Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
トラフィック特徴量の時系列データにおける相関特性を用いた変化点からの異常検出
Search
MATSUMOTO Ryosuke
PRO
January 22, 2014
Technology
0
5.8k
トラフィック特徴量の時系列データにおける相関特性を用いた変化点からの異常検出
MATSUMOTO Ryosuke
PRO
January 22, 2014
Tweet
Share
More Decks by MATSUMOTO Ryosuke
See All by MATSUMOTO Ryosuke
エンジニアのキャリアパスはどう描く? まつもとりーさんと考える後悔しないキャリア選択
matsumoto_r
PRO
4
650
まつもとりーのこれまでとCOGNANOのこれから
matsumoto_r
PRO
0
240
2022年の研究所の評価制度振り返りと今後
matsumoto_r
PRO
0
620
VUCAワールドから紐解く組織や評価制度の変遷と再設計
matsumoto_r
PRO
9
25k
コンテナの研究開発から学ぶLinuxの要素技術
matsumoto_r
PRO
2
1.4k
開発者体験をさらに向上させる 事業と研究との連携
matsumoto_r
PRO
2
2.1k
企業研究の価値と事業との連携
matsumoto_r
PRO
0
1.2k
誇りを持って研究していくために
matsumoto_r
PRO
1
1.4k
インフラの企業研究の価値とこれから
matsumoto_r
PRO
7
19k
Other Decks in Technology
See All in Technology
Kubernetesって何? -大規模なKubernetesを運用するKubernetes as a Serviceチームの話を添えて-
lycorptech_jp
PRO
6
1.7k
突撃! 隣のAmazon Bedrockユーザー 〜YouはどうしてAWSで?〜
minorun365
PRO
3
400
Jetpack Compose Modifier 徹底解説 / Jetpack Compose Modifier
wiroha
0
210
ネットワークだけ隔離されたコンテナ作成デモ / Kichijoji.pm36
tenforward
1
250
Swift Testingのconfirmationを コードリーディング/Dive into Swift Testing confirmation
laprasdrum
2
270
Classmethod AI Talks(CATs) #1 司会進行スライド(2024.09.19) / classmethod-ai-talks-aka-cats_moderator-slides_vol1_2024-09-19
shinyaa31
0
250
eBPFのこれまでとこれから
yutarohayakawa
10
3.3k
JTCや セキュリティチェックリストが夢の跡
nikinusu
1
800
Road to Single Activity
yurihondo
2
240
サプライチェーン攻撃に備える
ryunen344
0
400
とあるOSSを継続可能にするための取り組みについて / OSS Refactoring Process
bun913
1
220
Technical Writing Meetup vol.35
soracom
PRO
2
130
Featured
See All Featured
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.4k
Testing 201, or: Great Expectations
jmmastey
36
7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
103
48k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
38
9.2k
Designing on Purpose - Digital PM Summit 2013
jponch
114
6.8k
Fashionably flexible responsive web design (full day workshop)
malarkey
401
65k
Designing for humans not robots
tammielis
248
25k
KATA
mclloyd
27
13k
The Art of Programming - Codeland 2020
erikaheidi
48
13k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.3k
Making the Leap to Tech Lead
cromwellryan
128
8.8k
Optimizing for Happiness
mojombo
375
69k
Transcript
1/29 B
2/29 ⇒
3/29 IDS( ) ⇒ ⇒
4/29 ↓ ▪ ⇒ ⇒
5/29 DoS ⇒
6/29 [4] ChangeFinder ⇒ ⇒ DoS [4] J. Takeuchi and
K. Yamanishi, “A Unifying Framework for Detecting Outliers and Change Points from Time Series,” IEEE transactions on Knowledge and Data Engineering, pp.482-492, 2006.
7/29
8/29
9/29 ▪ ⇒ [ 1] HTTP ⇒ ⇒ [ 2]
⇒ ⇒
10/29 ▪ ⇒ 1 2 ⇒ 3 ⇒
11/29 (A) (A) (B) ▪ A B IP IP ⇒
DoS
12/29 DoS ▪ DoS HTTP IP ⇒ ⇒ DoS ⇒
13/29 ( ) IP. > IP. : ( ) 00:37:07
IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120 00:37:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120 00:37:25 IP 206.48.44.40.2222 > 172.16.114.30.http: . (256) ack 8192 win 31744 00:37:25 IP 206.48.44.50.2222 > 172.16.114.40.http: . (1320) ack 8192 win 31744 00:37:38 IP 206.48.44.60.2222 > 172.16.114.70.http: . (156) ack 8192 win 31744 00:37:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744 00:37:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744 [ ] = 7 7 4 5 [ = ⇒ HTTP [ ] = 4 [ ] = 5 ⇒ DoS 1
14/29 ( DoS ) IP. > IP. : ( )
00:38:07 IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120 00:38:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120 00:38:25 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:25 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:38 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (320) ack 8192 win 31744 [ ] = 7 7 5 [ = ⇒ HTTP [ ] = 1 [ ] = 5 ⇒ DoS ⇒ ⇒
15/29 ▪ ⇒ ⇒ [ 1] IP [ 2]
16/29 FIN ACK FIN ACK ACK FIN ACK FIN SYN
ACK( ) SYN( ) ACK SYN ACK SYN FIN 3way-handshake
17/29 SYN ACK( ) SYN( ) RST SYN FIN SYN
FIN
18/29 SYN FIN ⇒ ⇒ 1 SYN FIN
19/29 ▪ ( )( ) ( ) ( ) ∑
∑ ∑ = = = − − − − N i i N i i N i i i y y x x y y x x 1 2 1 2 1 N ⇒ 1 ( ) ( ) { }( ) N i y x y x i i . , 2 , 1 , , L = = y x, : N ※
20/29 ChangeFinder[4] 1 T ⇒ T ⇒ T t x
t x t x
21/29 ChangeFinder[4] 2 1 t x t x 2 ⇒
22/29
23/29 ▪MIT LINCOLN IDS IDS Week5 Tuesday (tcpdump ) -
HTTP DoS 1 - HTTP DoS 211 795 - 616 N = 20 - [ 1] HTTP DoS ⇒ DoS ⇒ [ ] - [ 2] SYN FIN ⇒
24/29 (1) 0 10000 20000 30000 40000 50000 60000 70000
80000 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 CF_score packet_80 CF_score 0 10000 20000 30000 40000 50000 60000 70000 80000 1 101 201 301 401 501 601 701 801 minute packet_count 0 0.5 1 1.5 2 2.5 3 3.5 4 4.5 5 CF_score packet_80 CF_score ▪ HTTP DoS DoS ◦ ◦ ◦ × ⇒ DoS ⇒ HTTP
25/29 (2) – 0 500 1000 1500 2000 2500 3000
3500 4000 4500 5000 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 30 CF_score syn_packet CF_score 0 100 200 300 400 500 600 700 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 30 CF_score fin_packet CF_score SYN FIN DoS DoS
26/29 (2) – 0 1 2 3 4 5 6
7 8 1 101 201 301 401 501 601 701 801 minute CF_score syn_fin_correl DoS DoS DoS
27/29
28/29 ▪ ⇒ ⇒ ▪ ⇒
29/29 ▪ ⇒ 0 ⇒ ▪ ⇒ ⇒ ⇒ ▪
⇒ ⇒