# 2021/03/01 PaperReading @webex/B205 ### 教員 * 藤川先生 * 垣内先生 * 油谷先生 ### D1 * Kibrom * 大平 ### M2 * 石長 ### M1 * 桂 * 小松 * 川島 * 奥村 ### RS * Chen ## 奥村 ## 小松 ### 藤川先生 - グラフの横軸がなんか変。 - 良性と悪性を分離するように表示したいように見えます。 - 良性と悪性のトラフィックの特徴を分類敷いてるやん。公開鍵の種類とかRSAの2048とか、自己証明書だったら70%で悪性とか。でそのトラフィックが合致したら悪性と分類するって感じ？実際にどのように分類されているんかな？ slide 25のたちに、重み付けとかはないの？ - slide 26 に判断基準の重みがある。 - その重みを足し合わせてくの？スコアリングをどうやってしているのか？そのスコアリングの式はどこにあるの？ - それは示されていないです… - でもその式が重要だと思うけどね… - 重みを単純に足すのか、そうではないのか、どうしてるんだろね。 - そこは示されていないですね。 - なら再現実験ができない気がするけども… - 最後の悪性のフローデータは聞けば出してもらえるかも。 - これ中身は見ずに、判定するってやつやんね？ - そうですね。5分前からのDNSの検索の量とかを… - これ悪性ってどういうものなの？ - 論文だと、マルウェアとC2Cサーバが該当しているようです。 - DDos は含まれていない？ - そうですね。 - - - - - - a ### 垣内先生 - slide 25, これって割とHTTPとDNSが効果的に聞いてる風な書き方になってますけど、ここのHTTPって具体的に何？ - TLSハンドシェイクした後に、HTTPを投げたかどうか。HTTPのヘッダだけで判断している。 - DNSは？ - TLSハンドシェイクの前に、名前解決をする際の、文字列の長さとか、Alexaの一覧にあるかどうか。 - そうすると、タイトルには、暗号化された通信に対して、どうするかって書いてあるけど、最近出始めてきた DNS over HTTPS だと使えないってこと？ - そうかもです。 - 直近では、全てのWeb上のコンテンツをHTTPS化しようっていう動きがあるから、変わるかもしれない。 - SNI も暗号化しましょっていう流れがあるので要注意かも - - （小松から質問）実際に実現方法が書かれていなくて、読んでいるにつれて、Thread GRID っていうCISCOのやつが使われているとのこと。これを使わずにできる？ - CISCO Thread GRID を詳しくは知らないけど、それが 5tuple とかで判断してるなら、フローの 5tuple が取れればいけるとおもう。 - ただ、CISCO Thread GRID と同じ形式にしたいということ？ - そういうことではない - pcap を取ってこればなんとでもなるので、なんとかあるかもだけど、それを… - それよりも、とってきたデータの良性悪性をどうやって判断するのかが重要 - それは、データを取得する時点で別ネットワークになってるので、気にしなくてOKなはず。 - 良性は企業ネットワーク、悪性はサンドボックス - Thread GRID の判定する機能がどうなってるかはわからない - - - - a ### 桂 - Thread GRID 自体が会社では？ - 導入する記事だと、マルウェアの動作解析とか書かれているので、CISCOの（メラキ？）と同じような感じでは？ - そうかも - TLS って部分で、同じ著者がその続きをやってるはず。 - 次はそれを読もうと思っています。 ## 油谷先生からの報告 移動報告の話 共同研究のお誘い