Тищенко С. І., кандидат педагогічних наук, завідувач кафедри економічної кібернетики, комп’ютерних наук та інформаційних технологій, Миколаївський національний аграрний університет, м. Миколаїв, Україна

ORCID: 0000-0001-7881-8740
e-mail: tyschenko@mnau.edu.ua

Пархоменко О. Ю., кандидат фізико-математичних наук, доцент кафедри економічної кібернетики, комп’ютерних наук та інформаційних технологій, Миколаївський національний аграрний університет, м. Миколаїв, Україна

ORCID: 0000-0002-7940-7414
e-mail: parkhomenko@mnau.edu.ua

Ємельянов С. І., доктор філософії з фізики та астрономії, старший викладач кафедри економічної кібернетики, комп’ютерних наук та інформаційних технологій, Миколаївський національний аграрний університет, м. Миколаїв, Україна

ORCID: 0009-0005-9106-5209
e-mail: sviatoslavem@mnau.edu.ua

Богатєнкова О. Є., викладач кафедри економічної кібернетики, комп’ютерних наук та інформаційних технологій, Миколаївський національний аграрний університет, м. Миколаїв, Україна

ORCID: 0009-0003-0214-0680
e-mail: oleksandra.bohatienkova@mnau.edu.ua

Співак В. В., викладач кафедри економічної кібернетики, комп’ютерних наук та інформаційних технологій, Миколаївський національний аграрний університет, м. Миколаїв, Україна

ORCID: 0009-0003-7371-1313
e-mail: spivak@mnau.edu.ua

Порівняльний аналіз SHAP, LIME та дерев рішень у задачах виявлення та інтерпретації мережевих вторгнень у фінансових мережах

Анотація. Цифрова трансформація фінансового сектору супроводжується зростанням кількості та складності кіберзагроз. Фінансові установи щоденно обробляють величезні обсяги мережевого трафіку, використовуючи методи машинного навчання для виявлення аномалій. Незважаючи на високу ефективність глибокого навчання у виявленні кіберзагроз, його застосування обмежується проблемою “чорної скрині” – неможливістю інтерпретувати причини прийняття моделлю того чи іншого рішення. Для фінансових установ, де кожне рішення про блокування має бути обґрунтованим та підлягати аудиту, відсутність прозорості є критичним недоліком. Це зумовлює необхідність дослідження методів пояснювального штучного інтелекту (XAI).

Метою дослідження є проведення порівняльного аналізу post-hoc методів XAI (SHAP, LIME) та ante-hoc інтерпретованої моделі (дерева рішень) для пояснення рішень глибоких нейромереж, а також для побудови альтернативних прозорих класифікаторів, навчених виявляти кіберзагрози. Завдання дослідження включають: навчання нейромереж на датасетах NSL-KDD та CIC-IDS-2017; застосування методів XAI; порівняння найважливіших ознак; аналіз помилок моделі; формулювання рекомендацій щодо вибору методу XAI.

Навчено дві нейромережі на датасетах NSL-KDD (41 ознака, 125973 зразки) та CIC-IDS-2017 (68 ознак, 225711 зразків). Модель NSL-KDD досягла Accuracy 0,772, Precision 0,973, Recall 0,616, AUC 0,870. Модель CIC-IDS-2017 показала значно вищі результати: Accuracy 0,9994, Precision 0,9995, Recall 0,9994, AUC 0,9997. SHAP-аналіз виявив, що для NSL-KDD найважливішими ознаками є logged_in (0,0534), dst_host_same_srv_rate (0,0452) та protocol_type (0,0373). Для CIC-IDS-2017 – ACK Flag Count (0,0539), Destination Port (0,0432) та Fwd Packet Length Mean (0,0267). LIME забезпечив локальні пояснення окремих передбачень. Дерева рішень як ante-hoc метод згенерували інтерпретовані правила “якщо-то”. SHAP забезпечує найбільш повну глобальну інтерпретацію моделі та рекомендується для загального аналізу ризиків. LIME є ефективним для локального пояснення окремих передбачень, що важливо при розслідуванні інцидентів, однак демонструє нестабільність. Дерева рішень генерують найбільш зрозумілі правила, але поступаються за точністю. Практичні рекомендації: SHAP – для глобального аналізу ризиків, LIME – для розслідування інцидентів, дерева рішень – для створення простих правил безпеки.

Ключові слова: пояснювальний штучний інтелект, XAI, SHAP, LIME, дерева рішень, виявлення мережевих вторгнень, глибоке навчання, фінансові мережі, NSL-KDD, CIC-IDS-2017, інтерпретація моделей.

Література:

1. Tyshchenko S., Parkhomenko O., Darmosyuk V. (2024). Modelling and Analysis of Cyberattack Risks on Financial Institutions Using Mathematical Statistics and Python Methods. Modern Economics, 48(2024), 130-136. DOI: https://doi.org/10.31521/modecon.V48(2024)-16.
2. Tyshchenko S., Parkhomenko O., Hilko I. Modeling the impact of digital threats on financial markets using time series analysis and anomaly detection using python. Modern economics. 2024. Vol. 44. P. 205–212. DOI: https://doi.org/10.31521/modecon.v44(2024)-30.
3. Tyshchenko S., Parkhomenko O. Analysis of the impact of digital threats on financial markets using methods of probability theory and python. Modern economics. 2024. Vol. 43, no. 1. P. 118–124. DOI: https://doi.org/10.31521/modecon.v43(2024)-16.
4. Tyshchenko S., Parkhomenko O., Yemelianov S., Bohatienkova O., Hilko I. (2025). Application of Deep Learning Methods for Detection and Classification of Cyber Threats in Financial Networks Based on the NSL-KDD Dataset. Modern Economics, 52(2025), 203-209. DOI: https://doi.org/10.31521/modecon.V52(2025)-28.
5. Lundberg S., Lee S.-I. A Unified Approach to Interpreting Model Predictions. Advances in Neural Information Processing Systems (NIPS). 2017. P. 4765-4774. arXiv: https://arxiv.org/abs/1705.07874.
6. Ribeiro M. T., Singh S., Guestrin C. “Why Should I Trust You?”: Explaining the Predictions of Any Classifier. Proceedings of the 22nd ACM SIGKDD International Conference on Knowledge Discovery and Data Mining (KDD). 2016. P. 1135-1144. DOI: https://doi.org/10.1145/2939672.2939778.
7. Ribeiro M. T., Singh S., Guestrin C. Anchors: High-Precision Model-Agnostic Explanations. Proceedings of the AAAI Conference on Artificial Intelligence. 2018. Vol. 32, No. 1. P. 1527-1535. DOI: https://doi.org/10.1609/aaai.v32i1.11491.
8. Mangalathu S., Jang H., Hwang S.-H., Jeon J.-S. SHAP-based interpretation of deep learning models for network intrusion detection. Computers & Security. 2022. Vol. 118. 102721. DOI: https://doi.org/10.1016/j.cose.2022.102721.
9. Wang F., Zhang Z., Wang X. LIME-based explanations for network traffic classification. Journal of Information Security and Applications. 2023. Vol. 72. 103396. DOI: https://doi.org/10.1016/j.jisa.2022.103396.
10. NSL-KDD | Datasets | Research | Canadian Institute for Cybersecurity | UNB. University of New Brunswick | UNB. URL: https://www.unb.ca/cic/datasets/nsl.html (date of access: 20.04.2026).
11. IDS 2017 | Datasets | Research | Canadian Institute for Cybersecurity | UNB. University of New Brunswick | UNB. URL: https://www.unb.ca/cic/datasets/ids-2017.html (date of access: 20.04.2026).