应用人工智能和机器学习于网络安全已有广泛应用, 特别是使用深度学习技术设计的IDS. 然而，这些系统被视为黑盒模型，无法提供预测的合理解释。因此，需要设计可解释的IDS，调查了可解释AI的现状，并提出了一种人们参与的通用架构，以用作设计X-IDS的指导

Jul, 2022

本文介绍了一种基于自组织映射的可解释入侵检测系统（X-IDS），该系统可以产生全局和局部的可解释性可视化；该X-IDS在NSL-KDD和CIC-IDS-2017数据集上通过解释生成和传统精度测试进行了评估。

Jul, 2022

本文系统评述 XAI 应用于网络安全的研究现状，探讨 XAI 在哪些领域已经适用于网络安全，并解决黑箱 AI 在网络安全领域应用中的难点。

Feb, 2023

通过对网络系统中的网络驱动安全威胁和问题进行系统分类, 本文就网络安全中的可解释人工智能问题进行了回顾和研究, 探讨了解释人工智能目前的挑战和局限性，并提出了未来的研究方向。

Mar, 2023

使用深度学习和图神经网络构建的可解释入侵检测系统（IDS）提供了高精度的网络攻击和异常识别方案。该研究通过利用网络流数据，结合边属性，改进检测能力，适应新型威胁，并提供清晰可行的解释分析结果，以促进机器学习和深度学习技术在网络安全防御中的广泛应用。

Feb, 2024

通过互联网入侵检测系统（IDS）与可解释人工智能（XAI）的集成，最近取得了显著的性能提升，通过精确的特征选择。然而，深入了解网络攻击需要IDS内部可解释的决策过程。本文提出了易于解释的泛化机制（IG），具有革新IDS能力的潜力。IG区分出一致的模式，从而使其具有解释能力，可以区分正常和异常的网络流量。此外，一致模式的合成揭示了复杂的入侵路径，为网络安全取证提供了重要见解。通过与实际数据集NSL-KDD、UNSW-NB15和UKM-IDS20的实验，IG即使在低比例的训练和测试中也能取得较高的准确性。在NSL-KDD中，当比例为10%至90%时，IG的准确率（PRE）为0.93，召回率（REC）为0.94，曲线下面积（AUC）为0.94；在UNSW-NB15中，IG的PRE为0.98，REC为0.99，AUC为0.99；在UKM-IDS20中，IG的PRE为0.98，REC为0.98，AUC为0.99。值得注意的是，在UNSW-NB15中，IG在40%至60%时实现REC=1.0，至少PRE=0.98；在UKM-IDS20中，IG在20%至80%时实现REC=1.0，至少PRE=0.88。在UKM-IDS20中，IG成功识别出所有三个异常实例，说明其具有泛化能力。这些结果和推论是可复现的。总之，IG通过在各种数据集和训练和测试比例（从10%至90%到90%至10%）之间始终表现出色，并且在没有先前接触的情况下优秀地识别新的异常，展示了卓越的泛化能力。其可解释性通过准确区分正常和异常活动的一致证据得到增强，显著提高了检测准确性，降低了误报，从而增强了IDS的可靠性和可信度。

Mar, 2024

融合神经符号人工智能（NSAI）和传统网络入侵检测系统（NIDS）的研究，通过分析网络流量数据类型和机器学习架构，展示了NSAI在提供对网络行为更深入洞察力方面的独特能力，从而改善了检测性能和系统的适应性。这种技术的融合不仅增强了传统NIDS的功能，也为构建更具弹性、可解释性和动态防御机制以应对先进网络威胁的未来发展奠定了基础。

Jun, 2024

本研究探讨了大型语言模型（LLMs）在网络入侵检测系统（NIDS）中的应用潜力，尤其是在可解释性方面。尽管结果显示，LLMs在对恶意网络流量的精确检测上存在困难，但作为NIDS的辅助工具，它们在提供解释和支持威胁响应方面展现出显著潜力。

Aug, 2024

本研究针对在网络安全分析师的特定工作流程中实施可解释人工智能（XAI）所面临的挑战进行探索，发现现有的可解释性技术（如SHAP和LIME）在被非技术用户解读时效果不佳。同时，研究指出网络分析师需要更高层次、易于理解的解释，才能不干扰其工作流程，且提到大型语言模型等新兴技术可能帮助克服现有障碍。

Aug, 2024

本研究针对物联网环境中日益复杂的网络安全威胁，提出了一种创新的实时攻击检测与响应框架，利用机器学习、可解释人工智能和大型语言模型。其独特之处在于模型独立架构和可解释性的结合，使系统管理员能够获得可理解的威胁分析，提升网络安全管理效率。

Sep, 2024