Upgrade to Pro — share decks privately, control downloads, hide ads and more …

トラフィック特徴量の時系列データにおける相関特性を用いた変化点からの異常検出

MATSUMOTO Ryosuke
PRO
January 22, 2014
Technology
0
4.2k

 トラフィック特徴量の時系列データにおける相関特性を用いた変化点からの異常検出

MATSUMOTO Ryosuke
PRO

January 22, 2014
Tweet

More Decks by MATSUMOTO Ryosuke

See All by MATSUMOTO Ryosuke
エンジニアのキャリアパスはどう描く? まつもとりーさんと考える後悔しないキャリア選択
matsumoto_r
PRO
1
75
まつもとりーのこれまでとCOGNANOのこれから
matsumoto_r
PRO
0
140
2022年の研究所の評価制度振り返りと今後
matsumoto_r
PRO
0
360
VUCAワールドから紐解く組織や評価制度の変遷と再設計
matsumoto_r
PRO
6
23k
コンテナの研究開発から学ぶLinuxの要素技術
matsumoto_r
PRO
1
1.1k
開発者体験をさらに向上させる
事業と研究との連携
matsumoto_r
PRO
2
1.6k
企業研究の価値と事業との連携
matsumoto_r
PRO
0
790
誇りを持って研究していくために
matsumoto_r
PRO
1
990
インフラの企業研究の価値とこれから
matsumoto_r
PRO
7
18k

Other Decks in Technology

See All in Technology
バクラクのAI-OCR機能の体験を支える良質なデータセット作成の仕組み / data-centric-ai-bakuraku-dataset
yuya4
1
490
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
0
120
安心して現場で学習できる環境として Flutter Web の管理サイトがおすすめな話
htsuruo
5
120
Head toward Java 20 and Java 21
line_developers
PRO
0
350
Transit Gatewayを使わなければならない場面を改めて考えてみる #dx_osarai
non97
0
1.8k
Large Language Models: From Prototype to Production
inesmontani
PRO
9
2.8k
JUnitテストをCI環境で並列で実行する方法とその速度, スケーラビリティ
nabedge
4
250
モノリスからの脱却に向けた 物流システムリプレイスの概要紹介 / Towards Decentralized Logistics System Replacement from Monolithic Structure
yumayabe
0
330
async-profilerによるスタックトレースタイムトラベル - Kafkaのパフォーマンス問題調査での応用例
line_developers
PRO
0
130
CDK + ecspressoでお手軽コンテナ3分クッキング
yoyoyopg
0
130
LLMの普及による機械学習の民主化とMLPdMの重要性 / democratization-of-ml-and-importance-of-mlpdm-by-llm
yuya4
2
2.7k
Spotify API を使ったアイマス楽曲の楽しみ方
takemikami
0
120

Featured

See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
13k
Clear Off the Table
cherdarchuk
81
300k
The Art of Programming - Codeland 2020
erikaheidi
37
11k
WebSockets: Embracing the real-time Web
robhawkes
58
6.2k
YesSQL, Process and Tooling at Scale
rocio
158
13k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.3k
Designing for Performance
lara
601
65k
Fantastic passwords and where to find them - at NoRuKo
philnash
33
2k
Put a Button on it: Removing Barriers to Going Fast.
kastner
56
2.6k
Music & Morning Musume
bryan
37
4.8k
Debugging Ruby Performance
tmm1
68
11k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k

Transcript

  1. 1/29
    B

    View Slide

  2. 2/29

    View Slide

  3. 3/29
    IDS( )


    View Slide

  4. 4/29




    View Slide

  5. 5/29
    DoS

    View Slide

  6. 6/29
    [4] ChangeFinder

    ⇒ DoS
    [4] J. Takeuchi and K. Yamanishi, “A Unifying Framework for
    Detecting Outliers and Change Points from Time Series,” IEEE
    transactions on Knowledge and Data Engineering, pp.482-492,
    2006.

    View Slide

  7. 7/29

    View Slide

  8. 8/29

    View Slide

  9. 9/29


    [ 1] HTTP


    [ 2]


    View Slide

  10. 10/29


    1
    2

    3 ⇒

    View Slide

  11. 11/29
    (A)
    (A) (B)

    A
    B IP IP
    ⇒ DoS

    View Slide

  12. 12/29
    DoS
    ■ DoS HTTP
    IP


    DoS

    View Slide

  13. 13/29
    ( )
    IP. > IP. : ( )
    00:37:07 IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120
    00:37:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120
    00:37:25 IP 206.48.44.40.2222 > 172.16.114.30.http: . (256) ack 8192 win 31744
    00:37:25 IP 206.48.44.50.2222 > 172.16.114.40.http: . (1320) ack 8192 win 31744
    00:37:38 IP 206.48.44.60.2222 > 172.16.114.70.http: . (156) ack 8192 win 31744
    00:37:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744
    00:37:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744
    [ ] = 7
    7
    4
    5
    [
    =
    ⇒ HTTP
    [ ] = 4
    [ ] = 5
    ⇒ DoS
    1

    View Slide

  14. 14/29
    ( DoS )
    IP. > IP. : ( )
    00:38:07 IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120
    00:38:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120
    00:38:25 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744
    00:38:25 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744
    00:38:38 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744
    00:38:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (320) ack 8192 win 31744
    00:38:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (320) ack 8192 win 31744
    [ ] = 7
    7
    5
    [
    =
    ⇒ HTTP
    [ ] = 1
    [ ] = 5
    ⇒ DoS


    View Slide

  15. 15/29



    [ 1] IP
    [ 2]

    View Slide

  16. 16/29
    FIN
    ACK FIN ACK
    ACK FIN ACK
    FIN
    SYN
    ACK( ) SYN( )
    ACK SYN ACK
    SYN FIN
    3way-handshake

    View Slide

  17. 17/29
    SYN
    ACK( ) SYN( )
    RST
    SYN FIN
    SYN
    FIN

    View Slide

  18. 18/29
    SYN FIN


    1
    SYN
    FIN

    View Slide

  19. 19/29

    ( )( )
    ( ) ( )



    =
    =
    =




    N
    i
    i
    N
    i
    i
    N
    i
    i
    i
    y
    y
    x
    x
    y
    y
    x
    x
    1
    2
    1
    2
    1
    N ⇒ 1
    ( ) ( )
    { }( )
    N
    i
    y
    x
    y
    x i
    i
    .
    ,
    2
    ,
    1
    ,
    , L
    =
    =
    y
    x, : N

    View Slide

  20. 20/29
    ChangeFinder[4] 1
    T

    T
    ⇒ T
    t
    x
    t
    x
    t
    x

    View Slide

  21. 21/29
    ChangeFinder[4] 2
    1
    t
    x
    t
    x
    2

    View Slide

  22. 22/29

    View Slide

  23. 23/29
    ■MIT LINCOLN IDS
    IDS
    Week5 Tuesday (tcpdump )
    - HTTP DoS
    1
    - HTTP DoS 211 795
    - 616
    N = 20
    - [ 1] HTTP DoS
    ⇒ DoS
    ⇒ [ ]
    - [ 2] SYN FIN

    View Slide

  24. 24/29
    (1)
    0
    10000
    20000
    30000
    40000
    50000
    60000
    70000
    80000
    1 101 201 301 401 501 601 701 801
    minute
    packet_count
    0
    5
    10
    15
    20
    25
    CF_score
    packet_80 CF_score
    0
    10000
    20000
    30000
    40000
    50000
    60000
    70000
    80000
    1 101 201 301 401 501 601 701 801
    minute
    packet_count
    0
    0.5
    1
    1.5
    2
    2.5
    3
    3.5
    4
    4.5
    5
    CF_score
    packet_80 CF_score
    ■ HTTP
    DoS
    DoS ○


    ×
    ⇒ DoS
    ⇒ HTTP

    View Slide

  25. 25/29
    (2) –
    0
    500
    1000
    1500
    2000
    2500
    3000
    3500
    4000
    4500
    5000
    1 101 201 301 401 501 601 701 801
    minute
    packet_count
    0
    5
    10
    15
    20
    25
    30
    CF_score
    syn_packet CF_score
    0
    100
    200
    300
    400
    500
    600
    700
    1 101 201 301 401 501 601 701 801
    minute
    packet_count
    0
    5
    10
    15
    20
    25
    30
    CF_score
    fin_packet CF_score
    SYN
    FIN
    DoS
    DoS

    View Slide

  26. 26/29
    (2) –
    0
    1
    2
    3
    4
    5
    6
    7
    8
    1 101 201 301 401 501 601 701 801
    minute
    CF_score
    syn_fin_correl
    DoS
    DoS
    DoS

    View Slide

  27. 27/29

    View Slide

  28. 28/29





    View Slide

  29. 29/29

    ⇒ 0








    View Slide