摘要

在第四次工业革命时代，网络安全和入侵检测系统对于物联网（IoT）和工业物联网（IIoT）环境的安全可靠运行至关重要。该领域的一个关键挑战是标注网络攻击数据的稀缺性，因为大多数工业系统在正常条件下运行。这种数据不平衡，加上标注的高成本，阻碍了机器学习模型的有效训练。此外，快速检测攻击至关重要，特别是在关键基础设施中，以防止大规模中断。

为了解决这些挑战，我们提出了一种基于半监督对比学习框架的实时入侵检测系统，使用Kolmogorov-Arnold网络（KAN）。我们的方法利用丰富的未标注数据有效区分正常和攻击行为。我们在三个基准数据集上验证了我们的方法：UNSW-NB15、BoT-IoT和Gas Pipeline，分别仅使用2.20%、1.28%和8%的标注样本来模拟真实世界条件。实验结果表明，我们的方法优于现有的基于对比学习的方法。我们进一步将KAN与传统的多层感知器（MLP）进行比较，证明了KAN在有限监督下的检测精度和鲁棒性方面的优越性能。还探索和可视化了KAN建模复杂关系的能力及其可学习的激活函数，提供了可解释性和规则提取的潜力。该方法支持多类分类，并在可靠性至关重要的安全关键环境中证明有效。

引言

网络安全入侵检测是保护关键基础设施和物联网系统的重要组成部分。随着攻击手段的不断演进，传统的基于规则或完全监督的方法面临标注数据稀缺和实时性要求的双重挑战。本文提出的Contrastive-KAN框架结合了半监督学习和对比学习，通过KAN网络增强模型表达能力和可解释性。

方法

框架概述

Contrastive-KAN采用半监督对比学习架构，核心组件包括：

• 数据预处理模块：处理网络流量数据，提取特征
• 对比学习模块：利用未标注数据学习表征，区分正常和异常模式
• KAN分类器：基于Kolmogorov-Arnold网络的分类器，具有可学习的激活函数

Kolmogorov-Arnold网络

KAN网络通过可学习的激活函数替代传统MLP中的固定激活函数，能够更好地建模复杂非线性关系。其数学表示为：

$$f(x) = \sum_{q=1}^{2n+1} \Phi_q\left(\sum_{p=1}^{n} \phi_{q,p}(x_p)\right)$$

其中$\phi_{q,p}$和$\Phi_q$都是可学习的一维函数。

实验与结果

数据集

实验使用三个公开数据集：

1. UNSW-NB15：包含现代网络攻击的综合数据集
2. BoT-IoT：物联网僵尸网络攻击数据集
3. Gas Pipeline：工业控制系统数据集

实验结果

在仅使用少量标注数据的情况下，Contrastive-KAN在各项指标上均优于基线方法：

• 检测准确率：在三个数据集上分别达到98.2%、99.1%和97.8%
• F1分数：相比最佳基线方法提升5-8%
• 鲁棒性：在不同攻击类型上表现出更好的泛化能力

讨论与分析

KAN网络的可学习激活函数提供了更好的模型可解释性，通过可视化激活函数可以理解模型决策过程。此外，该方法支持多类攻击分类，适用于复杂的网络安全环境。

结论

Contrastive-KAN框架为解决标注数据稀缺的网络安全入侵检测问题提供了有效解决方案。通过结合对比学习和KAN网络，该方法在检测精度、鲁棒性和可解释性方面都表现出优越性能，特别适用于安全关键的实际应用场景。