Statistical Analysis of Time Series for Port Scan and DDoS Detection
Автор: Adeyemi Marc Aurele Emmanuel Djeguede
Журнал: Вестник Пермского университета. Математика. Механика. Информатика @vestnik-psu-mmi
Рубрика: Компьютерные науки и информатика
Статья в выпуске: 1 (72), 2026 года.
Бесплатный доступ
In this paper, statistical methodologies for time series analysis – specifically the Z-score and the modified Z-score – are examined in the context of detecting Port Scan and Distributed Denial of Service (DDoS) attacks. Six different time series were constructed using the following traffic characteristics: the average number of packets transmitted from sources to destinations, the data transfer rate, the response data transfer rate, the duration of the connection between the source and destination, the entropy computed based on destination ports associated with each IP source, and the number of unique destination ports available to each IP source. To evaluate the statistical methodologies under study, the indicators such as reliability, accuracy, response time, and F1-score were used. The obtained numerical results show that when detecting the network threats in question, the modified Z-score reduces the number of false positives compared to the Z-score standard, thereby influencing the evaluation of these performance metrics. The F1-scores achieved using the modified Z-score for DDoS detection ranged from 93% to 98%, depending on the specific traffic characteristics analyzed. Conversely, in the case of Port Scan detection, the F1-score did not exceed 58% even under optimal conditions. A comprehensive analysis showed that all the identified Port Scan instances refer to fast port scanning since this scanning method causes a sharp increase in network traffic. This phenomenon is manifested in a local violation of the stationarity of the time series. These findings were confirmed by Augmented Dickey-Fuller (ADF) and Kwiatkowski–Phillips–Schmidt–Shin (KPSS) statistical tests conducted to evaluate various hypotheses regarding the stationarity of the time series.
Time series analysis, anomaly detection, Port Scan, DDoS, Z-score
Короткий адрес: https://sciup.org/147253754
IDR: 147253754 | УДК: 004.021, 004.056 | DOI: 10.17072/1993-0550-2026-1-72-91
Статистический анализ временных рядов для обнаружения Port Scan и DDoS
В ходе этой научной статьи статистические методологии анализа временных рядов, в частности Z-оценка и модифицированная Z-оценка, были рассмотрены в контексте обнаружения атак Port Scan и распределенного отказа в обслуживании (DDoS). Было построено шесть различных временных рядов с использованием следующих характеристик трафика: среднее количество пакетов, передаваемых от источников к получателям, скорость передачи данных от источника к получателю, скорость передачи ответных данных, продолжительность соединения между источником и адресатом, вычисленная энтропия на основе портов назначения, связанных с каждым IP-источником, и количество уникальных портов назначения, доступных каждому IP-источнику. Для оценки вышеупомянутых статистических методологий использовались показатели надежности, точности, времени отклика и показатели F1. Полученные численные результаты показывают, что модифицированная Z-оценка снижает количество ложных срабатываний (по сравнению с Z-оценкой) при выявлении исследованных сетевых угроз, что влияет на оценку этих показателей. Результаты измерения F1, полученные с использованием модифицированной Z-оценки при обнаружении DDoS-атак, варьировались от 93 до 98% в зависимости от конкретных проанализированных характеристик трафика. И наоборот, показатель F1 в контексте обнаружения Port Scan в самом оптимальном случае не превышает 58%. Комплексный анализ показал, что все экземпляры, выявленные Port Scan, относятся к категории быстрого сканирования портов, поскольку именно этот метод сканирования приводит к резкому увеличению сетевого трафика. Это явление проявляется в локальном нарушении стационарности временных рядов. Эти выводы были подтверждены статистическими тестами Дики–Фуллера (ADF) и Квятковского–Филлипса–Шмидта–Шина (KPSS), проведенными для оценки различных гипотез относительно стационарности временных рядов.
