可解釋入侵偵測論文閱讀分析：真正讓人敢把 LLM 放進防線的，不是分數更高，而是你看得出它到底在看什麼

論文基本資訊

• 論文標題：Attribution-Driven Explainable Intrusion Detection with Encoder-Based Large Language Models
• 作者：Umesh Biswas、Shafqat Hasan、Syed Mohammed Farhan、Nisha Pillai、Charan Gudla
• 年份：2026
• 來源：arXiv:2604.06266
• 論文連結：https://arxiv.org/abs/2604.06266
• 主題：Intrusion Detection、Explainable AI、Encoder-based LLM、SDN Security、Integrated Gradients、Flow-level Traffic Analysis

這篇 Attribution-Driven Explainable Intrusion Detection with Encoder-Based Large Language Models 真正有意思的地方，不是它又把某個 transformer 拿去跑一次 intrusion detection benchmark，而是它反過來問了一個更接近實務的問題：如果一個模型真的要被放進網路防禦鏈裡，我們能不能說清楚它到底是因為看到了什麼流量行為，才把這筆 traffic 判成惡意？

這個問題很重要。因為資安裡很多「高分模型」其實都卡在同一個地方：分數不錯，但 SOC、NOC、網管或 SDN operator 根本不知道它是在看真正的攻擊訊號，還是在吃資料集偏差、欄位噪音，甚至只是背某些很偶然的統計捷徑。這篇論文的價值，就是把焦點從 detect 得多準，往前拉到 模型到底是不是在用對的理由做判斷。

這篇論文想解決什麼問題？

作者鎖定的場景是 Software-Defined Networking（SDN）。SDN 的優勢是集中控制、彈性高、容易動態管理流量；但代價也很直接：控制面更敏感、觀測壓力更大，而且一旦偵測系統不可靠，後面的反應鏈就可能一起偏掉。

過去不少研究已經把 transformer、BERT、甚至 GPT 系列模型拿來做網路異常偵測，但大多數工作都停在這幾件事：

• 比 accuracy、F1、recall
• 證明 LLM / Transformer 表示能力很強
• 把模型當黑箱分類器來用

而這篇論文真正要補的洞是：在 security-critical 環境裡，只知道模型常常猜對還不夠，還得知道它是不是因為合理的網路行為特徵而猜對。

所以作者想回答的核心問題很清楚：

1. encoder-based LLM 用在 flow-based intrusion detection 時，究竟依賴哪些特徵做判斷？
2. 這些 attribution pattern 是否符合既有 intrusion detection 常識？
3. 不同 encoder 架構雖然都能拿高分，它們的「判斷理由」是否一致？

核心想法：先把流量特徵轉成文字，再驗模型到底在看哪裡

這篇方法上不算花俏，但方向很對。作者不是設計新的 IDS 架構，而是把既有的 flow-level traffic features 轉成固定格式的文字描述，再交給 encoder-based language model 做分類，最後用 Integrated Gradients（IG） 去追蹤每個輸入特徵對預測結果的貢獻。

高層流程可以寫成：

Flow-level SDN traffic features
  ↓
固定順序文字化（textualization）
  ↓
RoBERTa / DeBERTa 編碼與分類
  ↓
Integrated Gradients attribution
  ↓
把 token attribution 映回原始 flow features
  ↓
檢查模型是否真的在看合理的攻擊行為訊號

這裡最值得注意的不是「把結構化資料變文字」本身，而是作者刻意採用固定順序、可逆映射的 textual encoding。也就是說，每一個 token 基本上都能對回某個原始流量欄位，這讓 IG 的 attribution 不會只停在抽象 token 層，而能被拉回實際的 network features。

資料表示：不是讓 LLM 猜，而是讓它在可追蹤的表示空間裡學

作者把每筆 flow-level feature vector 轉成有固定格式的序列，例如概念上像這樣：

Feature_1 is x1. Feature_2 is x2. ... Feature_d is xd.

這種做法的好處有三個：

• 特徵順序一致：不同樣本不會因為欄位排列不同而破壞對齊
• token 與 feature 可對應：之後可直接把 attribution 拉回原始欄位
• 避免 ad-hoc embedding 黑箱：不需要額外發明一個很難解釋的 feature encoder

這件事看起來普通，但其實是整篇能成立的基礎。很多「LLM for tabular / flow data」的研究最後解釋不起來，就是因為它們把資料轉成某種中間表示後，已經很難再說清楚模型到底在看哪個真實欄位。

模型設計：不是比誰更大，而是比誰更能被理解

作者選了兩個 encoder-based 模型：

• RoBERTa
• DeBERTa

選這兩個其實合理。因為這篇不是要比最新最大全家桶，而是要觀察兩種很典型、也有代表性的 encoder 設計，在同一個 intrusion detection 任務上，是否會呈現相近的 reasoning pattern。

分類任務採的是 COARSE 3-way 設定，把類別收斂成：

• Benign
• DDoS
• Web Attack（合併 Brute Force、XSS、SQL Injection）

這個設計有點務實味道：作者不是追求極細顆粒 label，而是先看在較接近實務 top-level triage 的設定下，模型可不可以同時做到高表現與可解釋。

資料集與前處理：真正難的不是大類別，是少數類別

實驗基於 CICIDS2017，並放到 SDN intrusion detection 的脈絡下使用。作者先做了一件很關鍵的事：去重與防資料洩漏。

原始資料大約有 1,188,333 筆樣本，經過全域 deduplication 後，縮到 366,870 筆唯一樣本。這一步很重要，因為網路流量資料如果不去重，train/test 之間很容易帶著重複或近重複樣本，最後分數會漂亮得不太真。

整理後的類別分布是：

• Benign：243,211
• DDoS：121,606
• Web Attack：2,053

這組數字直接告訴你真正的壓力在哪：Web Attack 是極少數類別。 也因此，這篇論文刻意不讓 overall accuracy 當主角，而是把 macro-F1 與 minority class performance 拉到前面看。這是對的，因為在這種不平衡條件下，accuracy 很容易好看到失真。

訓練策略：承認不平衡，而不是假裝它不存在

為了處理類別不平衡，作者使用了 class-weighted cross-entropy，權重和類別樣本數的平方根倒數成比例，並做 clipping。沒有對 validation / test 做 oversampling，這也比較接近實際部署條件。

這種設計背後的訊號很明確：作者不想做一個只在人工平衡資料上看起來很強、但落地時馬上失真的模型。這篇雖然不是專門討論部署，但至少在實驗 protocol 上有把真實世界的不平衡問題當真。

真正的重點：Integrated Gradients 不是裝飾，而是驗模型是不是學對東西

整篇論文最有價值的部分，是 Integrated Gradients（IG） 的使用方式。很多 paper 會在最後塞一張 SHAP 或 attention heatmap，意思意思說自己有做 explainability；但這篇不是那樣。IG 在這裡扮演的是模型驗屍工具。

作者不是單純問「哪些特徵重要」，而是進一步問：

• Benign、DDoS、Web Attack 三類，各自主要被哪些 traffic features 驅動？
• RoBERTa 和 DeBERTa 雖然架構不同，會不會都看同一批 security-relevant signals？
• 這些 attribution pattern 是否符合既有網路安全直覺，例如 flow duration、packet rate、inter-arrival timing 這些典型攻擊動態特徵？

這個角度很重要。因為資安裡最怕的不是模型犯錯而已，而是模型剛好做對了，但理由完全不對。那種系統一旦進到真流量環境，通常會摔得很慘。

結果怎麼看？分數很高，但重點不是「很高」

在 COARSE 3-way 設定下，兩個模型對 Benign 與 DDoS 幾乎都接近完美；真正拉開差距的是少數類別 Web Attack。

• DeBERTa_Merged：macro-F1 = 0.9902，Web Attack F1 = 0.9717
• RoBERTa_Merged：macro-F1 = 0.9704，Web Attack F1 = 0.9130

這代表兩件事：

1. encoder-based LLM 確實能在 flow-based intrusion detection 上表現得很強
2. 真正值得分模型高下的，不是大類別，而是那些稀少、但實務上更容易被漏掉的攻擊類

不過如果只停在這裡，這篇就只是另一篇「DeBERTa 比 RoBERTa 好一點」的 paper。它沒有停在這裡，這也是它比一般 benchmark 文值得讀的地方。

最有價值的發現：模型不是亂看，它真的在看像樣的流量行為

作者透過 attribution analysis 的核心結論是：兩個模型雖然架構不同，但都依賴一組相當一致、而且符合 intrusion detection 常識的 flow-level features。

文中強調的關鍵特徵包括：

• flow duration
• packet rate
• inter-arrival timing
• 其他與流量動態、封包節奏、連線行為有關的統計特徵

這其實就是整篇最重要的一句話翻譯成人話後的意思：這些模型不是靠奇怪欄位或資料集暗號在作弊，它們看的是網路防禦人原本也會在意的行為節奏與流量結構。

當然，作者也提到兩個模型在次要 cues 上仍有一些差異。但如果主要判斷依據是共享的 security-relevant features，這對部署者來說是好消息。因為這代表模型的 decision basis 至少不是完全隨架構飄移。

這篇論文真正補的是什麼？

我覺得這篇真正補到的，不是「LLM 能不能拿來做 IDS」——這件事早就有人在做了。它真正補到的是：

• 把 explainability 從附錄裝飾拉回模型可信度核心
• 把 attribution 當成 validation tool，而不是展示工具
• 讓 security operator 至少能回答：模型為什麼覺得這筆流量可疑

這對資安很重要。因為很多時候 analyst 不需要模型跟他講一長串神秘 rationale，他需要的是：你到底是因為哪些 traffic dynamics 才提高信心？ 如果答案能對回已知攻擊行為，那整個系統的可採納性就會高很多。

限制與保留

當然，這篇也有幾個要保留的地方：

• 資料集仍是 CICIDS2017，雖然經典，但不是最新、也不是最貼近真實 enterprise drift 的資料
• 任務是 coarse 3-way classification，離細粒度 attack family / tactic-level reasoning 還有距離
• 使用的是 encoder-based 模型，不是當前大家更常談的 tool-using agent 或生成式 defender workflow
• 解釋方法是 attribution-based，能說明貢獻，不等於完整還原模型因果機制

但這些限制不會讓這篇失去價值。反而剛好說明它站的位置很清楚：這不是在吹 autonomous defender 已經來了，而是在補一個更基礎也更必要的問題——如果模型要進安全鏈，它至少得先能被檢查。

重點整理

• 作者研究的不是「再做一個更高分 IDS」，而是 encoder-based LLM 在 intrusion detection 任務裡到底依賴哪些特徵做判斷。
• 方法把 flow-level SDN traffic features 轉成固定順序文字表示，再交給 RoBERTa 與 DeBERTa 做 COARSE 3-way 分類。
• 資料來自 CICIDS2017；去重後保留 366,870 筆唯一樣本，並明確處理 train/test leakage 與 class imbalance。
• 類別分布極不平衡，Web Attack 僅 2,053 筆，因此論文以 macro-F1 與 minority-class 表現作為更重要指標。
• DeBERTa 的 macro-F1 為 0.9902，Web Attack F1 為 0.9717；RoBERTa 分別為 0.9704 與 0.9130。
• 透過 Integrated Gradients，作者發現模型的主要判斷依據集中在 flow duration、packet rate、inter-arrival timing 等與攻擊行為動態高度相關的特徵。
• 核心結論不是「LLM 很準」而已，而是：模型至少在相當程度上，是根據像樣的流量行為訊號在做判斷。

Takeaway

如果要用一句話收這篇，我會這樣講：真正值得信任的資安模型，不是分數最高的那個，而是你能看得出它到底在憑什麼懷疑這筆流量有問題的那個。

這篇論文最值得記住的地方，不是又把 RoBERTa 或 DeBERTa 拿去打一遍 IDS，而是它提醒了一件很基本但常被忘掉的事：在網路防禦裡，模型可不可以被驗，不是附加價值，而是進場門票。

免責聲明

本文由 AI 產生、整理與撰寫，內容主要依據公開論文、技術文件與可取得之研究資料進行整理、解讀與摘要。雖然已盡力確保內容之完整性與可讀性，仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。實際技術細節、實驗設計與最終結論，仍應以原始論文與作者公開資料為準。