The evolution of intrusion detection systems: a comprehensive review of modern datasets, deep learning approaches, and architectural challenges

Abstract

Intrusion Detection Systems (IDS) remain a critical component of cybersecurity. They are rapidly evolving to counter increasingly complex threats across various environments, such as the Internet of Things (IoT), the Industrial Internet of Things (IIoT), vehicular networks, and critical infrastructure. The objective of this work is a comprehensive analysis of the evolution of Intrusion Detection Systems (IDS) from 2020 to 2025. Grounded in contemporary research, it examines the integration of Machine Learning (ML), Deep Learning (DL), Federated Learning (FL), and novel hybrid techniques into IDS, summarizing advancements in their operational capabilities. Key trends include a significant shift toward deep learning architectures - specifically Transformers and Vision Transformers (ViT) - for enhanced pattern recognition. Additionally, the adoption of Federated Learning and fog computing-based systems is observed, aiming to preserve privacy and address challenges related to data decentralization and non-independent and identically distributed (Non-IID) data. Furthermore, there is growing emphasis on Explainable AI (XAI), attack lifecycle-based datasets, and model robustness against adversarial attacks. The results obtained. The review proposes a comprehensive multi-criteria classification of systems, enabling a thorough description and comparison of various solutions. The paper critically evaluates contemporary input datasets and conducts a comparative efficiency analysis of different intrusion detection methodologies. Analysis indicates that although algorithms achieve accuracy exceeding 98% on benchmark datasets, several critical challenges remain unresolved. These include class imbalance, the capability to detect novel and unknown threats, scalability in real-world operational environments, and ethical privacy concerns. Conclusions. This study addresses gaps in previous reviews by highlighting the lack of unified datasets, the need for model validation in real-world environments, and adaptive protection against zero-day attacks and encrypted traffic. It proposes a roadmap for the development of more robust, decentralized, and interpretable IDS.

Системи виявлення вторгнень (СВВ) залишаються ключовим елементом кібербезпеки. Вони швидко еволюціонують, щоб протистояти дедалі складнішим загрозам у різних середовищах, таких як Інтернет речей (IoT), промисловий Інтернет речей (IIoT), транспортні мережі та критична інфраструктура. Це дослідження представляє систематичний огляд літератури з 2020 по 2025 роки, базується на сучасних дослідженнях і розглядає інтеграцію машинного навчання (ML), глибокого навчання (DL), федеративного навчання (FL) та нових гібридних технік в СВВ, узагальнюючи прогрес їх функціонування. Ключові тренди включають помітний перехід до архітектур глибокого навчання, зокрема, трансформерів та візуальних трансформерів для покращеного розпізнавання патернів. Також спостерігається впровадження федеративного навчання та систем на базі туманних обчислень, що забезпечують приватність і вирішують проблеми децентралізації даних та їхньої неоднорідності (Non-IID). Крім того, зростає увага до пояснюваного ШІ (XAI), наборів даних на основі життєвого циклу атак та стійкості моделей до змагальних атак. Огляд пропонує всебічну класифікацію систем за багатьма критеріями, що. дозволяє повноцінно описати та порівняти різні рішення. У роботі критично оцінюються сучасні набори вхідних даних, а також проводиться порівняльний аналіз ефективності різних методологій виявлення вторгнень. Отримано, що хоча точність роботи алгоритмів на стандартних тестових наборах даних часто перевищує 98%, залишається низка невирішених проблем. Серед них – дисбаланс класів, здатність виявляти нові та невідомі загрози, масштабування в умовах реальної експлуатації та етичні питання конфіденційності. В огляді також обговорюються проблеми та обмеження сучасних методів, вказується на брак уніфікованих датасетів, перевірку еффективності моделей в умовах реальної експлуатації та адаптивного захисту від атак нульового дня й зашифрованого трафіку. Він пропонує дорожню карту для створення більш стійких, децентралізованих та зрозумілих СВВ.