Shap-based evaluation of feature importance in BGP anomaly detection models
| dc.citation.epage | 43 | |
| dc.citation.issue | 1 | |
| dc.citation.journalTitle | Інфокомунікаційні технології та електронна інженерія | |
| dc.citation.spage | 34 | |
| dc.citation.volume | 5 | |
| dc.contributor.affiliation | Національний університет “Львівська політехніка” | |
| dc.contributor.affiliation | Львівська філія ВАТ “Укртелеком” | |
| dc.contributor.affiliation | Lviv Polytechnic National University | |
| dc.contributor.affiliation | Lviv branch of JSC “Ukrtelecom” | |
| dc.contributor.author | Кирик, Мар’ян | |
| dc.contributor.author | Маруняк, Станіслав | |
| dc.contributor.author | Андрухів, Тарас | |
| dc.contributor.author | Kyryk, M. | |
| dc.contributor.author | Maruniak, S. | |
| dc.contributor.author | Andrukhiv, T. | |
| dc.coverage.placename | Львів | |
| dc.coverage.placename | Lviv | |
| dc.date.accessioned | 2025-11-04T07:46:49Z | |
| dc.date.created | 2025-06-10 | |
| dc.date.issued | 2025-06-10 | |
| dc.description.abstract | Класифікація аномалій з використанням Протоколу граничного шлюзу (BGP) важлива для забезпечення стабільності та безпеки інтернету, оскільки такі аномалії можуть порушувати роботу та знижувати надійність мережі. У попередніх дослідженнях цієї предметної області було проаналізовано вплив базових характеристик повідомлень оновлення BGP на моделі виявлення аномалій, проте описані підходи часто використовують методи із високою обчислювальною складністю, які важкі для розуміння та можуть спричиняти труднощі під час заміни наборів даних чи тренувальних моделей. У статті викладено новий підхід до оцінювання важливості характеристик на основі методів SHAP (SHapley Additive Explanations), який пропонує спрощену, зрозумілу та ефективну альтернативу, спеціально розроблену для моделей класифікації на підставі LSTM. Розроблено спеціалізований інструмент для ефективного оцінювання впливу характеристик, який поєднує статистичний аналіз із візуалізаціями для кращого розуміння результатів. Цей інструмент дає змогу оцінювати глобальний вплив характеристик для різних наборів даних, як позитивний, так і негативний. Крім того, він надає інформацію про вплив характеристик для кожного класу, демонструючи, як окремі характеристики по-різному впливають на виявлення різних типів аномалій. Для перевірки стабільності отриманих результатів використано набори даних, що представляють декілька типів аномалій, такі як прямі, непрямі та збої. Такий рівень деталізації дає змогу дослідникам покращувати моделі LSTM для окремих категорій анома- лій, зберігаючи загальну ефективність. Запропоновано структурований алгоритм поліпшення моделей класифікації аномалій BGP із урахуванням оцінки впливу характеристик. Виконано тести стабільності на різних наборах даних для підтвердження надійності ранжування характеристик, що додатково збільшує достовірність запропонованої методології. Описаний у статті підхід підвищує ефективність систем виявлення аномалій, даючи дослідникам змогу ідентифікувати критичні характеристики, впроваджувати нові метрики та вдосконалювати наявні моделі LSTM, що, своєю чергою, дає можливість підвищити безпеку та стійкість інформаційно-комунікаційних мереж, ефективно відповідаючи на нові виклики у сфері мережевої безпеки. | |
| dc.description.abstract | The classification of Border Gateway Protocol (BGP) anomalies is essential for maintaining Internet stability and security, as such anomalies can impair network functionality and reliability. Previous studies has examined the impact of key features on anomaly detection; however, current methodologies frequently demonstrate high computational costs, complexity, and usage challenges. The article presents a novel approach for evaluating feature importance based on SHAP (SHapley Additive Explanations), which provides a simplified, interpretable and efficient alternative specifically designed for LSTM-based classification models. A dedicated tool was developed to effectively evaluate feature impact, combining statistical analysis with visualizations to improve comprehension. This tool enables the assessment of global feature influence across datasets, emphasizing features that consistently increase classification performance. Furthermore, it offers insights into the impact of features on a per-class basis, demonstrating the varying contributions of individual features to the detection of different types of anomalies. Various datasets representing distinct anomaly types, such as direct, indirect, and outage anomalies, were utilized to validate the approach’s applicability across a range of scenarios. This level of detail enables researchers to enhance LSTM models for particular anomaly categories while preserving overall efficacy. We suggested a structured algorithm to facilitate these developments, showing how feature impact evaluation can directly improve model optimization and detection tactics. Stability tests performed on various datasets demonstrate the reliability of feature rankings, thereby reinforcing the validity of the proposed methodology. The SHAP-based framework described in this paper makes complex analyses easier to understand while also providing useful insights. This approach enhances the efficiency of anomaly detection systems by allowing researchers to identify critical features, integrate new metrics, and refine existing LSTM models. The advancements enhance the security and resilience of infocommunication networks, effectively addressing emerging challenges in network security through a scalable and interpretable solution. | |
| dc.format.extent | 34-43 | |
| dc.format.pages | 10 | |
| dc.identifier.citation | Kyryk M. Shap-based evaluation of feature importance in BGP anomaly detection models / M. Kyryk, S. Maruniak, T. Andrukhiv // Infocommunication Technologies and Electronic Engineering. — Lviv : Lviv Politechnic Publishing House, 2025. — Vol 5. — No 1. — P. 34–43. | |
| dc.identifier.citation2015 | Kyryk M., Andrukhiv T. Shap-based evaluation of feature importance in BGP anomaly detection models // Infocommunication Technologies and Electronic Engineering, Lviv. 2025. Vol 5. No 1. P. 34–43. | |
| dc.identifier.citationenAPA | Kyryk, M., Maruniak, S., & Andrukhiv, T. (2025). Shap-based evaluation of feature importance in BGP anomaly detection models. Infocommunication Technologies and Electronic Engineering, 5(1), 34-43. Lviv Politechnic Publishing House.. | |
| dc.identifier.citationenCHICAGO | Kyryk M., Maruniak S., Andrukhiv T. (2025) Shap-based evaluation of feature importance in BGP anomaly detection models. Infocommunication Technologies and Electronic Engineering (Lviv), vol. 5, no 1, pp. 34-43. | |
| dc.identifier.doi | https://doi.org/10.23939/ictee2025.01.034 | |
| dc.identifier.uri | https://ena.lpnu.ua/handle/ntb/117162 | |
| dc.language.iso | en | |
| dc.publisher | Видавництво Львівської політехніки | |
| dc.publisher | Lviv Politechnic Publishing House | |
| dc.relation.ispartof | Інфокомунікаційні технології та електронна інженерія, 1 (5), 2025 | |
| dc.relation.ispartof | Infocommunication Technologies and Electronic Engineering, 1 (5), 2025 | |
| dc.relation.references | [1] Rekhter, Y., Li, T. and Hares, S. (2006), “A border gateway protocol 4 (BGP-4)”, Internet Requests for Comments, RFC Editor, RFC 4271, January, available at: http://www.rfc-editor.org/rfc/rfc4271.txt (Accessed 25 November 2024). DOI: 10.17487/RFC4271 | |
| dc.relation.references | [2] Hammood, N.H., Al-Musawi, B. and Alhilali, A.H. (2022), “A survey of BGP anomaly detection using machine learning techniques”, in Pokhrel, S.R., Yu, M. and Li, G. (eds) Applications and Techniques in Information Security. ATIS 2021. Communications in Computer and Information Science, vol. 1554. Springer, Singapore. DOI: 10.1007/978-981-19-1166-8_9 | |
| dc.relation.references | [3] Al-Rousan, N.M. and Trajković, L. (2012), “Machine learning models for classification of BGP anomalies”,2012 IEEE 13th International Conference on High Performance Switching and Routing, Belgrade, Serbia, pp. 103–108. DOI: 10.1109/HPSR.2012.6260835 | |
| dc.relation.references | [4] Fonseca, P., Mota, E. S., Bennesby, R. and Passito, A. (2019), “BGP dataset generation and feature extraction for anomaly detection”, 2019 IEEE Symposium on Computers and Communications (ISCC), Barcelona, Spain, pp. 1–6. DOI: 10.1109/ISCC47284.2019.8969619 | |
| dc.relation.references | [5] Paiva, T. B., Siqueira, Y., Batista, D. M., Hirata, R. and Terada, R. (2021), “BGP anomalies classification using features based on AS relationship graphs”, 2021 IEEE Latin-American Conference on Communications (LATINCOM), Santo Domingo, Dominican Republic, pp. 1–6. DOI: 10.1109/LATINCOM53176.2021.9647824 | |
| dc.relation.references | [6] Lundberg, S.M. and Lee, S.-I. (2017) “A unified approach to interpreting model predictions”, in Guyon, I., Luxburg, U.V., Bengio, S., Wallach, H., Fergus, R., Vishwanathan, S. and Garnett, R. (eds) Advances in Neural Information Processing Systems 30. Curran Associates, Inc., pp. 4765–4774. DOI: 10.48550/arXiv.1705.07874 | |
| dc.relation.references | [7] Al-Musawi, B., Branch, P. and Armitage, G. (2017), “BGP anomaly detection techniques: A survey”, IEEE Communications Surveys & Tutorials, 19(1), pp. 377–396. DOI: 10.1109/COMST.2016.2622240 | |
| dc.relation.references | [8] RIPE (1999), “RIPE Network Coordination Centre”, available at: https://www.ripe.net/analyse/internetmeasurements/ routing-information-service-ris (Accessed: 30 November 2024). | |
| dc.relation.references | [9] RouteViews (2013), “University of Oregon RouteViews Project”, Eugene, OR., available at: http://www.routeviews.org (Accessed: 30 November 2024). | |
| dc.relation.references | [10] Paiva, T., “BGP anomaly classification dataset”, available at: https://github.com/thalespaiva/bgp-anomalyclassification/ blob/main/data.zip (accessed: 30 November 2024). | |
| dc.relation.references | [11] Maruniak, S., “BFRank”, available at: https://github.com/MaruniakS/BFRank (Accessed: 15 December 2024). | |
| dc.relation.referencesen | [1] Rekhter, Y., Li, T. and Hares, S. (2006), "A border gateway protocol 4 (BGP-4)", Internet Requests for Comments, RFC Editor, RFC 4271, January, available at: http://www.rfc-editor.org/rfc/rfc4271.txt (Accessed 25 November 2024). DOI: 10.17487/RFC4271 | |
| dc.relation.referencesen | [2] Hammood, N.H., Al-Musawi, B. and Alhilali, A.H. (2022), "A survey of BGP anomaly detection using machine learning techniques", in Pokhrel, S.R., Yu, M. and Li, G. (eds) Applications and Techniques in Information Security. ATIS 2021. Communications in Computer and Information Science, vol. 1554. Springer, Singapore. DOI: 10.1007/978-981-19-1166-8_9 | |
| dc.relation.referencesen | [3] Al-Rousan, N.M. and Trajković, L. (2012), "Machine learning models for classification of BGP anomalies",2012 IEEE 13th International Conference on High Performance Switching and Routing, Belgrade, Serbia, pp. 103–108. DOI: 10.1109/HPSR.2012.6260835 | |
| dc.relation.referencesen | [4] Fonseca, P., Mota, E. S., Bennesby, R. and Passito, A. (2019), "BGP dataset generation and feature extraction for anomaly detection", 2019 IEEE Symposium on Computers and Communications (ISCC), Barcelona, Spain, pp. 1–6. DOI: 10.1109/ISCC47284.2019.8969619 | |
| dc.relation.referencesen | [5] Paiva, T. B., Siqueira, Y., Batista, D. M., Hirata, R. and Terada, R. (2021), "BGP anomalies classification using features based on AS relationship graphs", 2021 IEEE Latin-American Conference on Communications (LATINCOM), Santo Domingo, Dominican Republic, pp. 1–6. DOI: 10.1109/LATINCOM53176.2021.9647824 | |
| dc.relation.referencesen | [6] Lundberg, S.M. and Lee, S.-I. (2017) "A unified approach to interpreting model predictions", in Guyon, I., Luxburg, U.V., Bengio, S., Wallach, H., Fergus, R., Vishwanathan, S. and Garnett, R. (eds) Advances in Neural Information Processing Systems 30. Curran Associates, Inc., pp. 4765–4774. DOI: 10.48550/arXiv.1705.07874 | |
| dc.relation.referencesen | [7] Al-Musawi, B., Branch, P. and Armitage, G. (2017), "BGP anomaly detection techniques: A survey", IEEE Communications Surveys & Tutorials, 19(1), pp. 377–396. DOI: 10.1109/COMST.2016.2622240 | |
| dc.relation.referencesen | [8] RIPE (1999), "RIPE Network Coordination Centre", available at: https://www.ripe.net/analyse/internetmeasurements/ routing-information-service-ris (Accessed: 30 November 2024). | |
| dc.relation.referencesen | [9] RouteViews (2013), "University of Oregon RouteViews Project", Eugene, OR., available at: http://www.routeviews.org (Accessed: 30 November 2024). | |
| dc.relation.referencesen | [10] Paiva, T., "BGP anomaly classification dataset", available at: https://github.com/thalespaiva/bgp-anomalyclassification/ blob/main/data.zip (accessed: 30 November 2024). | |
| dc.relation.referencesen | [11] Maruniak, S., "BFRank", available at: https://github.com/MaruniakS/BFRank (Accessed: 15 December 2024). | |
| dc.relation.uri | http://www.rfc-editor.org/rfc/rfc4271.txt | |
| dc.relation.uri | https://www.ripe.net/analyse/internetmeasurements/ | |
| dc.relation.uri | http://www.routeviews.org | |
| dc.relation.uri | https://github.com/thalespaiva/bgp-anomalyclassification/ | |
| dc.relation.uri | https://github.com/MaruniakS/BFRank | |
| dc.rights.holder | © Національний університет „Львівська політехніка“, 2025 | |
| dc.subject | BGP | |
| dc.subject | SHAP | |
| dc.subject | виявлення аномалій | |
| dc.subject | набори даних | |
| dc.subject | машинне навчання | |
| dc.subject | BGP | |
| dc.subject | SHAP | |
| dc.subject | anomaly detection | |
| dc.subject | datasets | |
| dc.subject | machine learning | |
| dc.subject.udc | 004.7 | |
| dc.title | Shap-based evaluation of feature importance in BGP anomaly detection models | |
| dc.title.alternative | Оцінка впливу ознак у моделях виявлення аномалій BGP на основі Shap | |
| dc.type | Article |