Как обнаружить аномалии в нескольких разных IP-адресах? [закрыто]

Как только наблюдается аномальное поведение в общем количестве подключений, это обнаруживается как аномалия. Каждый IP-адрес назначения имеет различное поведение в зависимости от количества подключений, которые он должен получить, например, для IP-адреса назначения. x0 обычно требуется лишь небольшое количество входящих подключений, тогда как для x1 это примерно ~1000.

Я столкнулся со следующей проблемой: прямо сейчас я перебираю каждый IP-адрес назначения в моем наборе данных и создаю Isolation Forest. Это неэффективно и требует много времени для обнаружения аномалий каждого IP-адреса назначения. Нормализация значений подключения также не сработает, поскольку аномалии обнаруживаются только для «более высоких значений».

Итак, мой вопрос: действительно ли мне нужно создавать для каждого IP-адреса назначения собственную модель Isolation Forest или может быть другое решение, например, подмодели, или какие-либо другие предложения?