Z-Score 기반 적응형 임계값으로 실시간 IP 차단 시스템 구축

Context

불특정 다수에게 노출된 Nextcloud 인스턴스의 Credential Stuffing 및 DoS 공격 방어 필요성 대두. 기존 Static Rate Limit과 Cron 기반 모니터링의 느린 반응 속도 및 유연성 부족으로 인한 한계 직면.

Technical Solution

• Nginx JSON 로그를 실시간으로 Tailing 하는 Streaming Pipeline 구조 설계를 통한 탐지 지연 최소화
• 60초 단위 Sliding Window와 Python deque를 활용한 In-memory 상태 관리로 Constant-time 데이터 처리 구현
• Mean 및 Standard Deviation 기반의 Z-Score와 Hard Spike 임계값을 병행한 Dual-threshold 탐지 모델 적용
• 4xx/5xx 에러 발생률에 따른 동적 임계값 강화 로직을 통한 Scanning 공격 탐지 민감도 향상
• Per-IP 자동 차단과 Global 이상 징후 운영자 알림을 분리한 Asymmetric Response 전략 채택
• 위반 횟수에 따라 차단 기간을 늘리는 Escalation Tier 구조 설계를 통한 반복적 어뷰징 원천 차단