传统物联网入侵检测系统难以实时检测新类别攻击，为此，提出一种基于堆叠稀疏自编码器(SSAE)和自组织增量神经网络(SOINN)的物联网入侵检测方法。SSAE对已知类别的攻击样本进行稀疏编码和特征提取，所提取的特征输入SOINN,SOINN形成符合流量特征空间分布的拓扑结构。当出现新类别训练样本的特征时，SOINN自适应地生成新节点以建立新的局部拓扑结构。为了保留SSAE在旧类别样本上的知识，对SOINN已有的拓扑结构施加约束，通过误差反向传递间接约束SSAE权重的变化。针对SOINN在新类别上产生的新局部拓扑结构进行自适应聚合和优化，从而实现新类别样本学习。实验结果表明，该方法能基于新类别数据对模型进行增量训练而无需历史类别数据，在CIC-IDS2017数据集的动态数据流中能有效检测新类别攻击同时缓解旧类别数据中存在的灾难性遗忘问题，在初始已知数据集上的准确率达到98.15%，完成3个阶段的类别增量学习后整体准确率仍能达到57.34%，优于KNN-SVM、mCNN等增量学习方法。

• 单位
  上海海事大学