Fallo de Generalización entre Dominios en Modelos Ligeros de Detección de Intrusiones para Redes IIoT
Cross-Domain Generalization Failure in Lightweight Intrusion Detection Models for IIoT Networks
July 1, 2026
Autores: MD Azizul Hakim, Md Shihab Uddin, Talha Ibne Anis
cs.AI
Resumen
Los modelos ligeros de aprendizaje automático se proponen cada vez más para la detección de intrusiones en redes del Internet Industrial de las Cosas (IIoT) debido a su idoneidad para el despliegue perimetral con recursos limitados. La mayoría de los resultados reportados evalúan estos modelos únicamente dentro de su red de entrenamiento, dejando sin verificar su comportamiento en redes no vistas. Este estudio entrena cuatro arquitecturas ligeras en un conjunto de datos de IIoT y las evalúa, sin reentrenamiento, en dos conjuntos de datos de IIoT estructuralmente distintos, utilizando una representación de características restringida a atributos disponibles en las tres fuentes. El análisis de explicabilidad en los dos modelos de mejor rendimiento muestra que ambos dependen abrumadoramente de características gruesas de categoría de puerto; la categoría más influyente aparece en el tráfico de ataques del dominio de origen con una tasa entre 96 y 435 veces mayor que en los dos dominios objetivo, lo que indica que la reducción de la resolución de puertos reubica, en lugar de eliminar, un atajo documentado. La evaluación bajo distribuciones de clases naturalmente desbalanceadas revela un efecto adicional: el protocolo de evaluación utilizado puede invertir cuál de las redes objetivo parece plantear el mayor desafío de generalización. También se evalúan la robustez adversarial y la recuperación mediante exposición limitada al dominio objetivo; la robustez frente a perturbaciones adversariales no está relacionada con la generalización entre redes, y la recuperación mediante adaptación varía considerablemente según la arquitectura. Estos hallazgos sugieren que la preparación para el despliegue debe evaluarse mediante evaluación entre redes bajo distribuciones de clases realistas, en lugar de basarse únicamente en la precisión dentro del dominio.
English
Lightweight machine learning models are increasingly proposed for intrusion detection in Industrial Internet of Things (IIoT) networks due to their suitability for resource-constrained edge deployment. Most reported results evaluate these models only within their training network, leaving behavior on unseen networks unverified. This study trains four lightweight architectures on one IIoT dataset and evaluates them, without retraining, on two structurally distinct IIoT datasets using a feature representation restricted to attributes available across all three sources. Explainability analysis across two top-performing models shows both rely overwhelmingly on coarse port-category features; the most influential category occurs in source-domain attack traffic at 96 to 435 times the rate in the two target domains, indicating that coarsening port resolution relocates rather than removes a documented shortcut. Evaluation under naturally imbalanced class distributions reveals a further effect: the evaluation protocol used can reverse which target network appears to pose the greater generalization challenge. Adversarial robustness and recovery through limited target-domain exposure are also assessed; robustness to adversarial perturbation is unrelated to cross-network generalization, and recovery through adaptation varies considerably by architecture. These findings suggest deployment readiness should be assessed using cross-network evaluation under realistic class distributions, rather than within-domain accuracy alone.