Rolling Baseline 기반 실시간 HTTP 이상 탐지 및 자동 Mitigation 시스템 구축

Context

정적 임계값 설정으로 인한 오탐 및 트래픽 변동성 대응 한계 해결 필요. Nextcloud 환경의 HTTP 트래픽 패턴을 지속적으로 학습하여 동적 이상 탐지를 수행하는 구조 설계.

Technical Solution

• Nginx Structured Logging을 통한 JSON 로그 생성 및 Docker Named Volume 공유로 Detector의 파싱 부하 최소화
• deque 기반 Sliding Window를 활용한 60초 단위의 실시간 Global 및 Per-IP Request Rate 산출
• 30분 단위 Rolling Baseline의 평균과 표준편차를 계산하여 트래픽 변동성에 대응하는 동적 임계값 설정
• z-score > 3.0 또는 Baseline 평균의 5배 초과 시 Anomaly로 판정하는 다중 검증 로직 적용
• iptables 연동을 통한 단계적 Ban 정책(10m → 30m → 2h → Permanent)으로 자동 Mitigation 체계 구축
• Flask 기반 대시보드를 통한 실시간 Baseline 통계 및 Audit Log 가시성 확보