Deque 기반 Sliding Window와 Z-score를 활용한 실시간 DDoS 탐지 엔진 구축

Context

로그 기반의 단순 차단 도구인 Fail2Ban의 한계를 극복하기 위해 정적 임계값이 아닌 동적 베이스라인 기반의 탐지 체계 필요성 대두. I/O 병목과 시간 윈도우 측정 오차를 해결하는 실시간 Anomaly Detection 구조 설계 요구.

Technical Solution

• LogMonitor와 Detector를 Queue로 분리하여 I/O와 CPU 연산의 독립성을 확보한 Producer-Consumer 구조 설계
• Python collections.deque를 활용한 Sliding Window 구현으로 시간 복잡도 O(1)의 효율적인 요청 수 측정 달성
• 30분 분량의 Rolling Baseline을 구축하여 서버별 정상 트래픽 패턴을 학습하는 동적 임계값 체계 도입
• Z-score 통계 분석과 5배수 배수 규칙을 병행 적용하여 다양한 형태의 공격 패턴을 탐지하는 하이브리드 로직 구현
• iptables 커널 레벨 차단과 단계적 Ban 해제(Backoff Release)를 통한 시스템 자원 보호 및 오탐 대응
• Docker 환경 내 NET_ADMIN 권한 부여를 통한 호스트 레벨 네트워크 제어 구조 확보