随着物联网技术在全球范围内的广泛应用，其面临的网络安全威胁呈现持续升级态势。新型网络攻击手段不断涌现，传统入侵检测方法在应对动态变化的攻击模式时存在显著局限性。特别是在持续学习场景下，现有方法难以平衡历史知识与新知识的融合，导致模型在更新过程中出现灾难性遗忘问题，严重制约了物联网设备的实时监测能力。

当前物联网入侵检测研究呈现三大技术路径：传统规则驱动型方法、基于深度学习的特征提取型方法，以及面向持续学习的增量学习型方法。传统方法依赖人工制定的安全规则，虽然在小规模静态场景中表现优异，但难以适应物联网设备数量庞大、通信协议复杂、攻击模式多变的特点。深度学习模型通过端到端特征学习展现出显著优势，特别是基于Transformer架构的模型在时空特征融合方面取得突破，但现有研究普遍存在两大痛点：其一，静态训练集无法有效应对0day攻击等未知威胁；其二，模型持续更新时难以保持历史攻击模式的识别能力。

针对上述问题，研究团队提出CAFL-IDS终身学习框架，该方案在三个核心层面实现技术创新。首先，数据预处理阶段引入Gramian Angular Field（GAF）成像技术，通过相位梯度分析重构网络流量特征空间。这种非线性变换能够有效揭示传统傅里叶变换忽略的高阶相位信息，特别在区分异常流量与正常通信模式时展现出独特优势。其次，构建双阶段终身学习架构，在知识获取阶段采用动态模块扩展策略，通过注意力机制实现新旧特征的有效融合。实验表明，该架构可使模型在新增攻击类别时保持85%以上的历史模式识别准确率。

模型压缩阶段采用改进的知识蒸馏方法，通过构建多分支教师网络与单分支学生网络的协同训练机制，在模型精简过程中保留92%以上的关键特征。这种轻量化设计显著提升了边缘设备的部署可行性，实测数据表明模型体积缩减至原有1/5的同时，检测响应时间控制在50ms以内。特别值得关注的是类注意力融合策略，该技术通过动态调整历史类别的权重系数，在处理新型攻击模式时，既能有效抑制灾难性遗忘，又能保持对常见攻击类型的持续检测能力。

在实验验证环节，研究团队选取TON-IoT和DS2OS两大标准数据集进行对比测试。基线实验显示，传统LSTM模型在新类别添加后准确率下降达40%，而CAFL-IDS通过动态模块扩展和注意力机制，将准确率波动控制在5%以内。在模型更新效率方面，改进的损失函数将训练收敛速度提升至原有方法的1.8倍，同时将误报率降低至0.3%以下。消融实验进一步证实，GAF特征增强模块贡献约35%的性能提升，类注意力融合策略使模型泛化能力提高28%，而知识蒸馏模块则实现93%的参数压缩率。

研究还创新性地提出多稀疏对齐损失函数，该函数通过联合优化类分布稀疏性、特征空间对齐度和样本分布匹配度三个维度，有效解决了持续学习中的类不平衡问题。实验数据显示，在新增10个攻击类别的情况下，该损失函数使模型对新类别的识别准确率达到89.7%，而历史类别的保持准确率维持在94.2%以上。这种平衡能力使模型能够持续适应物联网环境中不断演变的攻击模式，同时保持对已知威胁的高效检测。

在工程实现方面，研究团队特别关注模型的可扩展性。通过设计可插拔的模块化架构，系统支持动态加载新攻击特征库，新增类别训练周期缩短至原方法的60%。实测表明，在200个节点组成的物联网网络中，模型日均处理流量达50GB，内存占用稳定在80MB以下，满足边缘设备资源限制要求。此外，构建的增量学习数据集已开放给学术界，为后续研究提供了标准化实验平台。

该研究的理论价值在于首次将Transformer架构应用于物联网持续学习场景，突破传统RNN和CNN在时序特征建模上的局限性。实践意义体现在三个方面：其一，构建的终身学习框架使模型更新周期从月级缩短至周级；其二，轻量化设计使模型可在500MHz以下的嵌入式处理器运行；其三，提出的动态特征对齐机制有效解决了多版本模型融合难题。这些创新为工业物联网、智慧城市等关键领域的网络安全提供了可落地的技术方案。

未来研究将重点拓展至联邦学习框架下的分布式终身学习，计划开发跨设备协同的增量学习协议。技术验证方面，拟在工业4.0场景中部署测试，评估模型在实时性、可靠性和资源消耗之间的平衡能力。同时，研究团队正在探索将注意力机制与区块链技术结合，构建去中心化的物联网安全监测网络，这可能是下一代智能物联网安全架构的重要发展方向。