--- tags: 研究 robots: noindex, nofollow --- 予備審査　質問・コメント・回答 === ## 加藤先生 ### p.14 - 青，緑 - 元のデータでも，そもそもピークが出ている．SR法は必要なのか？ - SR法のメリットは？ - SR法は非定常なデータや周期的なデータに対しても異常部位以外は定常なデータにするという処理を行っています．したがって，後の閾値処理がしやすくなり，精度向上が見込まれます． - 今の例では，ピークが顕著過ぎるので必要性がはっきりしない． - 仰るとおりですので，本審査までに例示の方を改善したいと思います ### p.22 - パケットが減った理由は，event-drivenのせいか？ - はい - eventの検出はどうやるのか？ SR法でやるのか？ - はい．Packet-Inメッセージの異常増加をSR法で検出します - pollingは行っているのか？ - 提案手法では一切のポーリングを行っていません． ## 長谷川先生 ### p.14 - 何故，SR法が良いのか？ 外れ値を捜す他の方法は？ - SR法は教師なし（ラベル付が不要），定常性や分布を仮定しない，高速という特徴を持つため提案手法のようなトラフィックデータの取り扱いに適切だと考えたため，採用しました．他の手法もありますが，多くは正規分布を仮定していたり，処理速度が遅いという問題があるということがSR法の論文で述べられています． - どのようなものを外れ値と見倣す/見倣さない → 現在の目的との関係を述べたほうが良いと思う - Packet-Inメッセージの流量が，正常な状態よりも大きい状態を外れ値とみなして検出します．スライドや原稿にもその点を明記するようにします． ### p.12 - p-in メッセージが発生するか否かは，flowの定義によるのではないか？トランスポートレベルの粒度じゃない場合は提案手法は適用出来ない？ - L4のポート番号に対して複数のコネクションが発生するという都合上，flowの粒度はL4レベルでないと提案の適用は不可能です．ただ，ルーティングはL2で行いつつ，未知のL4トラフィックについてはPacket-Inを発生させるということが可能であるため，そのようにコントローラ側を拡張すれば対応が可能だと思います． - (こう答えるべきだった) 提案に限らず，ポートスキャン検出やDDoS攻撃検出はL4レベルでの粒度を想定しています．なぜなら，統計情報から攻撃の有無を判定する際に，L4レベルの粒度でないと検出が難しいからです． - エントリの定義方法に関する要求条件を明確にした方が良い． - わかりました - intra-network で使うための条件は？() - データセンタ等の利用のように，外部からネットワーク内のサーバに大量のアクセスが発生するというような状況ですと，スイッチのフローエントリ数が爆発する可能性があるので，提案手法の適用が難しいと思います．逆に，そうでなければ可能であると思います．