Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
トラフィック特徴量の時系列データにおける相関特性を用いた変化点からの異常検出
Search
MATSUMOTO Ryosuke
PRO
January 22, 2014
Technology
0
5.9k
トラフィック特徴量の時系列データにおける相関特性を用いた変化点からの異常検出
MATSUMOTO Ryosuke
PRO
January 22, 2014
Tweet
Share
More Decks by MATSUMOTO Ryosuke
See All by MATSUMOTO Ryosuke
問いを起点に、社会と共鳴する知を育む場へ
matsumoto_r
PRO
0
64
さくらインターネット研究所 アップデート2025年
matsumoto_r
PRO
0
650
リモートワークにおけるパッシブ疲労
matsumoto_r
PRO
6
5.2k
エンジニアのキャリアパスはどう描く? まつもとりーさんと考える後悔しないキャリア選択
matsumoto_r
PRO
10
2.2k
まつもとりーのこれまでとCOGNANOのこれから
matsumoto_r
PRO
0
300
2022年の研究所の評価制度振り返りと今後
matsumoto_r
PRO
0
750
VUCAワールドから紐解く組織や評価制度の変遷と再設計
matsumoto_r
PRO
9
26k
コンテナの研究開発から学ぶLinuxの要素技術
matsumoto_r
PRO
2
1.5k
開発者体験をさらに向上させる 事業と研究との連携
matsumoto_r
PRO
2
2.4k
Other Decks in Technology
See All in Technology
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
150
How Community Opened Global Doors
hiroramos4
PRO
1
130
あなたの声を届けよう! 女性エンジニア登壇の意義とアウトプット実践ガイド #wttjp / Call for Your Voice
kondoyuko
4
520
生成AI時代 文字コードを学ぶ意義を見出せるか?
hrsued
1
750
Model Mondays S2E03: SLMs & Reasoning
nitya
0
240
ハッカソン by 生成AIハッカソンvol.05
1ftseabass
PRO
0
150
WordPressから ヘッドレスCMSへ! Storyblokへの移行プロセス
nyata
0
350
Witchcraft for Memory
pocke
1
670
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
250
PHPでWebブラウザのレンダリングエンジンを実装する
dip_tech
PRO
0
220
「Chatwork」の認証基盤の移行とログ活用によるプロダクト改善
kubell_hr
1
240
MUITにおける開発プロセスモダナイズの取り組みと開発生産性可視化の取り組みについて / Modernize the Development Process and Visualize Development Productivity at MUIT
muit
1
3.6k
Featured
See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Statistics for Hackers
jakevdp
799
220k
Bash Introduction
62gerente
614
210k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Facilitating Awesome Meetings
lara
54
6.4k
A Tale of Four Properties
chriscoyier
160
23k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
5.9k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
How STYLIGHT went responsive
nonsquared
100
5.6k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
48
5.4k
Transcript
1/29 B
2/29 ⇒
3/29 IDS( ) ⇒ ⇒
4/29 ↓ ▪ ⇒ ⇒
5/29 DoS ⇒
6/29 [4] ChangeFinder ⇒ ⇒ DoS [4] J. Takeuchi and
K. Yamanishi, “A Unifying Framework for Detecting Outliers and Change Points from Time Series,” IEEE transactions on Knowledge and Data Engineering, pp.482-492, 2006.
7/29
8/29
9/29 ▪ ⇒ [ 1] HTTP ⇒ ⇒ [ 2]
⇒ ⇒
10/29 ▪ ⇒ 1 2 ⇒ 3 ⇒
11/29 (A) (A) (B) ▪ A B IP IP ⇒
DoS
12/29 DoS ▪ DoS HTTP IP ⇒ ⇒ DoS ⇒
13/29 ( ) IP. > IP. : ( ) 00:37:07
IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120 00:37:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120 00:37:25 IP 206.48.44.40.2222 > 172.16.114.30.http: . (256) ack 8192 win 31744 00:37:25 IP 206.48.44.50.2222 > 172.16.114.40.http: . (1320) ack 8192 win 31744 00:37:38 IP 206.48.44.60.2222 > 172.16.114.70.http: . (156) ack 8192 win 31744 00:37:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744 00:37:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744 [ ] = 7 7 4 5 [ = ⇒ HTTP [ ] = 4 [ ] = 5 ⇒ DoS 1
14/29 ( DoS ) IP. > IP. : ( )
00:38:07 IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120 00:38:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120 00:38:25 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:25 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:38 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (320) ack 8192 win 31744 [ ] = 7 7 5 [ = ⇒ HTTP [ ] = 1 [ ] = 5 ⇒ DoS ⇒ ⇒
15/29 ▪ ⇒ ⇒ [ 1] IP [ 2]
16/29 FIN ACK FIN ACK ACK FIN ACK FIN SYN
ACK( ) SYN( ) ACK SYN ACK SYN FIN 3way-handshake
17/29 SYN ACK( ) SYN( ) RST SYN FIN SYN
FIN
18/29 SYN FIN ⇒ ⇒ 1 SYN FIN
19/29 ▪ ( )( ) ( ) ( ) ∑
∑ ∑ = = = − − − − N i i N i i N i i i y y x x y y x x 1 2 1 2 1 N ⇒ 1 ( ) ( ) { }( ) N i y x y x i i . , 2 , 1 , , L = = y x, : N ※
20/29 ChangeFinder[4] 1 T ⇒ T ⇒ T t x
t x t x
21/29 ChangeFinder[4] 2 1 t x t x 2 ⇒
22/29
23/29 ▪MIT LINCOLN IDS IDS Week5 Tuesday (tcpdump ) -
HTTP DoS 1 - HTTP DoS 211 795 - 616 N = 20 - [ 1] HTTP DoS ⇒ DoS ⇒ [ ] - [ 2] SYN FIN ⇒
24/29 (1) 0 10000 20000 30000 40000 50000 60000 70000
80000 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 CF_score packet_80 CF_score 0 10000 20000 30000 40000 50000 60000 70000 80000 1 101 201 301 401 501 601 701 801 minute packet_count 0 0.5 1 1.5 2 2.5 3 3.5 4 4.5 5 CF_score packet_80 CF_score ▪ HTTP DoS DoS ◦ ◦ ◦ × ⇒ DoS ⇒ HTTP
25/29 (2) – 0 500 1000 1500 2000 2500 3000
3500 4000 4500 5000 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 30 CF_score syn_packet CF_score 0 100 200 300 400 500 600 700 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 30 CF_score fin_packet CF_score SYN FIN DoS DoS
26/29 (2) – 0 1 2 3 4 5 6
7 8 1 101 201 301 401 501 601 701 801 minute CF_score syn_fin_correl DoS DoS DoS
27/29
28/29 ▪ ⇒ ⇒ ▪ ⇒
29/29 ▪ ⇒ 0 ⇒ ▪ ⇒ ⇒ ⇒ ▪
⇒ ⇒