《Electronics》:Lightweight MLP-Based Feature Extraction with Linear Classifier for Intrusion Detection System in Internet of Things
Jisi Chandroth and
Jehad Ali
编辑推荐:
针对物联网(IoT)网络环境中入侵检测系统(IDS)部署面临的计算资源受限挑战,研究人员提出了一种基于双层多层感知机(MLP)的轻量级入侵检测模型。该模型采用特征嵌入骨干网络将高维网络流量特征压缩为低维判别性表示,随后通过线性SoftMax分类头实现多类别攻击
针对物联网(IoT)网络环境中入侵检测系统(IDS)部署面临的计算资源受限挑战,研究人员提出了一种基于双层多层感知机(MLP)的轻量级入侵检测模型。该模型采用特征嵌入骨干网络将高维网络流量特征压缩为低维判别性表示,随后通过线性SoftMax分类头实现多类别攻击识别。研究人员采用AdamW优化器与L2正则化技术训练模型,并在CICIDS2017、NSL-KDD及CICIoT2023三个基准数据集上验证性能。实验结果表明,所提模型在保持高精度检测能力的同时,显著降低参数量与浮点运算量(FLOPs),其中CICIDS2017数据集上准确率可达99.85%,模型尺寸仅为89.6 KB。该研究为资源受限的物联网边缘设备部署实时入侵检测提供了有效解决方案。
论文解读
研究背景与意义
随着物联网设备在智能家居、工业监控等领域的普及,网络攻击面持续扩大。传统入侵检测系统依赖复杂深度学习模型,存在参数量大、计算开销高的问题,难以适配内存与算力受限的边缘设备。现有轻量化方案多采用量化或剪枝等后训练优化技术,增加了部署复杂度。因此,亟需开发原生轻量化的入侵检测架构,在保证检测精度的同时满足实时性要求。《Electronics》刊载的本研究针对此需求,提出一种无需后优化的双层MLP轻量模型,旨在平衡检测性能与计算效率。
关键技术方法
研究人员选用CICIDS2017、NSL-KDD和CICIoT2023三个公开基准数据集,按8:2划分训练集与测试集。模型采用双层MLP架构:首层128神经元、二层64神经元,均使用ReLU激活函数提取非线性特征;嵌入层输出经线性SoftMax分类器生成类别概率。训练过程采用交叉熵损失函数,优化器选用AdamW(学习率0.003,权重衰减系数1×10-4),批次大小为128,训练周期100轮。计算复杂度通过参数量、浮点运算数(FLOPs)、乘加操作数(MAC)及推理时延综合评估。
研究结果
数据集特性分析
CICIDS2017包含良性流量与DDoS、端口扫描等现代攻击;NSL-KDD涵盖Neptune、Smurf等传统攻击类型;CICIoT2023则聚焦物联网特有的Mirai、MITM等攻击场景,三者共同构成多维度的评估环境。
模型训练与超参数设置
隐藏层维度经实验确定为128-64结构,ReLU激活函数有效捕获流量非线性特征。权重初始化采用标准方法,L2正则化防止过拟合,AdamW优化器提升收敛稳定性。
评估指标与性能表现
在CICIDS2017上,Benign、DDoS等主流类别F1-score超0.99,仅Bot类因与正常流量相似导致召回率偏低;NSL-KDD中Neptune类达完美精度(1.00);CICIoT2023的DDoS、Mirai类准确率超99%,但MITM与Recon类因模式隐蔽性检测较弱。ROC曲线显示多数类别AUC接近1.0,仅少数复杂攻击略低。混淆矩阵证实模型误判主要集中于特征相似的攻击类型间。
计算复杂度分析
模型参数量最低仅13,573(NSL-KDD),FLOPs最高45,200(CICIDS2017),模型尺寸小于90 KB。推理时延毫秒级,显著低于对比模型,满足边缘设备实时处理需求。
对比研究
与FBMP-IDS、DL-BiLSTM等5种轻量模型相比,本模型在CICIDS2017准确率提升0.2%-1.5%,参数量减少30%-80%;在CICIoT2023上F1-score领先2.3%-5.7%,验证了架构优越性。
讨论与结论
研究人员指出,该轻量MLP模型通过端到端训练即实现高效检测,避免了传统方案所需的量化、剪枝等后处理步骤。局限性在于对特征隐蔽的Bot、MITM等攻击识别不足,未来将通过注意力机制增强特征区分度。结论强调,该模型在三个数据集上分别达到99.85%、99.21%、98.45%的准确率,且计算开销极低,为物联网边缘安全提供了可直接部署的解决方案。后续研究将聚焦于不平衡样本处理与对抗攻击防御,进一步提升模型鲁棒性。
