Siber güvenlik tehditlerinin değişen yapısında, kimlik avı e-postaları sürekli ve yıkıcı bir saldırı vektörü olmaya devam etmektedir. Bu çalışma, tablosal veriler kullanılarak gerçekleştirilen bir kimlik avı e-posta sınıflandırma görevinde, TabNet, NODE (Neural Oblivious Decision Ensembles) ve FT-Transformer mimarilerine odaklanarak derin öğrenme modellerinin etkinliğini araştırmaktadır. Kullanılan veri kümesi, e-postaların dilsel ve yapısal özelliklerini yansıtan sekiz giriş özelliği ile birlikte kimlik avı ya da normal sınıflandırmasını belirten ikili bir etiketi içermektedir. Ayrıca, veri kümesinde gözlenen ciddi sınıf dengesizliği problemiyle başa çıkmak amacıyla NearMiss alt örnekleme yaklaşımı uygulanmıştır. Deneysel sonuçlar, her üç modelin de güçlü performanslar sergilediğini ancak FT-Transformer modelinin en yüksek doğruluk (accuracy) ve dengeli hassasiyet-duyarlılık (precision-recall) skorlarıyla TabNet ve NODE modellerinden daha iyi performans gösterdiğini ortaya koymaktadır. Ayrıca, FT-Transformer modelinin karar verme sürecini yorumlamak için SHAP ve LIME gibi açıklanabilir yapay zekâ (XAI) yöntemleri kullanılmıştır ki bu karar verme süreci yazım hataları, eşsiz kelime sayıları ve aciliyetle ilişkili anahtar kelimelerin kimlik avı tespitinde kritik bir rol oynadığı vurgulamaktadır. Elde edilen bulgular, siber güvenlik alanındaki sekmeli veriler üzerinde transformer tabanlı yaklaşımların potansiyelini vurgulamakta ve kimlik avı tespit sistemlerinde güven ve şeffaflığı artırmak adına açıklanabilir yapay zekânın önemini ortaya koymaktadır.
In the changing landscape of cybersecurity threats, phishing emails indicate a persistent and damaging attack vector. This study investigates the effectiveness of deep learning models on a phishing email classification task using tabular data and focusing on TabNet, NODE (Neural Oblivious Decision Ensembles), and FT-Transformer architectures. The utilized dataset includes eight input features capturing linguistic and structural characteristics of emails, with a binary label indicating phishing or normal classification. Additionally, the NearMiss under-sampling approach is applied to address the significant class imbalance. Experimental results demonstrate that while all three models achieve strong performance, the FT-Transformer model outperforms TabNet and NODE by achieving the highest classification accuracy and balanced precision-recall scores. Additionally, explainable artificial intelligence (XAI) methods, SHAP and LIME, are employed to interpret the FT-Transformer model’s decision-making process, which highlights the critical role of spelling errors, unique word counts, and urgency-related keywords in phishing detection. The findings emphasize the potential of transformer-based approaches for tabular cybersecurity applications and indicate the importance of interpretable AI in enhancing trust and transparency in phishing detection systems.