XG-Temp：面向网络入侵检测的可解释时序图神经网络系统

本文介绍XG-Temp系统，它将图神经网络（GNN）的可解释性、时序建模能力与大语言模型（LLM）驱动的报告生成相结合，旨在解决当前网络入侵检测系统（NIDS）面临的检测准确性、时序依赖捕捉及结果可解释性三大核心难题。该系统在多个标准数据集上表现优异，为安全运营中心（SOC）分析师提供可操作的智能安全分析工具。

随着高级持续性威胁（APT）等攻击手段复杂化，传统基于规则/签名的NIDS难以应对现代威胁。深度学习模型虽提升准确率，但"黑箱"特性降低分析师信任度与响应效率。XG-Temp项目应运而生，融合可解释AI（XAI）、时序建模与LLM报告生成，以解决检测准确性、时序依赖捕捉及结果可解释性问题。

XG-Temp整合四大能力：1.内在可解释性：将GNNExplainer和Integrated Gradients嵌入训练过程；2.自适应时序处理：BiGRU+滑动窗口捕捉长程依赖；3.XU-Loss：动态调整类别与置信度权重应对不平衡；4.LLM驱动报告生成：输出自然语言解释与处置建议。此外，系统将网络流量建模为图结构（节点为IP/端口，边为通信关系），GNN层提取空间特征识别异常模式。

APT攻击周期长、分阶段隐蔽。XG-Temp用BiGRU层处理图快照序列（将流量划分为重叠时间窗口），双向设计利用过去/未来上下文，滑动窗口灵活处理变长序列。此设计能检测单点正常但序列异常的攻击行为。

网络安全数据存在极端类别不平衡问题。XU-Loss通过类别重加权（增加少数类权重）和不确定性感知（高权重给低置信度样本）解决此问题。实验结果：在CIC-IDS2018-V3二分类F1达99.98%，UNSW-NB15-V3二分类F1为99.84%，NF-BoT-IoT-V2二分类F1达99.99%，多分类表现亦优异，泛化能力强。

XG-Temp的可解释性体现在：特征层面（Integrated Gradients量化特征贡献）、结构层面（GNNExplainer识别关键子图）。系统将技术解释输入LLM生成自然语言报告，说明检测依据、攻击路径及处置建议，提升SOC效率。

XG-Temp为企业安全团队带来范式转变：从"检测告警"到"检测-解释-建议"，减少分析师负担。它展示了AI安全系统兼顾性能与可解释性的方向，未来将在网络防御中扮演更重要角色。总结：XG-Temp有机结合GNN、时序建模、不确定性学习与LLM，为网络入侵检测提供创新解决方案。