Аннотация: Рассмотрен подход обнаружения начала DDoS-атаки статистическими методами с учётом сезонности. Стандартная установка границ по количеству запросов, связанных с возникновением случайных срабатываний и различной нагрузкой веб-ресурса, зависящей от времени суток и дней недели, имеет ряд недостатков. Для оптимизации процесса предлагается использовать плавающую оценку, характеризующую текущую сетевую активность, основанную на среднеквадратическом отклонении (СКО), а также учёт сезонных колебаний. Предложен метод кластеризации k-means для распределения клиентских запросов. Алгоритм выделяет два кластера из смешанного трафика. Первый является множеством благонадёжных, второй - множеством вредоносных запросов. Внедрение в систему защиты предлагаемой методики, учитывающей сезонность совершения DDoS-атак для различных типов объектов инфраструктуры способно повысить оперативность обнаружения таких атак без увеличения ресурсоемкости.

Ключевые слова: DDoS-атака, среднеквадратичное отклонение, сезонные колебания, k-means.