引言

入侵检测系统（IDS）已成为现代网络安全架构中的关键组成部分，尤其是在网络攻击的复杂性和频率不断增加的情况下[1]、[2]。无线通信和物联网（IoT）系统的快速发展迫切需要开发实时、智能且具有适应性的IDS。在这方面，基于机器学习（ML）的IDS展现出了巨大的潜力[3]、[4]，尤其是在学习复杂流量模式以识别入侵行为方面。这些方法能够实现快速部署，并在异常检测和入侵预防方面达到高精度，尤其是在IoT安全领域。例如，[5]中的作者对集成方法与单独的分类器进行了全面评估。[6]中的研究介绍了一种基于监督学习的轻量级IDS，用于在资源受限的IoT环境中检测网络攻击和异常行为。[7]提出了一种基于对比学习的方法，以增强ML分类器的性能并提高入侵检测的准确性。此外，[8]提出了一种基于对比学习的新型在线入侵检测框架，该框架包含一个自主异常检测模块和无标签的在线适应机制。在同一背景下，[9]的工作提出了一种基于数字孪生（DT）的入侵检测方法，用于工业控制系统，该方法通过使用八个监督学习模型的离线评估构建了一个堆叠集成分类器以支持实时检测。尽管ML在捕获复杂流量模式以进行入侵检测方面显示出巨大潜力，但其在实际的IoT部署中的性能仍受到现代网络动态特性的限制[10]。这一限制主要是由于异构IoT设备的快速增长和多样化应用协议导致的，这些因素产生了高度可变且不可预测的流量行为。这种变异性引入了显著的类内差异，使得ML模型难以随时间保持一致的表示。基于ML的IDS往往难以识别零日攻击，因为它们严重依赖于历史标记数据，并且缺乏检测先前未见或不断演变威胁行为的适应性[11]、[12]。此外，良性和恶意流量之间的行为趋同进一步加剧了这一限制，降低了类别的可分性并降低了检测精度。除了这些算法上的限制外，在实时环境中部署基于ML的IDS可能非常耗费资源，因为它通常需要专门的硬件和支持基础设施。这些限制凸显了需要一种新的入侵检测范式的需求，这种范式能够从未标记且不断演变的流量数据中学习出鲁棒、具有区分性的表示，同时保持对系统行为的上下文感知。