本文提出了一种名为多级分布熵（Multi-Level Distributional Entropy, MDE）的分析框架，用于可解释的网络入侵检测。传统的基于机器学习的入侵检测系统（IDS）依赖聚合流统计数据，但这些数据丢弃了分布结构，而传统的熵度量需要原始数据包序列，在预聚合的流数据集中无法获取。MDE 直接从流级汇总统计量中推导出可解释的熵特征，分为三个层次：流内高斯差分熵、跨方向 Jensen-Shannon 散度（JSD）以及 TCP 标志模式香农熵，无需原始数据包或训练数据。在四个基准数据集（NSL-KDD、CICIDS-2017、CICIDS-2018、UNSW-NB15）上，采用无泄漏的折内流水线评估，仅使用熵特征即可达到加权 F1 分数 0.708–0.989，与传统特征性能相当。更重要的是，通过报告完整的操作指标，揭示了聚合 F1 隐藏的失败模式：在 CICIDS-2018 上，F1=0.74 掩盖了检测率（DR）仅为 0.48；在留出的攻击族上，F1 超过 0.998 但 DR 降至零。在时间偏移场景下，对 70.3 万条流进行伪实时回放，发现阈值排序发散：分数排序得以保留（AUC=0.87），但固定阈值崩溃（DR=0.082），且重新校准无法恢复。此外，SHAP 折稳定性分析（Spearman rho=0.80–0.95）确认熵属性的归因在异构环境中具有可重复性和领域一致性。该工作为构建可解释、鲁棒的 IDS 提供了新视角，尤其适用于仅能获取聚合流特征的实际场景。