IP地址能被认为是入侵检测的一个有用的特性吗？

Question

我试图建立一个机器学习模型来分类攻击。我的数据有很多IP地址，我不知道是否应该使用IP地址来检测攻击。我发现了一个有趣的论点：

"IP可能被攻击者欺骗。因此，将其作为入侵检测系统中攻击分类的一个特征可能是不可行的。那些独立且攻击者不能更改的特征可以用于分类问题。“

这对我来说很符合逻辑，但我不知道是否应该完全忽略入侵检测中的IP地址，特别是我的数据(来自不同设备的日志文件)有多个步骤攻击场景，您认为呢？

Answer 1

我相信IP地址提供了有用的信息。

IP地址可以在UDP和ICMP等无连接协议中被“欺骗”。如果您担心通过流量放大进行的DDoS攻击，伪造的地址对于发现发生了什么几乎是至关重要的。

面向连接的协议(如TCP或SCTP )很难伪造(尽管BGP劫持意味着这种情况经常发生)。

我从僵尸网络中看到的攻击通常包括来自某些特定ISP的大量受损机器。在某些攻击中，从受攻击的服务中阻止整个/16s就更容易了。一旦我找到了具体的ISP，就很容易查找他们拥有的其他网卡，也可以阻止这些网卡，理由是他们的CPE被黑客入侵，或者他们的用户作为一个整体不安全。跟踪IP可以让您发现特定的网络是否安全性差。