NDLTD Global ETD Search
  • Refine Query
  • Source
  • Publication year
  • to
  • Language
  • 48
  • 7
  • 7
  • 7
  • 7
  • 7
  • 2
  • Tagged with
  • 50
  • 50
  • 32
  • 32
  • 32
  • 29
  • 22
  • 22
  • 17
  • 15
  • 14
  • 14
  • 12
  • 11
  • 11
  • About
  • The Global ETD Search service is a free service for researchers to find electronic theses and dissertations. This service is provided by the Networked Digital Library of Theses and Dissertations.
    Our metadata is collected from universities around the world. If you manage a university/consortium/country archive and want to be added, details can be found on the NDLTD website.

Search results

Showing 21 to 30 of 50 (0.12 seconds)

Spelling suggestions: "subject:"detecção dde intrusão"" "subject:"detecção dde íntrusão""

21

Aplicação em tempo real de técnicas de aprendizado de máquina no Snort IDS /

Utimura, Luan Nunes January 2020 (has links)
Orientador: Kelton Augusto Pontara da Costa / Resumo: À medida que a Internet cresce com o passar dos anos, é possível observar um aumento na quantidade de dados que trafegam nas redes de computadores do mundo todo. Em um contexto onde o volume de dados encontra-se em constante renovação, sob a perspectiva da área de Segurança de Redes de Computadores torna-se um grande desafio assegurar, em termos de eficácia e eficiência, os sistemas computacionais da atualidade. Dentre os principais mecanismos de segurança empregados nestes ambientes, destacam-se os Sistemas de Detecção de Intrusão em Rede. Muito embora a abordagem de detecção por assinatura seja suficiente no combate de ataques conhecidos nessas ferramentas, com a eventual descoberta de novas vulnerabilidades, faz-se necessário a utilização de abordagens de detecção por anomalia para amenizar o dano de ataques desconhecidos. No campo acadêmico, diversos trabalhos têm explorado o desenvolvimento de abordagens híbridas com o intuito de melhorar a acurácia dessas ferramentas, com o auxílio de técnicas de Aprendizado de Máquina. Nesta mesma linha de pesquisa, o presente trabalho propõe a aplicação destas técnicas para a detecção de intrusão em um ambiente tempo real mediante uma ferramenta popular e amplamente utilizada, o Snort. Os resultados obtidos mostram que em determinados cenários de ataque, a abordagem de detecção baseada em anomalia pode se sobressair em relação à abordagem de detecção baseada em assinatura, com destaque às técnicas AdaBoost, Florestas Aleatórias, Árvor... (Resumo completo, clicar acesso eletrônico abaixo) / Abstract: As the Internet grows over the years, it is possible to observe an increase in the amount of data that travels on computer networks around the world. In a context where data volume is constantly being renewed, from the perspective of the Network Security area it becomes a great challenge to ensure, in terms of effectiveness and efficiency, today’s computer systems. Among the main security mechanisms employed in these environments, stand out the Network Intrusion Detection Systems. Although the signature-based detection approach is sufficient to combat known attacks in these tools, with the eventual discovery of new vulnerabilities, it is necessary to use anomaly-based detection approaches to mitigate the damage of unknown attacks. In the academic field, several works have explored the development of hybrid approaches in order to improve the accuracy of these tools, with the aid of Machine Learning techniques. In this same line of research, the present work proposes the application of these techniques for intrusion detection in a real time environment using a popular and widely used tool, the Snort. The obtained results shows that in certain attack scenarios, the anomaly-based detection approach may outperform the signature-based detection approach, with emphasis on the techniques AdaBoost, Random Forests, Decision Tree and Linear Support Vector Machine. / Mestre
Sistemas de detecção de intrusão
Aprendizado de máquina
Detecção de anomalias
Intrusion detection systems
Machine learning
Anomaly detection
Snort
22

Uma abordagem para detecção de ataques distribuídos e múltiplas etapas baseada na composição de serviços web voltados para à segurança

Fagundes, Leonardo Lemes 07 March 2006 (has links)
Made available in DSpace on 2015-03-05T13:57:00Z (GMT). No. of bitstreams: 0 Previous issue date: 7 / Nenhuma / Com o uso em larga escala da Internet e a proliferação de ferramentas para realização de ataques, as instituições têm se tornado alvo de uma variedade de atividades intrusivas que vão desde simples varreduras de portas até ataques mais complexos, tais como negação de serviço distribuídos e worms. Com o objetivo de desenvolver soluções capazes de minimizar as chances de um intruso obter sucesso em suas atividades, diversos projetos de pesquisa têm sido realizados, sobretudo na área de detecção de intrusão. A grande parte dessas soluções apresentam as seguintes limitações: (a) ausência de uma forma adequada para representação e descrição de cenários de ataques de múltiplas etapas, que permita modelar o fluxo em que as atividades que os compõem devem ser observadas e (b) correlacionam alertas gerados por um conjunto reduzido de sensores, enquanto o ideal é observar as evidências registradas no maior número possível de serviços. No intuito de suprir essas limitações, esta dissertação propõe uma linguagem e uma / With the wide use of the Internet and the proliferation of technologies to reproduce attacks, institutions have become target of a variety of intrusion activities, ranging from simple port scans to complex attacks, such as distributed denial of services and worms. Aiming to develop solutions to minimize the intruder’s chances to succeed in his/her activities, several research projects have been carried out in the recent years, especially in the area of intrusion detection. Most of the solutions proposed present limitations since they: (a) do not provide an appropriate notation to represent and describe multistage attacks (that allows one to model the flow in which activities are expected be observed); and (b) correlate alerts produced by a reduced group of sensors, while the ideal is to observe evidences generated by the maximum number of available services. To fulfill this gap, this work proposes a language and an architecture to detect distributed multistage attacks. The proposed language, named Multistag
Ciências Exatas e da Terra
detecção de intrusão
redes de computadores
segurança
serviços web
intrusion detection
security
web services
computer Network
23

Um modelo dinâmico de clusterização de dados aplicado na detecção de intrusão

Furukawa, Rogério Akiyoshi 25 April 2003 (has links)
Atualmente, a segurança computacional vem se tornando cada vez mais necessária devido ao grande crescimento das estatísticas que relatam os crimes computacionais. Uma das ferramentas utilizadas para aumentar o nível de segurança é conhecida como Sistemas de Detecção de Intrusão (SDI). A flexibilidade e usabilidade destes sistemas têm contribuído, consideravelmente, para o aumento da proteção dos ambientes computacionais. Como grande parte das intrusões seguem padrões bem definidos de comportamento em uma rede de computadores, as técnicas de classificação e clusterização de dados tendem a ser muito apropriadas para a obtenção de uma forma eficaz de resolver este tipo de problema. Neste trabalho será apresentado um modelo dinâmico de clusterização baseado em um mecanismo de movimentação dos dados. Apesar de ser uma técnica de clusterização de dados aplicável a qualquer tipo de dados, neste trabalho, este modelo será utilizado para a detecção de intrusão. A técnica apresentada neste trabalho obteve resultados de clusterização comparáveis com técnicas tradicionais. Além disso, a técnica proposta possui algumas vantagens sobre as técnicas tradicionais investigadas, como realização de clusterizações multi-escala e não necessidade de determinação do número inicial de clusters / Nowadays, the computational security is becoming more and more necessary due to the large growth of the statistics that describe computer crimes. One of the tools used to increase the safety level is named Intrusion Detection Systems (IDS). The flexibility and usability of these systems have contributed, considerably, to increase the protection of computational environments. As large part of the intrusions follows behavior patterns very well defined in a computers network, techniques for data classification and clustering tend to be very appropriate to obtain an effective solutions to this problem. In this work, a dynamic clustering model based on a data movement mechanism are presented. In spite of a clustering technique applicable to any data type, in this work, this model will be applied to the detection intrusion. The technique presented in this work obtained clustering results comparable to those obtained by traditional techniques. Besides the proposed technique presents some advantages on the traditional techniques investigated, like multi-resolution clustering and no need to previously know the number of clusters
Análise dos componentes principais
Clusterização de dados
Data clustering
Intrusion detection systems
Principal analisys component
Sistemas de detecção de intrusão
24

Um Sistema de Detecção de Intrusão para Detecção de Ataques de Negação de Serviço na Internet das Coisas. / An Intrusion Detection System for Detection of Attacks Service Denial on the Internet of Things.

SOUSA, Breno Fabrício Lira Melo 21 December 2016 (has links)
Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-01T15:17:20Z No. of bitstreams: 1 Breno Fabricio.pdf: 3022898 bytes, checksum: d3e376b3280034170ef737c756a8bb30 (MD5) / Made available in DSpace on 2017-08-01T15:17:20Z (GMT). No. of bitstreams: 1 Breno Fabricio.pdf: 3022898 bytes, checksum: d3e376b3280034170ef737c756a8bb30 (MD5) Previous issue date: 2016-12-21 / The paradigm of the Internet of Things (in english, Internet of Things - IoT) came to allow intercommunication between different objects via Internet, and thereby facilitate the form of how the end user will interact with a wide variety of devices that surround him in everyday life. The availability of features that these devices have is a factor that deserves great attention because the use of such resources inappropriately can cause serious damage. Therefore, since such devices are connected to the internet, they are vulnerable to various threats, such as, denial-of-service attack (DoS). In order to tackle DoS type threats in IoT, an Intrusion Detection System (IDS) is proposed for IoT, aiming at detecting some types of DoS attacks. / O paradigma da Internet das Coisas (em inglês, Internet of Things - IoT) surgiu para possibilitar a intercomunicação entre os diferentes objetos através da Internet, e, com isso, facilitar a forma de como o usuário final interagirá com a grande variedade de dispositivos que o cerca no dia a dia. A disponibilidade de recursos que estes dispositivos possuem é um fator que merece uma grande atenção, pois o uso de tais recursos de forma não apropriada pode gerar graves danos. Para tanto, uma vez que tais dispositivos estão conectados à Internet, estes estão vulneráveis a diversas ameaças, como, por exemplo, ataque de negação de serviço (DoS). A fim de enfrentar ameaças do tipo DoS em IoT, propõe-se um IDS (Intrusion Detection System) para IoT, objetivando a detecção de alguns ataques do tipo DoS.
Arquitetura de Sistemas de Computação
25

UMA ONTOLOGIA DE APLICAÇÃO PARA APOIO À TOMADA DE DECISÕES EM SITUAÇÕES DE AMEAÇA À SEGURANÇA DA INFORMAÇÃO. / AN ONTOLOGY OF INFORMATION FOR DECISION SUPPORT IN SITUATIONS OF THREAT TO INFORMATION SECURITY.

SILVA, Rayane Meneses da 24 June 2015 (has links)
Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-31T14:44:32Z No. of bitstreams: 1 Rayane.pdf: 4026589 bytes, checksum: 7e6066416420555456030ab6db3a1231 (MD5) / Made available in DSpace on 2017-08-31T14:44:32Z (GMT). No. of bitstreams: 1 Rayane.pdf: 4026589 bytes, checksum: 7e6066416420555456030ab6db3a1231 (MD5) Previous issue date: 2015-06-24 / Many security mechanisms, such as Intrusion Detection Systems (IDSs) have been developed to approach the problem of information security attacks but most of them are traditional information systems in which their threats repositories are not represented semantically. Ontologies are knowledge representation structures that enable semantic processing of information and the construction of knowledge-based systems, which provide greater effectiveness compared to traditional systems. This paper proposes an application ontology called “Application Ontology for the Development of Case-based Intrusion Detection Systems” that formally represents the concepts related to information security domain of intrusion detection systems and “Case Based Reasoning”. The “Case Based Reasoning” is an approach for problem solving in which you can reuse the knowledge of past experiences to solve new problems. The evaluation of the ontology was performed by the development of an Intrusion Detection System that can detect attacks on computer networks and recommend solutions to these attacks. The ontology was specified using the “Ontology Web Language” and the Protégé ontology editor and. It was also mapped to a cases base in Prolog using the “Thea” tool. The results have shown that the developed Intrusion Detection System presented a good effectiveness in detecting attacks that the proposed ontology conceptualizes adequately the domain concepts and tasks. / Muitos mecanismos de segurança, como os Sistemas de Detecção de Intrusão têm sido desenvolvidos para abordar o problema de ataques à Segurança da Informação. Porém, a maioria deles são sistemas de informação tradicionais nos quais seus repositórios de ameaças não são representados semanticamente. As ontologias são estruturas de representação do conhecimento que permitem o processamento semântico das informações bem como a construção dos sistemas baseados em conhecimento, os quais fornecem uma maior efetividade em relação aos sistemas tradicionais. Neste trabalho propõe-se uma ontologia de aplicação denominada “Application Ontology for the Development of Case-based Intrusion Detection Systems” que representa formalmente os conceitos relacionados ao domínio de Segurança da Informação, dos sistemas de detecção de intrusão e do “Case-Based Reasoning”. O “Case-Based Reasoning” é uma abordagem para resolução de problemas nos quais é possível reutilizar conhecimentos de experiências passadas para resolver novos problemas. A avaliação da ontologia foi realizada por meio do desenvolvimento de um Sistema de Detecção de Intrusão que permite detectar ataques a redes de computadores e recomendar soluções a esses ataques. A ontologia foi especificada na linguagem “Ontology Web Language” utilizando o editor de ontologias Protegé e, logo após, mapeada a uma base de casos em Prolog utilizando o ferramenta “Thea”. Os resultados mostraram que o Sistema de Detecção de Intrusão desenvolvido apresentou boa efetividade na detecção de ataques e portanto, conclui-se que a ontologia proposta conceitualiza de forma adequada os conceitos de domínio e tarefa abordados.
Sistemas de Informação
26

Detecção de intrusão utilizando fluxo óptico e histograma de gradientes orientados / Instrusion detection using optical flow and hiatogram of oriented gradients

Patruni, Ion Ferreira 25 August 2015 (has links)
Made available in DSpace on 2016-12-12T20:22:53Z (GMT). No. of bitstreams: 1 Ion Ferreira Patruni.pdf: 3046553 bytes, checksum: 1979275f844ce748a3f9803c3498ab28 (MD5) Previous issue date: 2015-08-25 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / This work is about people detection in surveillance images. This occurs in external environments, where there are transit of both people and cars. The aim is to settle an imaginary line that once overpassed by people an alarm is sent to the CCTV operator. The study is mainly focused in the use of Histograms of Oriented Gradients (HOG) together with analysis of characteristics extracted from vectors fields of Optical Flow (OF) for training of Support Vector Machines (SVM) and subsequent classification. Some experiments are also executed to verify if the order of cascade classifiers based in OF and HOG affects the quality of the final response. This is measured by Receiver Operating Characteristics (ROC) curves plotted from confusion matrixes. Temporal performance of each classifier was measured as well. A new database was created from a parking camera/surveillance system, and the videos were divided into two groups: (1) training and (2) testing for control purposes. The group called testing for control purposes is used to verify if partial results are presenting improvements in comparison to classifications by HOG alone. A third group of images extracted from the Internet related to intrusions situations was selected to compose the effective final test database. The approach used to detect the intrusion event is based on persistence and consistence of individual classifications. That is, involving more than one group of images, varying from 3 to 9 frames until an effective alarm is sent to the CCTV operator. The ROC curves of classifiers OF→HOG and HOG→OF are fully coincident for all tested points. The OF based classifiers are 3 times faster than the HOG based. For the region of interest of classifiers operation used in people detection for surveillance videos, considering intrusion events, that is the lower portions of x axis of ROC curves, the classifier OF→HOG had the best performance. Finally, 6 simulations were done involving final tests database, split by events in different situations to evaluate the proposed approach to detect intrusion events and again the OF→HOG classifier had the best performance. Adding movement information by analysing e classifying data extracted from OF field to distinguish people from car improved alarm generation performance, increasing True Positives and reducing False Positives, when analysing a video sequence. / Este trabalho trata da detecção de pessoas em imagens de vigilância. Esta busca ocorre em ambientes externos, onde há pessoas e carros transitando conjuntamente. O objetivo é estabelecer uma linha imaginária que, quando ultrapassada por pessoas, gere um alarme ao operador de Circuito Fechado de TV (CFTV). O estudo concentra-se principalmente na utilização conjunta de Histogramas de Gradientes Orientados (HOG) e análise de características estatísticas extraídas do campo de vetores de Fluxo Óptico (FO) para treinamento de Máquinas de Vetores Suportes (SVM) e posterior classificação. Foram realizados alguns experimentos para verificar se a ordem de aplicação dos classificadores baseados em análise do FO e HOG interferem na qualidade final da resposta que é mensurada através das curvas de Características Operacionais do Receptor (ROC) traçadas a partir das matrizes de confusão. O desempenho temporal de cada classificador é medido. Foi criada uma base de dados proveniente de uma câmera de estacionamento, separada em dois grupos: (1) treinamento e (2) testes para controle. O segundo grupo é usado para averiguar se os resultados parciais estão apresentando melhora em relação ao uso isolado das características HOG. Um terceiro grupo de imagens, extraídas de imagens da Internet relacionadas com questões de intrusão, foi escolhido para compor os testes finais efetivos. A abordagem utilizada para avaliar o evento intrusão é baseada na persistência e consistência das classificações, ou seja, envolvendo mais de um grupo de imagens, podendo variar de 3 a 9 quadros para se ter uma geração efetiva de alarme que avise um operador de CFTV. As curvas ROC dos classificadores FO→HOG e HOG→FO ficaram sobreposta para todos os pontos testados. Com relação ao desempenho temporal, a utilização do classificador baseado no FO teve desempenho 3 vezes mais rápido que o classificador baseado em HOG. Para região de interesse de operação dos classificadores usados na detecção de pessoas em vídeos de vigilância, levando-se em conta a detecção de eventos de intrusão, que é a região inicial da escala das curvas ROC dos classificadores, o classificador baseado em FO→HOG teve melhor desempenho geral. Por fim, 6 simulações foram realizadas no grupo de vídeos separados por eventos nas mais diferentes situações com o objetivo de se avaliar a abordagem proposta de detecção de eventos de intrusão e o classificador FO→HOG teve o melhor desempenho. A adição da informação do movimento, através da análise e classificação de informações extraídas do campo de fluxo óptico para diferenciar pessoas de carros, trouxe melhorias quando se analisa uma sequência de vídeo, gerando mais alarmes verdadeiro-positivos e reduzindo consideravelmente a geração de alarmes falso-positivos.
Detecção de intrusão de pedestres
Visão computacional
Reconhecimento de padrões
Pedestrian intrusion detection
Computer vision
Pattern recognition
27

Uma arquiteturaparalela baseada na codificação de huffman para otimizaçãode memória em hardware especializado para detecção de intrusão em redes

Freire, Eder Santana 13 March 2014 (has links)
Submitted by Marcio Filho (marcio.kleber@ufba.br) on 2017-06-02T13:48:59Z No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / Approved for entry into archive by Vanessa Reis (vanessa.jamile@ufba.br) on 2017-06-08T11:16:24Z (GMT) No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / Made available in DSpace on 2017-06-08T11:16:24Z (GMT). No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / O projeto de hardware especializado para detecção de intrusão em redes de computadores tem sido objeto de intensa pesquisa ao longo da última década, devido ao seu desempenho consideravelmente maior, comparado às implementações em software. Nesse contexto, um dos fatores limitantes é a quantidade finita de recursos de memória embarcada, em contraste com o crescente número de padrões de ameaças a serem analisados. Este trabalho propõe uma arquitetura baseada no algoritmo de Huffman para codificação, armazenamento e decodificação paralela de tais padrões, a fim de reduzir o consumo de memória embarcada em projetos de hardware destinado à detecção de intrusão em redes. Experimentos foram realizados através de simulação e síntese em FPGA de conjuntos de regras atuais do sistema de detecção de intrusão Snort, e os resultados indicaram uma economia de até 73% dos recursos de memória embarcada do chip. Adicionalmente, a utilização de uma estrutura paralelizada apresentou ganhos de desempenho significantes durante o processo de decodificação das regras.
Sistemas Computacionais
Segurança da Informação
Arquitetura paralela
Detecção de intrusão em redes
Field-Programmable Gate Arrays
Otimização de memória
Codificação de Huffman
28

Malflow : um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede /

Silva, Raphael Campos. January 2017 (has links)
Orientador: Adriano Mauro Cansian / Banca: André Ricardo Abed Grégio / Banca: Geraldo Francisco Donega Zafalon / Resumo: A garantia de segurança em ambientes computacionais é complexa, uma vez que a expertise dos atacantes e o número de ameaças têm aumentado. De forma a lidar com o aumento de incidentes de segurança, é necessária uma metodologia que automatize o processo de análise de ameaças e forneça assinaturas de ataques para os ambientes de defesa. Este projeto propõe uma metodologia para criação automatizada de assinaturas para malware baseado em fluxo de dados de redes. A partir de múltiplas execuções de uma amostra de malware, são encontradas semelhanças entre o tráfego de rede gerado em cada uma de suas execuções. O processo de encontrar semelhanças baseia-se em: (i) geração de um hash para cada uma das conexões realizadas pelo malware, no qual cada hash irá representar um elemento de uma sequência e (ii) utilização do algoritmo LCS para encontrar uma subsequência em comum mais longa entre duas sequências geradas a partir das conexões realizadas pelo malware durante cada uma de suas execuções. Uma vez encontrada a subsequência em comum mais longa, os descritores das conexões realizadas pelo malware são recuperados, os quais irão compor os passos de uma assinatura. Por fim, as assinaturas geradas serão testadas para identificação de falsos-positivos e verdadeiros-positivos, para que sejam selecionadas com o intuito de alimentar um Sistema de Detecção de Intrusão / Abstract: The guarantee of security in computing environments is complex, since the expertise of the attackers and the numbers of threats have increased. In order to handle the increased security incidents, is required a methodology to automate the process of threat analysis and provide signatures to defense environments. This project proposes a methodology to generate signatures automatically, based on network flows. From multiple execution of a malware sample, similarities are found between the network traffic generated in each of its executions. The process of finding similarity is based on: (i) Generation of a hash for each connection performed by the malware, where each hash will represent an element of a sequence and (ii) application of the LCS algorithm to find the longest common subsequence between two sequences generated from the connections performed by the malware during each of its executions. Once the longest common subsequence is found, the descriptors of the connections performed by the malware are retrieved, which will compose the steps of a signature. Finally, the generated signatures will be tested for false positive and true positive identification, so that they are selected with the intention of feeding an Intrusion Detection System / Mestre
Ciência da computação.
Malware (Software de computador)
Algoritmos de computador.
Assinaturas digitais.
Computer science
29

Correlação e visualização de alertas de segurança em redes de computadores /

Ribeiro, Adriano Cesar. January 2015 (has links)
Orientador: Adriano Mauro Cansian / Banca: Kalinka Regina Lucas Jaquie Castelo Branco / Banca: Leandro Alves Neves / Resumo: Os sistemas de detecção de intrusão fornecem informações valiosas em relação à segurança das redes de computadores. No entanto, devida à quantidade de ameaças inerentes aos sistemas computacionais, os registros dessas ameaças na forma de alertas podem constituir de grandes volumes de dados, muitas vezes bastante complexos para serem analisados em tempo hábil. Esta dissertação apresenta uma abordagem para correlacionar alertas de segurança. A metodologia tem como princípio a utilização de mineração de dados para a coleta de informações constituintes nos alertas providos pelos sistemas detectores de intrusão. Primeiramente, os alertas são classificados em tipos de ataques para que, na sequência, sejam clusterizados de forma a agrupar alertas com características semelhantes. Por fim, a correlação é realizada baseada na ocorrência dos alertas em cada cluster e, dessa forma, é obtida uma visão geral do cenário de ataque, utilizando de métodos de visualização de tais ocorrências maliciosas / Abstract: Intrusion detection systems provides valuable information regarding the security of computer networks. However, due to the amount of threats inherent in computer systems, records of these threats in the form of alerts can be large volumes of data, often quite complex to be analyzed in a timely manner. This paper presents an approach to correlate security alerts. The methodology is based on the use of data mining to the collection of constituent information in the alerts provided by intrusion detection systems. First, alerts are classified into types of attacks so that, later, are clustered in order to compose alerts with similar characteristics. Finally, the correlation is performed based on the occurrence of alerts in each cluster and thereby an overview of the attack scenario is obtained using visualization methods of such malicious events / Mestre
Ciência da computação.
Visualização da informação.
Mineração de dados (Computação)
Computer science
30

Detecção de anomalias por Floresta caminhos ótimos /

Passos Júnior, Leandro Aparecido January 2015 (has links)
Orientador: João Paulo Papa / Coorientador: Kelton Augusto Pontara da Costa / Banca: Alexandre Luís Magalhães Levada / Banca: Antonio Carlos Sementille / Resumo: O problema de detecção de anomalias vem sendo estudado há vários anos, dado que esta área é de grande interesse por parte de indústrias e também da comunidade científica. Basicamente, a detecção de anomalias difere da tarefa de reconhecimento de padrões convencional pelo fato de apenas amostras não anômalas (normais) estarem disponíveis para o treinamento da técnica de aprendizado de máquina. Assim, quando uma nova amostra é classificada, o sistema deve reconhecer a mesma como pertencente ou não ao modelo de dados "normais" que o mesmo aprendeu. Dentre as várias técnicas disponíveis, uma das mais antigas e populares é a que faz uso de distribuições Gaussianas multivariadas, as quais modelam o conjunto de dados normais como sendo distribuições Gaussianas e, qualquer amostra que não pertençaa a essas distribuições, é considerada anômala. Entretanto, um grande problema dessa abordagem está relacionado à etapa de estimação dos parãmetros dessas distribuições Gaussianas, a qual é realizada de maneira não supervisionada. Na presente dissertação, objetivamos estudar o comportamento do classificador Floresta de Caminhos Ótimos (Optimum-Path Forest - OPF) para (i) estimação dos parâmetros das distribuições Gaussianas, bem como compará-lo com várias outras técnicas comumente utilizadas para esta tarefa, e (ii) desenvolver uma nova técnica de detecção de anomalias centralizada nas funcionalidades do OPF. Os resultados experimentais em bases de dados sintéticas e reais demonstraram que o classificador OPF obteve melhores resultados em ambas as tarefas, dado que o mesmo é menos sensível à escolha dos parâmetros iniciais, o que é de grande valia em bases de dados cujas amostras "normais" estão representadas por múltiplos agrupamentos / Abstract: Anomaly detection has a massive literature, since detecting such anomalies are of great interest for big companies and also the scientific community. Basically, anomaly detection differs from regular pattern recognition task by the fact that only nom-anomalous (normal) samples are available for training the machine learning technique. Therefore, when a new a sample is classified, the system should recognize whether the sample belongs or not to the "normal" data model. Multivariate Gaussian Distributions is one of the oldest and most used techniques among others available, which models the set of normal samples as Gaussian Distributions, and classifies any sample outside those distributions as an anomaly. However, this approach presents a problem related to the parameter estimation, which is performed in a non-supervised classification. In this work, we propose to study the behavior of the Optimum Path Forest (OPF) classifier to (i) estimate the parameters of Gaussian distributions, as well as to compare it against with some of the most used techniques for this task, and (ii) to develop a new anomaly detection technique centered in the OPF functionalities. The experimental results applied in synthetic and real datasets show that OPF classifier achieved best results for both tasks, since its initial parameters are less sensible than the other techniques, which makes a great difference for datasets when "normal" samples are represented by many clusters / Mestre
Ciência da computação.
Floresta de caminhos ótimos.
Distribuição Gaussiana.
Computer science

Page generated in 0.1413 seconds