云服务提供商正在边缘设备上广泛部署网络操作系统（NOS），以实现快速配置并为新的网络协议提供高可用性。然而，启用了NOS的网络为入侵者提供了机会，他们可以秘密破坏防护较弱的可编程交换机，从而对整个网络发起攻击。传统的集中式入侵检测系统可能会忽略配备NOS的交换机上的异常事件，从而无法检测到此类攻击。在本文中，我们首次尝试针对启用了NOS的网络进行入侵检测，设计了Retriever系统。Retriever包含一个轻量级的本地异常检测模块，该模块部署在可编程交换机上，以及一个中央异常评估模块，部署在中央服务器上。本地异常检测模块会选择性记录交换机上的系统和网络事件，并据此建立一个事件溯源图。与溯源图不匹配的新事件会被汇总起来，形成一个可疑子图并上报给中央服务器。中央异常评估模块从报告的可疑子图中提取语义信息，并计算它们的异常分数。大规模实验表明，Retriever能够在保持较低开销的情况下实现高达99%的入侵检测准确率。