基于高斯混合模型的IPS日志异常IP地址检测技术研究

入侵防御系统(IPS)是一种广泛使用的安全系统,其将所阻止的攻击生成日志,供管理人员审查和进一步处理。然而,实际IPS日志中的大多数条目都不是攻击条目,这使得管理员无法通过简单的日志分析获得攻击者的IP地址。传统的日志分析方法依赖于管理员手动分析日志文本。因此,有必要使用异常检测方法进行分析。现有的大多数基于数据的异常自动检测方法,在保证计算要求和模型可解释性的前提下,无法获得令人满意的结果。采用高斯混合模型(GMM,Gaussian mixture model)对日志数据集上的异常IP地址进行检测。GMM方法提供了更好的检测结果,同时确保了相对较低的计算要求,并保持了模型的可解释性。实验表明,GMM方法检测IP地址异常的能力较强,是一种适合于基于日志数据的IP异常自动检测方法。