# 碩論 (2021/7/6) 口試 yin ###### tags: `碩論地獄` 30m27s ## 英文不知道意思即時翻譯區 ## Yin ## Yen #### 曾 * 我想請問一下你最後的結論，用的是絕對值，如果是用百分比來講那就是增加了百分之44%，overhead是蠻高的，結論如果這樣寫會讓人誤會。 * ids不會只部署一個啊？那你強調只增加一個，雖然他是一個事實，但它不具有說服力，但用比例來算他的數量是不低的（？ * 所以你要強調你是單一的跳點不會再增加了？但你的結論應該要圓融一點，所以要注意一個係數什麼的(？ * 我對cnn不是很熟，你量測的大部分都是欄位裡面的時間，是不是加密是不是只能夠被duration才能被分出來？ * 攻擊者是不是可以模擬一般的情況(duration跟一般的封包一樣)讓你分不出來？有沒有這樣的考量？ * 他偵測的依據是不是只有duration？ * 所以你的假設是，對方造不出像一般封包一樣的攻擊封包，你的cnn是不是主要是duration，那這樣是不是會有極限性？這是cnn本身的問題啊 * 我是覺得說所用的cnn只要把data撈進去照著公式算Ｒ算Ｒ算Ｒ，難道這樣算就會算出答案嗎？ * 我要問的就是說，除了這個方法，還有沒有別的方法？有沒有別的資料來針對cnn來做補強 #### 謝 * 我聽你這個presentation，你這個比較confuse的是說，是要read time還是批次？ * 嘗試去判斷說是哪一種病毒(????? * 一般的router就會統計netflow去來啊，但他並沒有payload在裡面啊，你要做cnn一般來說是餵feature啊，但一般這種病毒(?偵測應該是餵cnn整個payload不是feature，然後找出feature才對啊？一般cnn應該資料量應該要非常大才能測出feature，我覺得你跟別人不一樣的地方應該是這裏 * 你這個是嘗試real time，但事實上攻擊階段有很多方法可以偵測出來哪一個節點正在攻擊，事實上這種malware的detection應該是在攻擊前就要偵測出來(?????)，所以你這的論文原來的目的你應該要更進步去暸解(你他媽才要暸解吧)，我問你的問題，你覺得對不對？？ * 一般你剛講的portscan他們認為是攻擊階段，不是攻擊前，趙增老師比較熟的c&c，要跟master聯絡那個就不是攻擊了，要在這個階段就要把他抓出來。 * 反正就是你的定義方面要說出來，我的建議就是這樣。 ## Gu #### 曾 你最後的結論用的是絕對值 節點造成的網路延遲，要是用百分比來看是上升百分之四十四，overhead是相當高的，結論如果用絕對值會讓人誤會，所以結論要用比例表達 你強調用cnn牽涉到量測數量的data本身的相關性，但你量測時間大部分是直系時間，你前面用估股做例子，攻擊封包不太一樣，某些地方突出一兩個地方，用duration做相關性，只有這種方式嗎，要是很短的情況可以考慮嗎，還是全部都可以，攻擊者模仿正常流量，和正常封包接近，有沒有考量。偵測的依據是不是只有duration 部署很多個ids？沒有跟其他部署方式比，這樣說法表達不具有說服力 你強調只有一個跳點，不可能再增加了？ 你假設過及者造不出相同德吽包，但攻擊者可能產聲垃圾資料進去，那你挑選的欄位是用duration，會不會有局限性 還有沒有別的方法，除了封包流的分析方式，有其他資料針對conclusion做補強 #### 謝 妳是real time還是梯次，你是train一個model出來放在ids去判斷是哪種病毒，我聽起來你用ids有搜集自己的流量，也有dataset，餵到cnn和xgb在建立model然後去realtime偵測。但一班的router就會定時不定時丟出netflow，但沒有payload在裡面，我看你西恩恩是餵feature，但cnn特色就是不用餵feature，你整個丟進去他就可以判斷出feature，一般是會整包丟進去，然後設一個window，不需要為feature，一班cnn資料量要非常大，你才能測出比較重要的feature 你嘗試在他攻擊時抓出來，但他已經在攻擊了，其實有很多方法可以偵測出來，哪個節點在攻擊。這種malware一班是強調攻擊前抓出來，也就是淺伏期，不是攻擊期間。我們學校常常被攻擊啊，所以你論文原來的目的，可能要進一步了解，我問你的問題，你覺得對不對？？ 你剛剛講的port scan會認為是攻擊階段不是攻擊前，無所謂這是你的定義拉，cnc就是你的電腦被入侵，要跟master聯絡，那就不是攻擊，應該在這個階段就把他抓出來，而不是他下命令後把他抓出來。你做很多，做得不錯，但是定義要說清楚。