应用人工智能和机器学习于网络安全已有广泛应用，特别是使用深度学习技术设计的 IDS. 然而，这些系统被视为黑盒模型，无法提供预测的合理解释。因此，需要设计可解释的 IDS，调查了可解释 AI 的现状，并提出了一种人们参与的通用架构，以用作设计 X-IDS 的指导

Jul, 2022

本文介绍了一种基于自组织映射的可解释入侵检测系统（X-IDS），该系统可以产生全局和局部的可解释性可视化；该 X-IDS 在 NSL-KDD 和 CIC-IDS-2017 数据集上通过解释生成和传统精度测试进行了评估。

Jul, 2022

本研究提出了一个新颖的混合框架，通过整合无监督策略的创新算法，利用自定义损失函数显著增强了日志异常检测的有效性。实验结果极具潜力，对伪正例的显著减少以及处理原始未经处理的日志的能力等方面具有显著优势，为 AIOps 平台内日志异常检测的进展作出了重要贡献，满足了现代复杂系统中有效和高效日志分析的关键需求。

Nov, 2023

通过互联网入侵检测系统（IDS）与可解释人工智能（XAI）的集成，最近取得了显著的性能提升，通过精确的特征选择。然而，深入了解网络攻击需要 IDS 内部可解释的决策过程。本文提出了易于解释的泛化机制（IG），具有革新 IDS 能力的潜力。IG 区分出一致的模式，从而使其具有解释能力，可以区分正常和异常的网络流量。此外，一致模式的合成揭示了复杂的入侵路径，为网络安全取证提供了重要见解。通过与实际数据集 NSL-KDD、UNSW-NB15 和 UKM-IDS20 的实验，IG 即使在低比例的训练和测试中也能取得较高的准确性。在 NSL-KDD 中，当比例为 10% 至 90% 时，IG 的准确率（PRE）为 0.93，召回率（REC）为 0.94，曲线下面积（AUC）为 0.94；在 UNSW-NB15 中，IG 的 PRE 为 0.98，REC 为 0.99，AUC 为 0.99；在 UKM-IDS20 中，IG 的 PRE 为 0.98，REC 为 0.98，AUC 为 0.99。值得注意的是，在 UNSW-NB15 中，IG 在 40% 至 60% 时实现 REC=1.0，至少 PRE=0.98；在 UKM-IDS20 中，IG 在 20% 至 80% 时实现 REC=1.0，至少 PRE=0.88。在 UKM-IDS20 中，IG 成功识别出所有三个异常实例，说明其具有泛化能力。这些结果和推论是可复现的。总之，IG 通过在各种数据集和训练和测试比例（从 10% 至 90% 到 90% 至 10%）之间始终表现出色，并且在没有先前接触的情况下优秀地识别新的异常，展示了卓越的泛化能力。其可解释性通过准确区分正常和异常活动的一致证据得到增强，显著提高了检测准确性，降低了误报，从而增强了 IDS 的可靠性和可信度。

Mar, 2024

提出了一种基于无监督深度学习的在线异常检测方法，通过分解异常得分，帮助分析员识别潜在的内部威胁活动，实现了减轻分析员负担的目标。在 CERT Insider Threat Dataset v6.2 上的表现证明，该方法可以显著提高威胁检测的召回率。

Oct, 2017

本文介绍了 EIF +，即 Enhanced Isolation Forest 的改进版本，用于增强概括能力；同时，提出了 ExIFFI，一种为 Extended Isolation Forest 添加解释性特征的新方法，即特征排名；实验结果表明 ExIFFI 在异常检测方面具有解释性，并作为无监督环境下的有效特征选择技术。

Oct, 2023

该研究论文探讨了黑盒算法和替代解释器在可解释入侵检测系统（X-IDS）中引发的信任问题。通过将教学法和分解法综合应用于课程，该文介绍了一种混合的规则提取算法，从隐藏层中提取出可信任的规则集，用于黑盒深度神经网络（DNN）的解释。评估结果表明，这种算法能够生成与 DNN 输出相似的规则集，具有 99.9% 的准确率，并在解释性和性能方面进行了全面分析，展示了规则提取速度和准确性之间的权衡。

Jan, 2024

利用可解释的人工智能（XAI）中的 kernelSHAP 方法检测和解释网络异常，以提高网络异常检测模型的准确率、召回率、精确率和 F 分数。

Jul, 2023

文章提供了一个基于可解释性和解释性方法的误差检测通用方法，并使用集成梯度方法来减少 Attribution Error。

Jul, 2022

使用深度学习和图神经网络构建的可解释入侵检测系统（IDS）提供了高精度的网络攻击和异常识别方案。该研究通过利用网络流数据，结合边属性，改进检测能力，适应新型威胁，并提供清晰可行的解释分析结果，以促进机器学习和深度学习技术在网络安全防御中的广泛应用。

Feb, 2024