ASTRID-Net：用于物联网和工业物联网安全的 SE 增强三重注意力深度学习框架

保护智能设备为何至关重要

家庭、工厂、医院和发电厂正被能够感知、测量并控制周围世界的智能设备所充斥。这张由设备组成的网络——通常被称为物联网（IoT）及其工业变体 IIoT——带来了便利和效率，但也为攻击者打开了无数数字之门。单个被入侵的传感器就可能导致生产停摆、医疗数据被窃或关键服务中断。本研究提出了 ASTRID-Net，一种新的人工智能系统，旨在实时发现此类入侵，即便攻击稀少、微妙或不断变化也能识别。

逐渐严重的隐蔽攻击问题

传统安全工具像指纹数据库：寻找已知的恶意行为模式。当犯罪分子发明新技术、发动大规模流量以压垮设备，或隐藏在繁忙网络的正常通信中时，这种方法就会失效。IoT 与 IIoT 系统尤其脆弱，因为它们结合了多种设备类型，运行于低功耗硬件，并常常依赖简单的通信规则。这些限制使得难以部署重量级安全软件，同时也便于攻击者隐藏。因此，组织需要更智能的守卫，能够从经验中学习、观察流量随时间的变化，并在感觉异常而不是仅与已保存签名匹配时发出警报。

面向智能网络的新型 AI 守护者

ASTRID-Net（全称 Adaptive Spatiotemporal Residual-Interpretable Detection Network，自适应时空残差可解释检测网络）旨在满足这些需求。它不是依赖人工制定的规则，而是直接从名为 Edge-IIoTset 的大型真实基准数据集中学习。该数据集包含超过两百万个样本，覆盖正常活动与 15 种不同攻击类型，从密码猜测和端口扫描到勒索软件以及各种分布式拒绝服务形式。ASTRID-Net 将每条记录转为数字序列，并通过几个阶段处理，模拟细致分析员可能采取的步骤：先在数据中扫描可识别的形态，再考虑事件随时间的演变，最后将注意力集中在最具信息量的细节上。

系统如何聚焦重要信息

ASTRID-Net 的第一阶段使用若干并行的模式发现器，每个通过不同的“窗口大小”观察数据。这种多尺度视角有助于捕捉细粒度线索（例如某一字段的突发峰值）以及更广泛的趋势（例如可疑流量的缓慢积累）。一个特殊的捷径连接使系统在构建更复杂特征时保留有用的低级信号，从而提高稳定性和训练速度。接着，一个双向序列模块同时向前和向后检查事件顺序，捕捉某一时刻前后数据之间的关联——这对于发现按阶段展开或协同进行的攻击尤为重要。

三重注意力：时间、通道与空间

ASTRID-Net 最显著的特征是其三重注意力机制。一部分学习序列中哪些时刻最重要，因此短暂但关键的异常流量不会被长期的常规行为淹没。另一部分受“挤压与激励”（squeeze-and-excitation）思想启发，学习哪些类型的信号（例如某些计数或时序度量）最具信息量，并对其进行放大同时抑制较不重要的信号。第三部分突出联合特征图中有信息的位置，帮助模型关注分布式而非聚集的微妙模式。共同作用下，这些注意力模块像一束在时间和特征空间中移动的聚光灯，使系统将计算资源集中在最关键之处。

这些结果对日常安全意味着什么

在 Edge-IIoTset 数据集上的测试显示，ASTRID-Net 在简单的“攻击与否”任务中最高可达 100% 的准确率，在识别 15 种攻击类型时约为 99.97%。值得注意的是，它在许多系统容易遗漏的罕见攻击类别上也表现良好。对非专业人士来说，这意味着该方法为构建更智能的防火墙和监控工具提供了有希望的路径，可用极少的漏报或误报来保护智能家庭、工厂和关键基础设施。尽管仍需进一步工作以将其适配到保护隐私和完全分布式的场景中，ASTRID-Net 指向了一个由 AI 驱动的安全未来，在这个未来中，智能守护将默默守护日益增长的连接设备世界。

引用: Zannat, A., Ahmmed, M.S., Hossain, M.A. et al. ASTRID-Net: SE-enhanced triple attention deep learning framework for IoT and IIoT security. Sci Rep 16, 5874 (2026). https://doi.org/10.1038/s41598-026-36731-8

关键词: 物联网安全, 入侵检测, 深度学习, 工业物联网, 网络攻击检测