Investigating Feature Attribution for 5G Network Intrusion Detection
2509.10206v1
cs.CR, cs.LG
2025-09-16
Авторы:
Federica Uccello, Simin Nadjm-Tehrani
Резюме на русском
## Контекст
С ростом популярности пятого поколения (5G) сетей, их применение распространяется на критически важные области, такие как медицина, передача данных, и системы управления производством. Однако, это приводит к повышению риска атак, таких как Denial of Service (DoS), Man-in-the-Middle (MitM), и ещё больше. Технологии 5G требуют надежных систем обнаружения вторжений, которые не только обнаружат, но и объяснят почему был выдан такой вывод. Объяснение подобных атак, не только помогает в усилении уверенности в системе, но и в улучшении ответа на них, что важно для того, чтобы уменьшить вред от атак.
## Метод
В данном исследовании используются два подхода для объяснения выводов систем обнаружения вторжений: SHAP (SHapley Additive exPlanations) и VoTE-XAI (Voting-based eXplainable AI). SHAP предоставляет аддитивные интерпретации, в которых каждая фича привносит определенный вклад в итоговый вывод. VoTE-XAI, напротив, основывается на логических выводах и внесении голосов для определения важности фич. Эти методы были рассмотрены на основе модели XGBoost, обученной на данных с различными типами атак 5G-сети. Результаты сравнивались с помощью трёх основных метрик: спарситет (сжатость выбора фич), стабильность (постоянство выбора фич для одного типа атаки), и эффективность (время, необходимое для получения вывода).
## Результаты
Исследование показало, что SHAP и VoTE-XAI дают различные результаты в выборе важных фич. Например, в случае атаки DoS в 5G-сети с 92 фичами, VoTE-XAI выделила 6 важных фич, в то время как SHAP выделила более 20. Однако, ни одна из важных фич, выделенных SHAP, не была пропущена VoTE-XAI. В плане эффективности, VoTE-XAI показал более результативный результат, способный выдать интерпретацию за менее 0.002 секунд в случае высокой размерности фич (478 фич).
## Значимость
Исследование этих методов показало, что и по SHAP, и по VoTE-XAI могут быть полезны в разных ситуациях, в зависимости от конкретных требований к скорости и точности. SHAP предоставляет более подробные интерпретации, но может быть менее эффективен в высокомерных системах. VoTE-XAI, напротив, быстрее и проще в использовании, но может не предоставить такой полный обзор важных фич. Эти методы могут быть применены в системах мониторинга безопасности 5G-сетей для обеспечения быстрого и надежного объяснения вторжений.
## Выводы
Итого, это исследование продемонстрировало различия в методах объяснения выводов систем обнаружения вторжений, а также их преимущества и ограничения. Дальнейшие исследования должны фокусироваться на создании более универсальных методов, которые могут комбинирова
Abstract
With the rise of fifth-generation (5G) networks in critical applications, it
is urgent to move from detection of malicious activity to systems capable of
providing a reliable verdict suitable for mitigation. In this regard,
understanding and interpreting machine learning (ML) models' security alerts is
crucial for enabling actionable incident response orchestration. Explainable
Artificial Intelligence (XAI) techniques are expected to enhance trust by
providing insights into why alerts are raised. A dominant approach
statistically associates feature sets that can be correlated to a given alert.
This paper starts by questioning whether such attribution is relevant for
future generation communication systems, and investigates its merits in
comparison with an approach based on logical explanations. We extensively study
two methods, SHAP and VoTE-XAI, by analyzing their interpretations of alerts
generated by an XGBoost model in three different use cases with several 5G
communication attacks. We identify three metrics for assessing explanations:
sparsity, how concise they are; stability, how consistent they are across
samples from the same attack type; and efficiency, how fast an explanation is
generated. As an example, in a 5G network with 92 features, 6 were deemed
important by VoTE-XAI for a Denial of Service (DoS) variant, ICMPFlood, while
SHAP identified over 20. More importantly, we found a significant divergence
between features selected by SHAP and VoTE-XAI. However, none of the top-ranked
features selected by SHAP were missed by VoTE-XAI. When it comes to efficiency
of providing interpretations, we found that VoTE-XAI is significantly more
responsive, e.g. it provides a single explanation in under 0.002 seconds, in a
high-dimensional setting (478 features).
Ссылки и действия
Дополнительные ресурсы: