Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
トラフィック特徴量の時系列データにおける相関特性を用いた変化点からの異常検出
Search
MATSUMOTO Ryosuke
PRO
January 22, 2014
Technology
0
5.9k
トラフィック特徴量の時系列データにおける相関特性を用いた変化点からの異常検出
MATSUMOTO Ryosuke
PRO
January 22, 2014
Tweet
Share
More Decks by MATSUMOTO Ryosuke
See All by MATSUMOTO Ryosuke
問いを起点に、社会と共鳴する知を育む場へ
matsumoto_r
PRO
0
330
さくらインターネット研究所 アップデート2025年
matsumoto_r
PRO
0
660
リモートワークにおけるパッシブ疲労
matsumoto_r
PRO
6
5.2k
エンジニアのキャリアパスはどう描く? まつもとりーさんと考える後悔しないキャリア選択
matsumoto_r
PRO
10
2.2k
まつもとりーのこれまでとCOGNANOのこれから
matsumoto_r
PRO
0
300
2022年の研究所の評価制度振り返りと今後
matsumoto_r
PRO
0
750
VUCAワールドから紐解く組織や評価制度の変遷と再設計
matsumoto_r
PRO
9
26k
コンテナの研究開発から学ぶLinuxの要素技術
matsumoto_r
PRO
2
1.5k
開発者体験をさらに向上させる 事業と研究との連携
matsumoto_r
PRO
2
2.4k
Other Decks in Technology
See All in Technology
第4回Snowflake 金融ユーザー会 Snowflake summit recap
tamaoki
0
200
Model Mondays S2E03: SLMs & Reasoning
nitya
0
330
fukabori.fm 出張版: 売上高617億円と高稼働率を陰で支えた社内ツール開発のあれこれ話 / 20250704 Yoshimasa Iwase & Tomoo Morikawa
shift_evolve
PRO
2
6.2k
American airlines ®️ USA Contact Numbers: Complete 2025 Support Guide
airhelpsupport
0
220
Lazy application authentication with Tailscale
bluehatbrit
0
150
KubeCon + CloudNativeCon Japan 2025 Recap
ren510dev
1
360
United airlines®️ USA Contact Numbers: Complete 2025 Support Guide
oliversmith12
0
150
MUITにおける開発プロセスモダナイズの取り組みと開発生産性可視化の取り組みについて / Modernize the Development Process and Visualize Development Productivity at MUIT
muit
1
13k
Flutter向けPDFビューア、pdfrxのpdfium WASM対応について
espresso3389
0
120
Frontier airlines®️ USA Contact Numbers: Complete 2025 Support Guide
oliversmith12
0
110
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
2
7.7k
ネットワーク保護はどう変わるのか?re:Inforce 2025最新アップデート解説
tokushun
0
180
Featured
See All Featured
Building an army of robots
kneath
306
45k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
730
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.4k
Automating Front-end Workflow
addyosmani
1370
200k
Typedesign – Prime Four
hannesfritz
42
2.7k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.4k
GraphQLとの向き合い方2022年版
quramy
49
14k
A Modern Web Designer's Workflow
chriscoyier
694
190k
Testing 201, or: Great Expectations
jmmastey
42
7.6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3.1k
BBQ
matthewcrist
89
9.7k
Transcript
1/29 B
2/29 ⇒
3/29 IDS( ) ⇒ ⇒
4/29 ↓ ▪ ⇒ ⇒
5/29 DoS ⇒
6/29 [4] ChangeFinder ⇒ ⇒ DoS [4] J. Takeuchi and
K. Yamanishi, “A Unifying Framework for Detecting Outliers and Change Points from Time Series,” IEEE transactions on Knowledge and Data Engineering, pp.482-492, 2006.
7/29
8/29
9/29 ▪ ⇒ [ 1] HTTP ⇒ ⇒ [ 2]
⇒ ⇒
10/29 ▪ ⇒ 1 2 ⇒ 3 ⇒
11/29 (A) (A) (B) ▪ A B IP IP ⇒
DoS
12/29 DoS ▪ DoS HTTP IP ⇒ ⇒ DoS ⇒
13/29 ( ) IP. > IP. : ( ) 00:37:07
IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120 00:37:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120 00:37:25 IP 206.48.44.40.2222 > 172.16.114.30.http: . (256) ack 8192 win 31744 00:37:25 IP 206.48.44.50.2222 > 172.16.114.40.http: . (1320) ack 8192 win 31744 00:37:38 IP 206.48.44.60.2222 > 172.16.114.70.http: . (156) ack 8192 win 31744 00:37:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744 00:37:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744 [ ] = 7 7 4 5 [ = ⇒ HTTP [ ] = 4 [ ] = 5 ⇒ DoS 1
14/29 ( DoS ) IP. > IP. : ( )
00:38:07 IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120 00:38:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120 00:38:25 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:25 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:38 IP 206.48.44.50.2222 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (320) ack 8192 win 31744 00:38:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (320) ack 8192 win 31744 [ ] = 7 7 5 [ = ⇒ HTTP [ ] = 1 [ ] = 5 ⇒ DoS ⇒ ⇒
15/29 ▪ ⇒ ⇒ [ 1] IP [ 2]
16/29 FIN ACK FIN ACK ACK FIN ACK FIN SYN
ACK( ) SYN( ) ACK SYN ACK SYN FIN 3way-handshake
17/29 SYN ACK( ) SYN( ) RST SYN FIN SYN
FIN
18/29 SYN FIN ⇒ ⇒ 1 SYN FIN
19/29 ▪ ( )( ) ( ) ( ) ∑
∑ ∑ = = = − − − − N i i N i i N i i i y y x x y y x x 1 2 1 2 1 N ⇒ 1 ( ) ( ) { }( ) N i y x y x i i . , 2 , 1 , , L = = y x, : N ※
20/29 ChangeFinder[4] 1 T ⇒ T ⇒ T t x
t x t x
21/29 ChangeFinder[4] 2 1 t x t x 2 ⇒
22/29
23/29 ▪MIT LINCOLN IDS IDS Week5 Tuesday (tcpdump ) -
HTTP DoS 1 - HTTP DoS 211 795 - 616 N = 20 - [ 1] HTTP DoS ⇒ DoS ⇒ [ ] - [ 2] SYN FIN ⇒
24/29 (1) 0 10000 20000 30000 40000 50000 60000 70000
80000 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 CF_score packet_80 CF_score 0 10000 20000 30000 40000 50000 60000 70000 80000 1 101 201 301 401 501 601 701 801 minute packet_count 0 0.5 1 1.5 2 2.5 3 3.5 4 4.5 5 CF_score packet_80 CF_score ▪ HTTP DoS DoS ◦ ◦ ◦ × ⇒ DoS ⇒ HTTP
25/29 (2) – 0 500 1000 1500 2000 2500 3000
3500 4000 4500 5000 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 30 CF_score syn_packet CF_score 0 100 200 300 400 500 600 700 1 101 201 301 401 501 601 701 801 minute packet_count 0 5 10 15 20 25 30 CF_score fin_packet CF_score SYN FIN DoS DoS
26/29 (2) – 0 1 2 3 4 5 6
7 8 1 101 201 301 401 501 601 701 801 minute CF_score syn_fin_correl DoS DoS DoS
27/29
28/29 ▪ ⇒ ⇒ ▪ ⇒
29/29 ▪ ⇒ 0 ⇒ ▪ ⇒ ⇒ ⇒ ▪
⇒ ⇒