Échec de la généralisation inter-domaines dans les modèles légers de détection d'intrusion pour les réseaux IIoT
Cross-Domain Generalization Failure in Lightweight Intrusion Detection Models for IIoT Networks
July 1, 2026
Auteurs: MD Azizul Hakim, Md Shihab Uddin, Talha Ibne Anis
cs.AI
Résumé
Les modèles d'apprentissage automatique légers sont de plus en plus proposés pour la détection d'intrusions dans les réseaux de l'Internet industriel des objets (IIoT) en raison de leur adéquation aux déploiements en périphérie contraints en ressources. La plupart des résultats rapportés évaluent ces modèles uniquement au sein de leur réseau d'entraînement, laissant leur comportement sur des réseaux non vus non vérifié. Cette étude entraîne quatre architectures légères sur un jeu de données IIoT et les évalue, sans réentraînement, sur deux jeux de données IIoT structurellement distincts en utilisant une représentation des caractéristiques restreinte aux attributs disponibles dans les trois sources. L'analyse d'explicabilité sur deux des modèles les plus performants montre que les deux s'appuient massivement sur des caractéristiques grossières de catégorie de port ; la catégorie la plus influente apparaît dans le trafic d'attaque du domaine source à un taux 96 à 435 fois supérieur à celui des deux domaines cibles, indiquant que l'élargissement de la résolution des ports déplace plutôt qu'elle ne supprime un raccourci documenté. L'évaluation sous des distributions de classes naturellement déséquilibrées révèle un effet supplémentaire : le protocole d'évaluation utilisé peut inverser celui des réseaux cibles qui semble poser le plus grand défi de généralisation. La robustesse adversarial et la récupération par exposition limitée au domaine cible sont également évaluées ; la robustesse aux perturbations adversariales n'est pas liée à la généralisation inter-réseaux, et la récupération par adaptation varie considérablement selon l'architecture. Ces résultats suggèrent que la préparation au déploiement devrait être évaluée à l'aide d'une évaluation inter-réseaux sous des distributions de classes réalistes, plutôt que par la précision intra-domaine seule.
English
Lightweight machine learning models are increasingly proposed for intrusion detection in Industrial Internet of Things (IIoT) networks due to their suitability for resource-constrained edge deployment. Most reported results evaluate these models only within their training network, leaving behavior on unseen networks unverified. This study trains four lightweight architectures on one IIoT dataset and evaluates them, without retraining, on two structurally distinct IIoT datasets using a feature representation restricted to attributes available across all three sources. Explainability analysis across two top-performing models shows both rely overwhelmingly on coarse port-category features; the most influential category occurs in source-domain attack traffic at 96 to 435 times the rate in the two target domains, indicating that coarsening port resolution relocates rather than removes a documented shortcut. Evaluation under naturally imbalanced class distributions reveals a further effect: the evaluation protocol used can reverse which target network appears to pose the greater generalization challenge. Adversarial robustness and recovery through limited target-domain exposure are also assessed; robustness to adversarial perturbation is unrelated to cross-network generalization, and recovery through adaptation varies considerably by architecture. These findings suggest deployment readiness should be assessed using cross-network evaluation under realistic class distributions, rather than within-domain accuracy alone.