--- title: Lab Meeting Minutes 2022/9/2 tags: lab_meeting --- > Outline > [TOC] --- # PERAL Lab Meeting - 時間:111 年 9 月 2 日 15:00 - 地點:[Online](https://meet.google.com/bys-eczx-qcq) - 出席者:吳坤熹老師、謝萬霖、周以恆、吳騰然、劉怡君、田蕙瑜、洪胤勛、丘世宇、莊才賢、紀見如、劉冠伶、林大智、繆亭霄 - 會議主題:[Sub-Space Clustering and Evidence Accumulation for Unsupervised Network Anomaly Detection](https://docs.google.com/presentation/d/1IW07bjQF2SJWLjBLOcQo4WyadEUOpAC9/edit?fbclid=IwAR3ohZQS_c6fgu6IucTqdDZtawcKYkAFIBavYV_Bu0I1K3OvQwtj_-pxFgs#slide=id.p1) - 主講者: 謝萬霖 - 主記: 丘世宇 ## 會議內容 ### 網路防禦主流三面向 - Firewall - intrusion detection system - network behaviour analysis - 行為特徵: 走路步伐、打字速度 https://en.wikipedia.org/wiki/Biometrics ### 網路行為偵測手法 - signature-based - behavior-based - graph theory - machine learning - supervised - unsupervised - semi-supervised ### unsupervised 分群的問題 - 難找到能處理所有類型群組的演算法 - 相同分群演算法在用不同初始化或參數時會有不同結果 ### 子空間分群 - 高維空間經常出現群集交疊的狀況 - 透過遮蔽部分維度可以觀察到資料之間的關係 ### DBSCAN - 資料點指定距離內涵蓋的鄰居數量 >= 給定值 - 稱為 core point - 找出所有 core point 後就能指定 core point 的群集 - 指定 non-core 的所屬群集與鄰居的 core point 相同 ### evidence accumulation - similarity matrix - 封包流和封包流的相似程度 - dissimilarity vector - ![](https://i.imgur.com/CKkNTFy.png) ### 應對規則生成 - 絕對規則 - 對應 similarity matrix 最小的群集特徵 - 為已經有問題的行為特徵 - e.g. net scan 的 nSrc == 1 ; DDoS 的 nDst == 1 - 相對規則 - similarity matrix - 從最小的群集最高相似度的特徵組合訂定規則 - dissimilarity - 數值最大的資料特徵 - 實驗結果 - MAWI data set ### 建議&問題 1. P.5 為何數字調大,結果就變好? [name=Lawrence] Ans: 右下角數字是執行時間,非輸入參數。 2. P.13 絕對規則是學習到的? [name=August] Ans: 絕對規則 nSRC = 1 是指定的。相對規則 nDST > 門檻值,只是參考學習結果,人為指定的。 3. 分群和辨識的差別? 只是把資料集切小一點? [name=Jerry] Ans: 可以透過分群把 dimension 下降 5. 共分幾組 [name=Jerry] Ans: 兩兩一組。共9個特徵,故 C(9,2)=36組。 6. 維度 xy 分別代表的意思? 每個點代表的意思? [name=Angela] Ans: xy 代表他們的特徵 7. 監督式與非監督式的差別 [name=Toby] Ans: 監督式其實是指前面演算法的部分 8. P.14 Ans: 它沒明講,但我猜 (a)(b) 是用 MAWI 14/10/03, (c)(d)是用 MAWI 13/04/04 9. P.14 IP addr 怎麼變成 0~300 間的常數? Ans: 10. ## 待追蹤事項 1. [name=] ## 臨時動議 1. Lab Sweeping Decision: 9/17 2. Lab Meeting after school begins Decision: 9/20 08:10-10:00. --- 散會結束時間:16 : 10
×
Sign in
Email
Password
Forgot password
or
By clicking below, you agree to our
terms of service
.
Sign in via Facebook
Sign in via Twitter
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Wallet (
)
Connect another wallet
New to HackMD?
Sign up