基于人工智能的模型已被广泛探索用于集成到物联网僵尸网络入侵检测系统中，但由于无法适应受持续概念漂移影响的非平稳物联网攻击流量特征，其在企业环境中的部署仍然有限。现有检测模型通常在平稳物联网攻击数据上训练，导致概念漂移发生时检测性能显著下降。增量学习是解决概念漂移的常用策略，即在检测到漂移时对分类器进行重训练与更新，但物联网攻击的快速演化导致概念漂移频繁发生，不仅带来高昂的重训练成本，还会因连续权重更新引发的模型偏移大幅增加灾难性遗忘风险。为解决这些局限以支持实际部署，研究人员提出VLSA-CL方法，将方差隐空间对齐与对比学习相结合，实现连续概念漂移下的鲁棒攻击检测。在该框架中，传入流量的隐表示在分类前会与已学习的隐空间对齐，对齐模型采用对比学习增强新旧表示间的类级一致性，从而提升流量区分能力。值得注意的是，分类器仅在历史数据上训练一次，无需持续重训练，降低了灾难性遗忘风险。在三个真实世界物联网攻击数据集上的综合实验验证了该方法的有效性：在概念漂移下仍能保持强劲检测性能，同时显著降低未见流量中的误报率与漏检率。

研究背景方面，物联网设备普及使僵尸网络攻击成为网络安全核心威胁，现有基于深度学习的物联网僵尸网络入侵检测方法在基准数据集上准确率表现优异，但普遍假设攻击流量模式随时间保持稳定，与真实物联网环境的动态性相悖。真实环境中攻击者会利用多样的设备类型、网络配置、攻击生成技术与恶意软件家族，导致攻击流量分布持续变化，即概念漂移现象。现有基准数据集多围绕特定僵尸网络家族、设备集与攻击方法构建，本质为平稳数据，导致单一数据集训练的模型在其他异构数据集上性能大幅下降。当前主流的增量学习方法通过持续重训练适配漂移，但频繁更新会带来高昂计算开销、模型不稳定与灾难性遗忘问题，难以满足实际部署需求。为此，Hassan Wasswa、Hussein A. Abbass与Timothy Lynar在《Neurocomputing》发表研究，提出融合方差隐空间对齐与对比学习的VLSA-CL框架，在不重复训练分类器的前提下实现概念漂移下的鲁棒检测，为物联网入侵检测的实际落地提供了新路径。

关键技术方法方面，研究人员选取CICIoT2022、ACI-IoT-2023与IoT网络入侵数据集（IoT-NID）三个真实物联网攻击数据集，覆盖不同设备类型、攻击场景与流量特征。预处理阶段去除重复值、缺失值与无关字段，采用MinMaxScaler将数据标准化至[0,1]范围。核心方法包含三部分：一是基于变分自编码器（VAE）的隐空间构建，在历史数据上训练VAE并将高维流量映射为低维隐向量，分类器仅在该隐表示上训练一次；二是基于Wasserstein距离的隐空间对齐，采用轻量多层感知机（MLP）作为对齐模型，最小化新流量隐空间与历史隐空间的分布差异；三是监督式对比学习，采用归一化温度缩放交叉熵（NT-Xent）损失，确保对齐后同类流量隐表示更接近、异类表示更远离。实验通过跨数据集评估模拟突发型概念漂移，对比六类深度学习分类器性能，并通过消融实验验证各模块贡献。

研究结果部分，初始实验显示所有分类器在同源测试集上准确率达99.99%，但在跨数据集测试中准确率骤降至54%~62%，证明概念漂移的严重负面影响。引入VLSA-CL后，六类分类器在ACI-IoT-2023与IoT-NID上的平均准确率提升至96%以上，其中多层感知机（MLP）因计算复杂度最低被选为后续优化基础。温度参数优化实验表明τ=0.07时模型性能最稳定。消融实验显示，仅使用Wasserstein距离对齐时，ACI-IoT-2023准确率为87.22%，加入对比学习后提升至98.63%；IoT-NID准确率从79.26%提升至97.59%，证明对比学习可显著提升类级区分能力。跨数据集轮换训练实验进一步验证，无论以哪个数据集作为历史数据，分类器仅在同源测试集上表现优异，跨源测试性能均大幅下降，凸显了传统模型的平稳性假设缺陷。计算成本分析显示，框架推理阶段全由全连接层构成，单样本平均推理时间为毫秒级，适合实时检测场景。与现有方法对比，VLSA-CL是唯一同时解决概念漂移、避免分类器重训练并在跨数据集测试中保持高精度的方案。

讨论与结论部分，研究人员指出当前框架仍需压缩以适应资源受限的物联网边缘设备，且未集成现有概念漂移检测算法，未来将探索剪枝、量化等压缩策略，并评估不同漂移检测方法的适配性。结论明确，VLSA-CL通过隐空间对齐保留历史知识，通过对比学习维持类级一致性，实现了分类器单次训练下的持续适配，解决了增量学习的灾难性遗忘与高开销问题。该研究突破了传统物联网入侵检测的平稳性假设限制，为动态网络环境下的鲁棒攻击检测提供了可落地的技术路径，对提升物联网安全防护能力具有重要实践价值。