HAMAD：面向IoT与边缘计算的轻量级网络异常检测框架

HAMAD是一款创新的轻量级机器学习框架，专为实时网络异常检测设计。它旨在解决IoT与边缘计算环境中，传统深度学习模型资源消耗大与轻量级模型精度不足的核心矛盾，通过混合注意力机制等技术，在保持高精度的同时满足边缘部署的实时性需求，是网络安全领域边缘友好型检测方案的重要探索。

随着物联网设备爆炸式增长和边缘计算普及，网络安全面临新挑战。传统深度学习模型虽检测精度高，但资源需求大难以部署在边缘设备；轻量级模型则精度难以满足生产要求。HAMAD（Hybrid Attention-based Multi-scale Anomaly Detection）由此诞生，旨在平衡高精度与边缘环境实时性要求，由Samyadeep Saha在NIT Agartala攻读网络安全硕士期间开发。

HAMAD的核心创新包括：

1. 混合注意力集成学习：结合Random Forest（高维特征处理、抗噪声）与XGBoost（捕捉非线性关系），通过注意力加权融合动态分配权重，兼顾稳定性与灵活性；
2. 自适应阈值机制：基于重构误差动态调整异常判定标准，流量高峰放宽阈值避免误报，平稳期收紧提升灵敏度，无需人工干预；
3. 多尺度时序特征提取：同时捕捉短期（突发异常如DDoS）与长期（缓慢入侵如APT）流量模式，应对多样威胁。

HAMAD在三个权威数据集上评估表现优异：

数据集	准确率	精确率	召回率	F1分数
NSL-KDD	99.45%	99.32%	99.58%	99.45%
UNSW-NB15	99.71%	99.68%	99.74%	99.71%
CICIDS2017	99.62%	99.55%	99.69%	99.62%

• NSL-KDD（KDD Cup改进版）：准确率99.45%；
• UNSW-NB15（现代攻击类型）：准确率99.71%，F1分数99.71%；
• CICIDS2017（25种攻击）：准确率99.62%，泛化能力强。

HAMAD具备优秀的工程化设计：

1. 端到端数据流水线：自动化完成数据获取到特征工程，支持主流数据集一键下载预处理；
2. 交互式监控仪表板：基于Streamlit构建，提供实时指标、混淆矩阵、ROC/PR曲线等可视化；
3. 边缘就绪架构：轻量级设计可在树莓派等低功耗设备运行，满足IoT网关实时需求；
4. MLOps支持：Docker容器化、模型版本管理、可复现实验环境、单元测试覆盖。

HAMAD适用于多种场景：

• 工业物联网（IIoT）安全：部署在PLC或边缘网关，监控工业控制网络异常，防范设备攻击；
• 智能家庭网络：集成到家用路由器固件，为普通用户提供企业级入侵检测；
• 5G边缘计算节点：在5G边缘节点实现实时异常检测，保护网络基础设施。

局限：

1. 目前仅在三个公开数据集验证，私有行业数据集表现待测试；
2. 对抗样本下的鲁棒性需进一步验证；
3. 实时性延迟指标（如P99）未明确。 未来方向：

• 引入联邦学习，支持分布式隐私保护训练；
• 探索模型量化技术，降低边缘资源消耗；
• 集成在线学习机制，适应网络环境变化。

HAMAD协调了深度学习能力与边缘计算限制，通过混合注意力机制、自适应阈值等技术，在保持99%+准确率的同时实现轻量级部署。它是边缘友好型入侵检测方案的重要代表，适合安全工程师、物联网安全研究者及需智能安全功能的开发者关注与尝试。