統總體結構，如圖1所示。輕量級網絡入侵檢測系統由采集層、傳輸層、邏輯運算層和展示層組成，在采集層內利用若干個用戶探針獲得用戶網絡運行數據，經過IDS檢測服務器傳輸后使用網絡數據包捕獲模塊獲得當前用戶網絡運行數據，然后將其傳輸到傳輸層內，該層通過防火墻、核心交換機和通信協議將當前網絡運行數據傳輸到邏輯運算層內，該層使用數據預處理模塊對網絡運行數據進行去噪預處理后，將其輸入到基于人工智能的網絡入侵檢測模塊內，通過該模塊獲得當前輕量級網絡入侵檢測結果后，通過展示層內的歷史記錄查詢、入侵檢測結果展示等模塊為用戶提供交互功能。

1.2" IDS檢測服務器硬件設計

IDS檢測服務器由若干個Agent組成Agent庫，并以其為基礎建立控制中心，每個Agent之間通信借助消息傳遞方式運行[6]。IDS檢測服務器硬件結構如圖2所示。

IDS檢測服務器硬件由被檢測主機、主控制中心和分區控制中心組成。被檢測網絡主機由通信組件、巡視Agent、響應模塊和數據采集模塊組成，負責獲取被檢測主機運行數據并將其發送到分區控制中心內。分區控制中心對接收被檢測主機運行數據[7]，巡視并分析Agent后，通過通信組件將被檢測主機運行數據發送到主控制中心內。主控制中心由Agent庫、管理模塊、響應模塊和綜合分析模塊組成，其負責對被檢測主機運行數據進行綜合分析后將其傳輸到系統采集層網絡數據包捕獲模塊內，獲得最終的用戶網絡運行數據。

1.3" 系統軟件設計

1.3.1" 數據包捕獲程序設計

系統采集層網絡數據包捕獲模塊是系統的關鍵部分，其負責采集用戶在網絡上的運行數據，是實現輕量級網絡入侵檢測的基礎，設計數據包捕獲軟件運行流程如圖3所示。

系統采集層網絡數據包捕獲模塊開始運行時，先開啟網卡混雜模式，然后對IDS檢測服務器進行監聽，尋找當前傳輸用戶網絡運行數據設備，判斷是否尋找到設備，若沒有則繼續對IDS檢測服務器進行監聽，若尋找到設備，則開啟網絡設備或文件后，獲取當前網絡號和掩碼[8]，捕獲當前網絡數據包并傳輸后結束數據包捕獲程序，經過上述過程完成數據包捕獲過程。

1.3.2" 基于人工智能技術的網絡入侵檢測算法

系統獲取到用戶網絡運行數據后，系統邏輯運算層對數據進行去噪預處理，避免影響輕量級入侵檢測的精度，然后將去噪預處理后的用戶網絡運行數據輸入到基于人工智能技術的網絡入侵檢測模塊內，該模塊利用人工智能技術中的無監督免疫優化分層對用戶網絡運行數據進行輕量級入侵檢測[9?10]，其詳細過程如下：

用戶網絡入侵可分為內部入侵和外部入侵，建立輕量級網絡入侵檢測模型[f（x）]，該模型表達式如下：

[f（x）=synR-K（x，x）-2jλjK（xj，x）+i，jλiλjK（xj，xi）] （1）

式中：syn（·）表示合成數據，通過使用合成數據來建立入侵檢測模型，以增加模型的訓練樣本數量；[R]表示用戶網絡運行數據識別特征；[K（xj，xi）]表示用戶網絡訪問數據；[λ]表示訪問數據類別標記。

由于用戶遭受網絡入侵是無監督的[11]，對于無監督訪問數據沒有類別的標識[12?13]，導致其入侵特征不夠明顯，在此使用免疫網絡優化方法對網絡入侵數據進行學習壓縮。令[G]表示由用戶網絡運行數據建立的免疫網絡矩陣，然后通過計算免疫網絡內節點[Gi]和[Gj]的相似性判斷矩陣行向量的距離，依據該距離對用戶網絡運行數據進行學習壓縮。以學習壓縮處理后的用戶網絡運行數據為基礎，將該數據對偶成一個優化分類函數[Q（G）]，表達公式如下：

[Q（G）=i=1NQi-i，j=1nQiQj（xi，xj）2] （2）

依據公式（1），則輕量級網絡入侵檢測模型可改寫為：

[f（x）=synR-G（x，x）-2jλjG（xj，x）] （3）

利用優化分類函數[Q（G）]對公式（3）進行優化求解后，即可得到輕量級網絡入侵檢測結果，將該結果發送至系統展示層內，通過入侵告警信息模塊向用戶發出入侵告警，通過入侵檢測結果模塊為用戶呈現入侵檢測結果。

2" 實驗分析

以某學校內網作為實驗對象，該學校內網由于應用特殊性，經常遭受網絡入侵，對網絡信息安全造成了嚴重影響，運用本文系統對該學校網絡進行輕量級入侵檢測，驗證本文系統的實際應用效果。

用戶網絡數據包捕獲是輕量級網絡入侵的基礎，以該高校網絡內10臺主機作為實驗對象，測試該10臺主機運行時本文系統捕獲其數據包的能力，結果如表1所示。

分析表1可知，運用本文系統捕獲10臺主機運行時的網絡數據，捕獲的數據包個數與實際數據包個數最大差值僅為1，該差值較小，其說明本文系統可有效捕獲網絡數據包，為后續輕量級網絡入侵檢測提供數據基礎。

以不同線程數情況下系統性能損失值作為衡量系統穩定性的指標，測試在不同運行線程情況下本文系統的性能損失值變化情況，同時設置性能損失值閾值為10%，測試結果如圖4所示。

分析圖4可知，本文系統在運行時，其性能損失值隨著運行線程數量的增加而增加，但在運行線程數量為80個之前，本文系統性能損失率數值較低，當運行線程數量超過80個后，系統的性能損失率呈現稍大幅度的上升趨勢，但性能損失值均低于預設閾值。上述結果表明：本文系統在運行過程中受運行線程數量影響較小，系統運行穩定性能較好。

運用本文系統對某時段內的校園網絡入侵進行檢測，檢測結果如圖5所示。

分析圖5可知，運用本文系統可有效從若干網絡運行正常數據內檢測到入侵數據，檢測到的入侵數據個數與實際入侵數據個數完全吻合，說明本文系統具備較好的輕量級網絡入侵檢測能力。

以不同網絡入侵類型作為實驗對象，使用本文系統對不同網絡入侵類型進行輕量級檢測并告警，以告警時延作為衡量本文系統輕量級檢測性能的指標，驗證本文系統應用效果，測試結果如表2所示。

分析表2可知，對于不同類型的網絡入侵，本文系統均可有效檢測并告警，其中告警延遲最大數值僅為0.05 ms，該數值較小，說明本文系統可及時對網絡入侵進行告警，告警延遲時間較小也說明本文系統輕量級檢測能力較好，應用效果較好。

3" 結" 論

本文設計基于人工智能技術的輕量級網絡入侵檢測系統，并以某高校內網作為實驗對象，對本文系統進行了多角度驗證，從驗證結果得知，本文系統捕獲網絡運行數據包能力較強，可有效檢測數據內的入侵數據，并及時向用戶發出入侵告警，具備較好的應用效果，未來可在網絡入侵檢測領域廣泛應用。

參考文獻

[1] 黃學臻，翟翟，周琳，等.基于輕量級密集神經網絡的車載自組網入侵檢測方法[J].電子技術應用，2022，48（7）：67?73.

[2] 楊彥榮，宋榮杰，周兆永.基于GAN?PSO?ELM的網絡入侵檢測方法[J].計算機工程與應用，2020，56（12）：66?72.

[3] 何俊鵬，羅蕾，肖堃，等.基于特征值分布和人工智能的網絡入侵檢測系統的研究與實現[J].計算機應用研究，2021，38（9）：2746?2751.

[4] 馬琳，王云霄，趙麗娜，等.基于多模型判別的網絡入侵檢測系統[J].計算機科學，2021，48（z2）：592?596.

[5] 劉景美，高源伯.自適應分箱特征選擇的快速網絡入侵檢測系統[J].西安電子科技大學學報（自然科學版），2021，48（1）：176?182.

[6] 李貝貝，宋佳芮，杜卿蕓，等.DRL?IDS：基于深度強化學習的工業物聯網入侵檢測系統[J].計算機科學，2021，48（7）：47?54.

[7] 王璐，文武松.基于人工智能的分布式入侵檢測研究[J].計算機科學，2022，49（10）：353?357.

[8] 沈綱祥.基于人工智能技術的光通信網絡應用研究[J].通信學報，2020，41（1）：162?168.

[9] 南靜，寧傳峰，建中華，等.基于隨機配置網絡的輕量級人體行為識別模型[J].控制與決策，2023，38（6）：1541?1550.

[10] 卞葉童，孫涵.多信息輔助的U型輕量級顯著性目標檢測模型[J].小型微型計算機系統，2023，44（9）：2023?2029.

[11] 柴亞闖，楊文忠，張志豪，等.基于EKM?AE模型的無監督主機入侵檢測方法[J].小型微型計算機系統，2021，42（4）：868?874.

[12] 蔡美玲，汪家喜，劉金平，等.基于Transformer GAN架構的多變量時間序列異常檢測[J].中國科學：信息科學，2023，53（5）：972?992.

[13] 王進，李琪，黃家瑋.路徑差異敏感的包散射策略機制[J].計算機工程與應用，2019，55（5）：72?75.