A-THENA: Early Intrusion Detection for IoT with Time-Aware Hybrid Encoding and Network-Specific Augmentation
作者: Ioannis Panopoulos, Maria Lamprini A. Bartsioka, Sokratis Nikolaidis, Stylianos I. Venieris, Dimitra I. Kaklamani, Iakovos S. Venieris
分类: cs.CR, cs.LG
发布日期: 2026-04-23
期刊: ACM Transactions on AI Security and Privacy (April 2026), 38 pages
DOI: 10.1145/3811033
💡 一句话要点
A-THENA:基于时间感知混合编码和网络特定增强的物联网早期入侵检测系统
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 物联网安全 入侵检测 时间序列分析 Transformer模型 网络安全
📋 核心要点
- 物联网设备激增扩大了攻击面,现有入侵检测系统难以有效应对复杂网络威胁。
- A-THENA通过时间感知混合编码(THE)和网络特定增强(NA)来捕获时间动态并提高泛化能力。
- 实验表明,A-THENA在多个数据集上显著优于现有方法,且能在低功耗设备上实时运行。
📝 摘要(中文)
本文提出了一种轻量级的物联网早期入侵检测系统(EIDS)A-THENA,它显著扩展了时间感知编码的初步研究成果。A-THENA采用了一种先进的基于Transformer的架构,并结合了广义的时间感知混合编码(THE),集成了数据包时间戳,以有效地捕获对于准确和早期威胁检测至关重要的时间动态。该系统还采用了网络特定增强(NA)管道,增强了模型的鲁棒性和泛化能力。在三个基准物联网入侵检测数据集(CICIoT23-WEB、MQTT-IoT-IDS2020和IoTID20)上的评估表明,A-THENA始终表现出色。在所有三个数据集上的平均结果表明,其准确率比性能最佳的传统位置编码提高了6.88个百分点,比最强大的基于特征的模型提高了3.69个百分点,比领先的时间感知替代方案提高了6.17个百分点,比相关模型提高了5.11个百分点,同时实现了接近零的误报和漏报。为了评估实际可行性,我们将A-THENA部署在Raspberry Pi Zero 2 W上,证明了其以最小的延迟和内存使用执行实时入侵检测的能力。这些结果表明,A-THENA是保护物联网网络的一种敏捷、实用且高效的解决方案。
🔬 方法详解
问题定义:物联网设备数量的爆炸式增长使得网络攻击面急剧扩大,现有的入侵检测系统难以有效应对日益复杂的网络威胁。传统的入侵检测方法往往忽略了数据包之间的时间关系,或者泛化能力不足,导致检测精度不高,误报率较高,难以满足物联网设备实时性和资源受限的需求。
核心思路:A-THENA的核心思路是利用数据包的时间戳信息,通过时间感知混合编码(THE)来捕捉数据包之间的时间依赖关系,并结合网络特定增强(NA)来提高模型的泛化能力和鲁棒性。这种设计旨在更准确地识别恶意流量,同时降低误报率,并能够在资源受限的物联网设备上部署。
技术框架:A-THENA的整体架构基于Transformer模型,主要包含以下几个模块:数据预处理模块,负责清洗和转换原始网络流量数据;时间感知混合编码(THE)模块,将数据包的时间戳信息嵌入到输入特征中;Transformer编码器模块,用于学习流量特征的深层表示;网络特定增强(NA)模块,通过数据增强技术提高模型的泛化能力;分类器模块,用于判断流量是否为恶意流量。整个流程包括数据采集、特征提取、时间编码、模型训练和实时检测等步骤。
关键创新:A-THENA最重要的技术创新点在于时间感知混合编码(THE)和网络特定增强(NA)。THE通过结合不同的时间编码方法,更全面地捕捉数据包之间的时间关系。NA则通过生成具有网络特定特征的增强数据,提高模型在不同网络环境下的泛化能力。与现有方法相比,A-THENA能够更有效地利用时间信息,并具有更强的鲁棒性和泛化能力。
关键设计:THE模块的关键设计在于如何选择和组合不同的时间编码方法,以最大程度地捕捉时间信息。NA模块的关键设计在于如何生成具有代表性的增强数据,以提高模型的泛化能力。此外,Transformer模型的参数设置、损失函数的选择以及优化算法的选择也会影响模型的性能。具体而言,论文可能采用了交叉熵损失函数,并使用Adam优化器进行训练。
🖼️ 关键图片
📊 实验亮点
A-THENA在三个基准物联网入侵检测数据集上取得了显著的性能提升。与最佳传统位置编码相比,准确率提高了6.88个百分点;与最强的基于特征的模型相比,提高了3.69个百分点;与领先的时间感知替代方案相比,提高了6.17个百分点;与相关模型相比,提高了5.11个百分点。同时,A-THENA实现了接近零的误报和漏报,并在Raspberry Pi Zero 2 W上成功部署,验证了其在实际应用中的可行性。
🎯 应用场景
A-THENA可广泛应用于各种物联网场景,例如智能家居、工业控制系统和智慧城市等。它能够实时检测网络入侵,保护物联网设备免受恶意攻击,提高物联网系统的安全性和可靠性。此外,A-THENA的轻量级设计使其能够部署在资源受限的物联网设备上,具有很高的实用价值和应用前景。
📄 摘要(原文)
The proliferation of Internet of Things (IoT) devices has significantly expanded attack surfaces, making IoT ecosystems particularly susceptible to sophisticated cyber threats. To address this challenge, this work introduces A-THENA, a lightweight early intrusion detection system (EIDS) that significantly extends preliminary findings on time-aware encodings. A-THENA employs an advanced Transformer-based architecture augmented with a generalized Time-Aware Hybrid Encoding (THE), integrating packet timestamps to effectively capture temporal dynamics essential for accurate and early threat detection. The proposed system further employs a Network-Specific Augmentation (NA) pipeline, which enhances model robustness and generalization. We evaluate A-THENA on three benchmark IoT intrusion detection datasets-CICIoT23-WEB, MQTT-IoT-IDS2020, and IoTID20-where it consistently achieves strong performance. Averaged across all three datasets, it improves accuracy by 6.88 percentage points over the best-performing traditional positional encoding, 3.69 points over the strongest feature-based model, 6.17 points over the leading time-aware alternatives, and 5.11 points over related models, while achieving near-zero false alarms and false negatives. To assess real-world feasibility, we deploy A-THENA on the Raspberry Pi Zero 2 W, demonstrating its ability to perform real-time intrusion detection with minimal latency and memory usage. These results establish A-THENA as an agile, practical, and highly effective solution for securing IoT networks.