HackMD
Outline
PERAL Lab Meeting
-
時間:111 年 9 月 2 日 15:00
-
地點:Online
-
出席者:吳坤熹老師、謝萬霖、周以恆、吳騰然、劉怡君、田蕙瑜、洪胤勛、丘世宇、莊才賢、紀見如、劉冠伶、林大智、繆亭霄
-
會議主題:Sub-Space Clustering and Evidence Accumulation for Unsupervised Network Anomaly Detection
-
主講者: 謝萬霖
-
主記: 丘世宇
會議內容
網路防禦主流三面向
- Firewall
- intrusion detection system
- network behaviour analysis
- 行為特徵: 走路步伐、打字速度 https://en.wikipedia.org/wiki/Biometrics
網路行為偵測手法
- signature-based
- behavior-based
- graph theory
- machine learning
- supervised
- unsupervised
- semi-supervised
unsupervised 分群的問題
- 難找到能處理所有類型群組的演算法
- 相同分群演算法在用不同初始化或參數時會有不同結果
子空間分群
- 高維空間經常出現群集交疊的狀況
- 透過遮蔽部分維度可以觀察到資料之間的關係
DBSCAN
- 資料點指定距離內涵蓋的鄰居數量 >= 給定值
- 稱為 core point
- 找出所有 core point 後就能指定 core point 的群集
- 指定 non-core 的所屬群集與鄰居的 core point 相同
evidence accumulation
- similarity matrix
- 封包流和封包流的相似程度
- dissimilarity vector
- Image Not Showing Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
應對規則生成
- 絕對規則
- 對應 similarity matrix 最小的群集特徵
- 為已經有問題的行為特徵
- e.g. net scan 的 nSrc == 1 ; DDoS 的 nDst == 1
- 相對規則
- similarity matrix
- 從最小的群集最高相似度的特徵組合訂定規則
- dissimilarity
- 數值最大的資料特徵
- similarity matrix
- 實驗結果
- MAWI data set
建議&問題
-
P.5 為何數字調大,結果就變好? Lawrence
Ans: 右下角數字是執行時間,非輸入參數。 -
P.13 絕對規則是學習到的? August
Ans: 絕對規則 nSRC = 1 是指定的。相對規則 nDST > 門檻值,只是參考學習結果,人為指定的。 -
分群和辨識的差別? 只是把資料集切小一點? Jerry
Ans: 可以透過分群把 dimension 下降 -
共分幾組 Jerry
Ans: 兩兩一組。共9個特徵,故 C(9,2)=36組。 -
維度 xy 分別代表的意思? 每個點代表的意思? Angela
Ans: xy 代表他們的特徵 -
監督式與非監督式的差別 Toby
Ans: 監督式其實是指前面演算法的部分 -
P.14
Ans: 它沒明講,但我猜 (a)(b) 是用 MAWI 14/10/03, ©(d)是用 MAWI 13/04/04 -
P.14 IP addr 怎麼變成 0~300 間的常數?
Ans:
待追蹤事項
- [name=]
臨時動議
- Lab Sweeping
Decision: 9/17 - Lab Meeting after school begins
Decision: 9/20 08:10-10:00.
散會結束時間:16 : 10
