Алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку
This paper is devoted to enhancing the development of an algorithm aimed at improving the interpretability of machine learning models used for detecting anomalies in network traffic, which is critical for modern cybersecurity systems. The focus is on one-class support vector machine (SVM) models, wh...
Saved in:
| Date: | 2025 |
|---|---|
| Main Authors: | , , |
| Format: | Article |
| Language: | English |
| Published: |
V.M. Glushkov Institute of Cybernetics of NAS of Ukraine
2025
|
| Subjects: | |
| Online Access: | https://jais.net.ua/index.php/files/article/view/521 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Problems of Control and Informatics |
Institution
Problems of Control and Informatics| id |
oai:ojs2.jais.net.ua:article-521 |
|---|---|
| record_format |
ojs |
| institution |
Problems of Control and Informatics |
| baseUrl_str |
|
| datestamp_date |
2025-06-27T15:37:03Z |
| collection |
OJS |
| language |
English |
| topic |
виявлення аномалій однокласова SVM інтерпретованість SHAP LIME кібербезпека мережевий трафік |
| spellingShingle |
виявлення аномалій однокласова SVM інтерпретованість SHAP LIME кібербезпека мережевий трафік Kerimov, Komil Kurbanov , Sardor Azizova , Zarina Алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку |
| topic_facet |
виявлення аномалій однокласова SVM інтерпретованість SHAP LIME кібербезпека мережевий трафік anomaly detection one-class SVM interpretability SHAP LIME cybersecurity network traffic |
| format |
Article |
| author |
Kerimov, Komil Kurbanov , Sardor Azizova , Zarina |
| author_facet |
Kerimov, Komil Kurbanov , Sardor Azizova , Zarina |
| author_sort |
Kerimov, Komil |
| title |
Алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку |
| title_short |
Алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку |
| title_full |
Алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку |
| title_fullStr |
Алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку |
| title_full_unstemmed |
Алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку |
| title_sort |
алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку |
| title_alt |
Algorithm for improving interpretability of support vector models for anomaly detection in network traffic |
| description |
This paper is devoted to enhancing the development of an algorithm aimed at improving the interpretability of machine learning models used for detecting anomalies in network traffic, which is critical for modern cybersecurity systems. The focus is on one-class support vector machine (SVM) models, which are widely used for their high accuracy in anomaly detection but suffer from a lack of transparency, often being referred to as «black box» models. This opacity limits their practical applicability, especially in high-stakes environments like cybersecurity, where understanding the reasoning behind decisions is crucial. To address this limitation, we present an interpretable system that integrates two popular model-agnostic explanation techniques: SHAP (SHapley Additive exPlanations) for global interpretability and LIME (Local Interpretable Model-Agnostic Explanations) for local interpretability. The system is designed to not only detect anomalous behavior in network traffic but also to explain the model’s reasoning in both general and specific contexts. The one-class SVM is trained on normal network traffic to learn the boundary of normal behavior. Any traffic falling outside this boundary is classified as anomalous. The SHAP module provides insights into the overall importance of traffic attributes (e.g., sbytes, dbytes, dpkts, rate) across the entire dataset, while the LIME module reveals which attributes and their specific values contributed to the classification of particular anomalies. This dual approach allows analysts to understand both the general behavior of the model and the specific causes of individual detections. The results show a marked improvement in model interpretability, helping analysts more effectively identify potential threats and respond appropriately. Although explanation methods introduce additional computational overhead and approximate the model's internal logic, the benefits in transparency and usability outweigh these drawbacks. This research contributes to the broader goal of building trustworthy AI systems and lays the foundation for future work on specialized interpretability techniques tailored to one-class models. |
| publisher |
V.M. Glushkov Institute of Cybernetics of NAS of Ukraine |
| publishDate |
2025 |
| url |
https://jais.net.ua/index.php/files/article/view/521 |
| work_keys_str_mv |
AT kerimovkomil algorithmforimprovinginterpretabilityofsupportvectormodelsforanomalydetectioninnetworktraffic AT kurbanovsardor algorithmforimprovinginterpretabilityofsupportvectormodelsforanomalydetectioninnetworktraffic AT azizovazarina algorithmforimprovinginterpretabilityofsupportvectormodelsforanomalydetectioninnetworktraffic AT kerimovkomil algoritmpokraŝennâínterpretovanostímodelejopornihvektorívdlâviâvlennâanomalíjumereževomutrafíku AT kurbanovsardor algoritmpokraŝennâínterpretovanostímodelejopornihvektorívdlâviâvlennâanomalíjumereževomutrafíku AT azizovazarina algoritmpokraŝennâínterpretovanostímodelejopornihvektorívdlâviâvlennâanomalíjumereževomutrafíku |
| first_indexed |
2025-10-30T02:49:19Z |
| last_indexed |
2025-10-30T02:49:19Z |
| _version_ |
1847373395107250176 |
| spelling |
oai:ojs2.jais.net.ua:article-5212025-06-27T15:37:03Z Algorithm for improving interpretability of support vector models for anomaly detection in network traffic Алгоритм покращення інтерпретованості моделей опорних векторів для виявлення аномалій у мережевому трафіку Kerimov, Komil Kurbanov , Sardor Azizova , Zarina виявлення аномалій однокласова SVM інтерпретованість SHAP LIME кібербезпека мережевий трафік anomaly detection one-class SVM interpretability SHAP LIME cybersecurity network traffic This paper is devoted to enhancing the development of an algorithm aimed at improving the interpretability of machine learning models used for detecting anomalies in network traffic, which is critical for modern cybersecurity systems. The focus is on one-class support vector machine (SVM) models, which are widely used for their high accuracy in anomaly detection but suffer from a lack of transparency, often being referred to as «black box» models. This opacity limits their practical applicability, especially in high-stakes environments like cybersecurity, where understanding the reasoning behind decisions is crucial. To address this limitation, we present an interpretable system that integrates two popular model-agnostic explanation techniques: SHAP (SHapley Additive exPlanations) for global interpretability and LIME (Local Interpretable Model-Agnostic Explanations) for local interpretability. The system is designed to not only detect anomalous behavior in network traffic but also to explain the model’s reasoning in both general and specific contexts. The one-class SVM is trained on normal network traffic to learn the boundary of normal behavior. Any traffic falling outside this boundary is classified as anomalous. The SHAP module provides insights into the overall importance of traffic attributes (e.g., sbytes, dbytes, dpkts, rate) across the entire dataset, while the LIME module reveals which attributes and their specific values contributed to the classification of particular anomalies. This dual approach allows analysts to understand both the general behavior of the model and the specific causes of individual detections. The results show a marked improvement in model interpretability, helping analysts more effectively identify potential threats and respond appropriately. Although explanation methods introduce additional computational overhead and approximate the model's internal logic, the benefits in transparency and usability outweigh these drawbacks. This research contributes to the broader goal of building trustworthy AI systems and lays the foundation for future work on specialized interpretability techniques tailored to one-class models. Удосконалення розробки алгоритму для покращення інтерпретованості моделей машинного навчання, що використовуються для виявлення аномалій у мережевому трафіку, критично важливе для сучасних систем кібербезпеки. Головна увага приділяється однокласовим моделям опорних векторів (SVM — Support Vector Machine), які широко застосовуються завдяки високій точності виявлення аномалій, але є недостатньо прозорими, тому їх називають моделями «чорної скриньки». Непрозорість обмежує їх практичне застосування, особливо в системах з високими ставками, таких як кібербезпека, де вирішальне значення має обґрунтування рішень. Для усунення цих обмежень представлено інтерпретовану систему, яка інтегрує два популярні методи пояснення, що не залежать від моделі: SHAP (адитивні пояснення SHapley) — для глобальної інтерпретованості та LIME (локальні інтерпретовані модельно-агностичні пояснення) — для локальної інтерпретованості. Система розроблена не лише для виявлення аномальної поведінки в мережевому трафіку, але й для пояснення логіки моделі як у загальному, так і конкретному контексті. Для визначення меж нормальної поведінки однокласова SVM навчається на звичайному мережевому трафіку. Будь-який трафік, що виходить за ці межі, класифікується як аномальний. Модуль SHAP забезпечує розуміння загальної важливості атрибутів трафіку (наприклад, sbytes, dbytes, dpkts, rate) для всього набору даних, тоді як модуль LIME показує, які атрибути та їхні значення сприяли класифікації конкретних аномалій. Такий подвійний підхід дозволяє аналітикам зрозуміти як загальну поведінку моделі, так і конкретні причини окремих проявів. Результати показують помітне покращення інтерпретованості моделі, що допомагає аналітикам більш ефективно виявляти потенційні загрози та відповідно реагувати на них. Хоча методи пояснення привносять додаткові обчислювальні витрати та спрощують внутрішню логіку моделі, переваги в прозорості та зручності використання значно переважують ці недоліки. Дане дослідження сприяє створенню надійних систем штучного інтелекту та закладає основу для майбутньої роботи над спеціалізованими методами інтерпретованості, адаптованими до однокласових моделей. V.M. Glushkov Institute of Cybernetics of NAS of Ukraine 2025-06-27 Article Article application/pdf https://jais.net.ua/index.php/files/article/view/521 10.34229/1028-0979-2025-3-6 Міжнародний науково-технічний журнал "Проблеми керування та інформатики"; Том 70 № 3 (2025): Міжнародний науково-технічний журнал "Проблеми керування та інформатики"; 66-73 International Scientific Technical Journal "Problems of Control and Informatics; Том 70 № 3 (2025): International Scientific Technical Journal «Problems of Control and Informatics»; 66-73 International Scientific Technical Journal "Problems of Control and Informatics"; Vol. 70 No. 3 (2025): International Scientific Technical Journal «Problems of Control and Informatics»; 66-73 2786-6505 2786-6491 10.34229/1028-0979-2025-3 en https://jais.net.ua/index.php/files/article/view/521/595 Copyright (c) 2025 Komil Kerimov, Sardor Kurbanov , Zarina Azizova https://creativecommons.org/licenses/by-nc-nd/4.0 |