ChatPaper.aiChatPaper

Domänenübergreifender Generalisierungsfehler in leichtgewichtigen Intrusion-Detection-Modellen für IIoT-Netzwerke

Cross-Domain Generalization Failure in Lightweight Intrusion Detection Models for IIoT Networks

July 1, 2026
Autoren: MD Azizul Hakim, Md Shihab Uddin, Talha Ibne Anis
cs.AI

Zusammenfassung

Leichtgewichtige Modelle des maschinellen Lernens werden aufgrund ihrer Eignung für die ressourcenbeschränkte Edge-Bereitstellung zunehmend zur Intrusion Detection in Netzwerken des industriellen Internets der Dinge (IIoT) vorgeschlagen. Die meisten berichteten Ergebnisse evaluieren diese Modelle nur innerhalb ihres Trainingsnetzwerks, sodass das Verhalten auf unbekannten Netzwerken ungeprüft bleibt. Diese Studie trainiert vier leichtgewichtige Architekturen auf einem IIoT-Datensatz und evaluiert sie ohne erneutes Training auf zwei strukturell unterschiedlichen IIoT-Datensätzen, wobei eine auf Attribute beschränkte Merkmalsrepräsentation verwendet wird, die in allen drei Quellen verfügbar sind. Die Erklärbarkeitsanalyse über die beiden leistungsstärksten Modelle zeigt, dass beide überwiegend auf grobe Portkategorien-Merkmale angewiesen sind; die einflussreichste Kategorie tritt im Angriffsverkehr der Quelldomäne mit einer 96- bis 435-fachen Rate im Vergleich zu den beiden Zieldomänen auf, was darauf hindeutet, dass die Vergröberung der Portauflösung eine dokumentierte Abkürzung verschiebt und nicht entfernt. Die Evaluierung unter natürlich unausgeglichenen Klassenverteilungen offenbart einen weiteren Effekt: Das verwendete Evaluierungsprotokoll kann umkehren, welches Zielnetzwerk die größere Generalisierungsherausforderung zu stellen scheint. Zudem werden die Robustheit gegenüber adversariellen Angriffen und die Erholung durch begrenzte Exposition in der Zieldomäne bewertet; die Robustheit gegenüber adversariellen Störungen ist unabhängig von der netzwerkübergreifenden Generalisierung und die Erholung durch Anpassung variiert erheblich je nach Architektur. Diese Ergebnisse legen nahe, dass die Einsatzbereitschaft mittels netzwerkübergreifender Evaluierung unter realistischen Klassenverteilungen bewertet werden sollte, anstatt allein durch bereichsinterne Genauigkeit.
English
Lightweight machine learning models are increasingly proposed for intrusion detection in Industrial Internet of Things (IIoT) networks due to their suitability for resource-constrained edge deployment. Most reported results evaluate these models only within their training network, leaving behavior on unseen networks unverified. This study trains four lightweight architectures on one IIoT dataset and evaluates them, without retraining, on two structurally distinct IIoT datasets using a feature representation restricted to attributes available across all three sources. Explainability analysis across two top-performing models shows both rely overwhelmingly on coarse port-category features; the most influential category occurs in source-domain attack traffic at 96 to 435 times the rate in the two target domains, indicating that coarsening port resolution relocates rather than removes a documented shortcut. Evaluation under naturally imbalanced class distributions reveals a further effect: the evaluation protocol used can reverse which target network appears to pose the greater generalization challenge. Adversarial robustness and recovery through limited target-domain exposure are also assessed; robustness to adversarial perturbation is unrelated to cross-network generalization, and recovery through adaptation varies considerably by architecture. These findings suggest deployment readiness should be assessed using cross-network evaluation under realistic class distributions, rather than within-domain accuracy alone.