该论文针对能源基础设施中基于人工智能的入侵检测系统（IDS）面临的模型窃取攻击问题，提出了一种新型防御方法FlowGuard。模型窃取攻击允许攻击者通过查询IDS来复制其决策边界，从而离线生成逃避检测的恶意流量。现有防御方法存在两个主要缺陷：一是基于身份的查询监控（如PRADA）无法抵御分布式攻击（Sybil攻击），因为攻击者可以伪装成多个独立客户端；二是通过软标签扰动进行预测中毒的方法不适用于硬标签IDS（只能输出离散类别）。FlowGuard利用流匹配（Flow Matching）技术，在不依赖查询者身份的前提下，通过在IDS处理之前将传入查询分类为分布外（OOD）样本进行防御。其核心思想是：用于数据无关模型窃取攻击（如MAZE、DisGUIDE）的合成查询通常位于比真实网络流量更低维度的流形上，因此使用已在合法数据上训练的连续归一化流（Continuous Normalizing Flow）计算出的对数似然值会显著更低。实验部分，作者在单客户端和分布式（100客户端Sybil）设置下，针对PRADA和FDINet方法进行评估。结果表明，当数据分布变化时，PRADA的检测率降至0%，而FlowGuard在两个设置下均保持稳定的检测率，且不依赖身份信息。论文还讨论了该方法的适用范围和局限性，并提出了对数据相关攻击的潜在应用方向。适合安全研究人员、IDS开发者和能源系统安全工程师阅读。