مقارنة تأثير الترميز الموضعي في أنظمة كشف التسلل المعتمدة على المحولات القابلة للتفسير

الملخص

مع تزايد تعقيد التهديدات السيبرانية، برزت نماذج المحولات (Transformers) كحل فعّال لكشف الهجمات في الشبكات الحاسوبية، استناداً إلى نجاحها في معالجة اللغة والرؤية الحاسوبية. يُعد الترميز الموضعي مكونأً أساسياً في بنية المحولات لفهم العلاقات بين الميزات وتحسين دقة الكشف. تهدف هذه الدراسة إلى تقويم تأثير أساليب الترميز الموضعي في أداء المحولات في عملية الكشف عن الهجمات من خلال مقارنة ثلاثة نماذج: بدون ترميز (NoPos) وبترميز جيبي (SinPos) وبترميز قابل للتعلم (LearnPos)، تم اختبار النماذج على مجموعتي بيانات CICIDS2017 و UNSW-NB15 مع معالجة اختلال التوازن باستخدام focal loss والأوزان اللوغاريتمية. أظهر نموذج LearnPos تفوقاً بدقة 98.55% في مجموعة بيانات CICIDS2017 و97.64% في مجموعة بيانات UNSW-NB15 متفوقاً على SinPos و NoPos. كما بيّن تحليل التفسيرية باستخدام أوزان الانتباه وتقنية LIME  (Local Interpretable Model-agnostic Explanations) أن LearnPos يركّز على سمات الهجوم، ما يعزز شفافية قراراته وفعاليته في كشف الفئات النادرة مثل Web Attack، ما يجعله مناسباً لتطبيقات الأمن السيبراني الذكي.