Classificação de conteúdo malicioso baseado em floresta de caminhos ótimos /

Fernandes, Dheny.

January 2016

Orientador: João Paulo Papa / Coorientador: Kelton Augusto Pontara da Costa / Banca: Aparecido Nilceu Marana / Banca: Jurandy Gomes Almeida Jr. / Resumo: O advento da Internet trouxe amplos benefícios nas áreas de comunicação, entretenimento, compras, relações sociais, entre outras. Entretanto, várias ameaças começaram a surgir nesse cenário, levando pesquisadores a criar ferramentas para lidar com elas. Spam, malwares, conteúdos maliciosos, pishing, fraudes e falsas URLs são exemplos de ameaças. Em contrapartida, sistemas antivírus, firewalls e sistemas de detecção e prevenção de intrusão são exemplos de ferramentas de combate às tais ameaças. Principalmente a partir de 2010, encabeçado pelo malware Stuxnet, as ameaças tornaram-se muito mais complexas e persistentes, fazendo com que as ferramentas até então utilizadas se tornassem obsoletas. O motivo é que tais ferramentas, baseadas em assinaturas e anomalias, não conseguem acompanhar tanto a velocidade de desenvolvimento das ameaças quanto sua complexidade. Desde então, pesquisadores têm voltado suas atenções a métodos mais eficazes para se combater ciberameaças. Nesse contexto, algoritmos de aprendizagem de máquina estão sendo explorados na busca por soluções que analisem em tempo real ameaças provenientes da internet. Assim sendo, este trabalho tem como objetivo analisar o desempenho dos classificadores baseados em Floresta de Caminhos Ótimos, do inglês Optimum-path Forest (OPF), comparando-os com os demais classificadores do estado-da-arte. Para tanto, serão analisados dois métodos de extração de características: um baseado em tokens e o outro baseado em Ngrams, sendo N igual a 3. De maneira geral, o OPF mais se destacou no não bloqueio de mensagens legítimas e no tempo de treinamento. Em algumas bases a quantidade de spam corretamente classificada também foi alta. A versão do OPF que utiliza grafo completo foi melhor, apesar de que em alguns casos a versão com grafo knn se sobressaiu. Devido às exigências atuais em questões de segurança, o OPF, pelo seu rápido tempo de treinamento,... / Abstract: The advent of Internet has brought widespread benefits in the areas of communication, entertainment, shopping, social relations, among others. However, several threats began to emerge in this scenario, leading researchers to create tools to deal with them. Spam, malware, malicious content, phishing, fraud and false URLs are some examples of these threats. In contrast, anti-virus systems, firewalls and intrusion detection and prevention systems are examples of tools to combat such threats. Especially since 2010, headed by the Stuxnet malware, threats have become more complex and persistent, making the tools previously used became obsolete. The reason is that such tools based on signatures and anomalies can not follow both the speed of development of the threats and their complexity. Since then, researchers have turned their attention to more effective methods to combat cyber threats. In this context, machine learning algorithms are being exploited in the search for solutions to analyze real-time threats from the internet. Therefore, this study aims to analyze the performance of classifiers based on Optimum-path Forest, OPF, comparing them with the other state-of-the-art classifiers. To do so, two features extraction methods will be analyzed: one based on tokens and other based on Ngrams, considering N equal 3. Overall, OPF stood out in not blocking legitimate messages and training time. In some bases the amount of spam classified correctly was high as well. The version that uses complete graph was better, although in some cases the version that makes use of knn graph outperformed it. Due to the current demands on security issues, OPF, considering its fast training time, can be improved in its effectiveness aiming at a real application. In relation to feature extraction methods, 3gram was better, improving OPF's results / Mestre

Ciência da computação - Matemática.

Floresta de caminhos ótimos.

Aprendizado do computador.

Spam (Mensagens eletrônicas)

Computer science

Detecção de intrusão em redes de computadores com estatísticas PDF e classificadores neurais

Jorge, Leandro Silva

19 August 2006

Made available in DSpace on 2016-03-15T19:37:47Z (GMT). No. of bitstreams: 1 LEANDRO_JORGE_ENG.pdf: 1440194 bytes, checksum: ee0f29b7d9c5a94f4c02a4381d985780 (MD5) Previous issue date: 2006-08-19 / This work is a study about architectures, methods and results on computer networks intrusion detection to avoid Denial-of-Services attacks. The main techniques used were: packet-oriented window observation, structured hierarchical processes, anomaly based network intrusion detection by monitoring several network traffic parameters simultaneously. The Probability Density Function (PDF) has been used and statistically compared it to normal behavior referenced functions using similarity metrics. The results have been combined into an anomaly status vector classified by a neural network classifier. Two data sets have been tested to measure the performance of the proposed approach: the OPNET simulations data and the DARPA98 intrusion detection evaluation data. The results showed reliable detection in DoS attacks with high accuracy and very low false alarm rates on all data sets. / Este trabalho é um estudo sobre arquiteturas, métodos e resultados na detecção de intrusão em redes de computadores, no reconhecimento de ataques de negação de serviços (DoS Denial-of-Service). As técnicas empregadas foram orientadas a pacotes, em janelas de observação, utilizando processos de detecção de intrusão hierárquicos, em múltiplas camadas, baseados em anomalias de rede, monitorando vários parâmetros de tráfego de rede simultaneamente. Foram utilizadas funções densidade de probabilidade (PDF Probability Density Functions), estatisticamente comparadas com funções de referência de comportamento normal, utilizando-se de métricas de similaridade, combinando os resultados em vetores de status de anomalias que foram classificados por rede neurais. Dois conjuntos de dados foram utilizados para testar o desempenho dos métodos adotados: dados de simulações OPNET e dados de avaliação de detecção de intrusão DARPA98. Os resultados demonstraram detecção confiável de ataques DoS com grande precisão e taxas muito baixas de alarmes falsos nos conjuntos de dados analisados.

detecção de intrusão

redes de computadores

função densidade de probabilidade

redes neurais

intrusion detection

computer networks

density probability function

neural networks

CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA

MODELO DE IDS PARA USUÁRIOS DE DISPOSITIVOS MÓVEIS / IDS MODEL FOR USERS OF MOBILE DEVICES

SILVA, Aline Lopes da

26 June 2008

Made available in DSpace on 2016-08-17T14:52:48Z (GMT). No. of bitstreams: 1 Aline lopes.pdf: 2261944 bytes, checksum: 0cbbb27a7a17ab362f4fce42298c4b45 (MD5) Previous issue date: 2008-06-26 / Mobile devices are increasing common reality in wireless networks and have integrated the wireless environment, helping to ease and to make available information. Meanwhile, the wireless environment is subject to vulnerabilities because of the way of spreading information that is given through the air, and is subject to interception or even information theft. Mobile Devices in addition of its vulnerability to these vulnerabilities common in wireless environments, are devices with some physical limitations such as lack of processing capacity and memory, beyond the limited battery life. These limitations become critical in this kind of environment, when unidentified threats attack are directed mobile devices. It is necessary to develop an intrusion detection system dedicated to these devices to identify intrusive behaviour, taking into account their physical limitations. This work proposes an intrusion detection system (IDS, Intrusion Detection System) for wireless networks and mobile devices. This is an adaptation and extension of NIDIA-IDS (Intrusion Detection System-Network Intrusion Detection System based on Intelligent Agents). The system acts with two processes: the first one is an information tracking on the device performance and the second one is a wireless network traffic monitoring, analyzing both the traffic of monitored devices. As proof of concepts a prototype was developed and some experiments were carried to validate this solution. / Os dispositivos móveis são uma realidade cada vez mais comum em redes wireless e se integraram ao ambiente wireless, contribuindo para facilidade e disponibilidade da informação. Entretanto, o ambiente wireless está sujeito a vulnerabilidades, devido à forma de propagação da informação que se dá através do ar, estando sujeito a intercepção ou até mesmo roubo das informações. Dispositivos móveis além de estarem sujeitos a essas vulnerabilidades comuns em ambientes wireless, são dispositivos com algumas limitações físicas, como pouca capacidade de processamento e memória, além da vida útil de bateria limitada. Estas limitações tornam-se críticas neste tipo ambiente, quando ameaças não identificadas são direcionadas a dispositivos móveis. Torna-se necessário a implementação de sistema de detecção de intrusão voltado para estes dispositivos a fim de identificar comportamentos intrusivos, levando em consideração suas limitações físicas. Este trabalho propõe um sistema de detecção de intrusão (IDS, Intrusion Detection System) em redes wireless destinados a dispositivos móveis como adaptação e extensão do IDS-NIDIA (Intrusion Detection System- Network Intrusion Detection System based on Intelligent Agents). O mecanismo utiliza dois processos: o primeiro faz o monitoramento de informações sobre o comportamento do dispositivo e o segundo através do monitoramento de tráfego da rede wireless, analisando o tráfego destinado e originado aos dispositivos monitorados. A implementação da arquitetura e os testes realizados demonstram a viabilidade da solução.

Segurança

Detecção de Intrusão

Dispositivos Móveis

Redes sem Fio

Security

Intrusion Detection

Mobile Devices

Wireless Network

Tolerância a Falhas para o NIDIA: um Sistema de detecção de Intrusão Baseado em Agentes Inteligentes / Tolerance the Imperfections for the NIDIA: a Detection system of Intrusion Based on Intelligent Agents

SIQUEIRA, Lindonete Gonçalves

10 July 2006

Made available in DSpace on 2016-08-17T14:53:02Z (GMT). No. of bitstreams: 1 Lindonete Siqueira.pdf: 1117970 bytes, checksum: 5ae44660dd82bbb5725821410930f632 (MD5) Previous issue date: 2006-07-10 / An Intrusion Detection System (IDS) is one tool among several existing ones to provide safety to a computational system. The IDS has the objective of identifying individuals that try to use a system in non-authorized way or those that have authorization but are abusing of their privileges. However, to accomplish the functions correctly an IDS needs to guarantee reliability and availability of its own application. The IDS should provide continuity to its services in case of faults, mainly faults caused by malicious actions. This thesis proposes a fault tolerance mechanism for the Network Intrusion Detection System based on Intelligent Agents Project (NIDIA), an intrusion detection system based on the agents technology. The mechanism uses two approaches: monitoring the system and replication of agents. The mechanism has a society of agents that monitors the system to collect information related to its agents and hosts and to provide an appropriate recovery for each type of detected fault. Using the information that is collected, it is possible: to discover agents that are not active; determine which agents must be replicated and which replication strategy must be used. The replication type depends on the type of each agent and its importance for the system in different moments of processing. Moreover, this monitoring allows to accomplish other important tasks such as load balancing, migration, and detection of malicious agents, to guarantee safety of the proper IDS (self protection). The implementation of the proposed architecture and the illustrated tests demonstrate the viability of the solution. / Entre as diversas ferramentas existentes para prover segurança a um sistema computacional destaca-se o Sistema de Detecção de Intrusão (SDI). O SDI tem como objetivo identificar indivíduos que tentam usar um sistema de modo não autorizado ou que tem autorização, mas abusam dos seus privilégios. Porém, um SDI para realizar corretamente sua função precisa, de algum modo, garantir confiabilidade e disponibilidade a sua própria aplicação. Portanto, o SDI deve dar continuidade aos seus serviços mesmo em caso de falhas, principalmente falhas causadas por açõe maliciosas. Esta dissertação propõe um mecanismo de tolerância a falhas para o Projeto Network Intrusion Detection System based on Intelligent Agents (NIDIA), um sistema de detecção de intrusão baseado na tecnologia de agentes. O mecanismo utiliza duas abordagens: o monitoramento do sistema e a replicação de agentes. O mecanismo possui uma sociedade de agentes que monitora o sistema para coletar informações relacionadas aos seus agentes e hosts e para prover uma recuperação adequada para cada tipo de falha detectada. Usando a informação que é coletada, o sistema pode: descobrir os agentes não ativos; determinar quais os agentes que devem ser replicados e qual estratégia de replicação deve ser usada. A estratégia de replicação depende do tipo de cada agente e da importância do agente para o sistema em diferentes momentos do processamento. Além disso, esse monitoramento também permite realizar outras importantes tarefas tais como balanceamento de carga, migração, e detecção de agentes maliciosos, para garantir a segurança do próprio SDI (self protection). A implementação da arquitetura proposta e os testes realizados demonstram a viabilidade da solução.

Segurança

Detecção de Intrusão

Tolerância a Falhas

Sistema Multiagente

Confiabilidade

Security

Intrusion Detection

Fault Tolerance

Multiagent System

Reliability

UM MODELO DE DETECÇÃO DE INTRUSÃO PARA AMBIENTES DE COMPUTAÇÃO EM NUVEM / A MODEL OF INTRUSION DETECTION FOR ENVIRONMENTS OF CLOUD COMPUTING

ARAÚJO, Josenilson Dias

28 June 2013

Made available in DSpace on 2016-08-17T14:53:24Z (GMT). No. of bitstreams: 1 Dissertacao Josenilson.pdf: 3842701 bytes, checksum: 33761f8b37e7f3c354f33c31fcb658cf (MD5) Previous issue date: 2013-06-28 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / The elasticity and large consumption of computational resources are becoming attractive for intruders to exploit the cloud vulnerabilities to launch attacks or have access of private and privileged data of cloud users. In order to effectively protect the cloud and its users, the IDS must have the capability to quickly scale up and down the quantity of sensors according to the resources provisioned, besides of isolating the access to the system levels and infrastructure. The protection against internal cloud threats must be planned because of the non-adequate threatening identification system in most protection systems. For this, the proposed solution uses virtual machines features as fast recovery, start, stop, migration to other hosts and cross-platform execution in IDS based VM, to monitor the internal environment of the cloud virtual machines by inserting data capture sensors at the local network of the VM users, this way, it can detect suspicious user behaviors. / A elasticidade e abundante disponibilidade de recursos computacionais são atrativos para intrusos explorarem vulnerabilidades da nuvem, podendo assim lançar ataques contra usuários legítimos para terem acesso a dados privados e privilegiados. Para proteger efetivamente os usuários da nuvem, um Sistema de Detecção de Intrusão ou IDS deve ter a capacidade de expandir-se, aumentado ou diminuindo rapidamente a quantidade de sensores, de acordo com o provisionamento de recursos, além de isolar o acesso aos níveis de sistema e infraestrutura. A proteção contra ameaças internas na nuvem deve ser planejada, pois a maioria dos sistemas de proteção não identifica adequadamente ameaças internas ao sistema. Para isso, a solução proposta utiliza as características de máquinas virtuais como rápida inicialização, rápida recuperação, parada, migração entre diferentes hosts e execução em múltiplas plataformas na construção de um IDS que visa monitorar o ambiente interno de máquinas virtuais da nuvem, inserindo sensores de captura de dados na rede local das VMs dos usuários, podendo assim detectar comportamentos suspeitos dos usuários.

Computação em Nuvem

Sistema de detecção de intrusão

Máquinas virtuais

Elasticidade

Cloud computing

Intrusion detection system

Virtual machines

Elasticity

MECANISMO DE TOLERÂNCIA A FALHAS PARA O EICIDS: sistema de detecção de intrusão elástico e interno baseado em nuvem / MECHANISM OF FAULT TOLERANCE FOR EICIDS ELASTIC AND INTERNAL CLOUD-BASED INTRUSION DETECTION SYSTEM

RODRIGUES, Dhileane de Andrade

16 June 2014

Made available in DSpace on 2016-08-17T14:53:29Z (GMT). No. of bitstreams: 1 DISSERTACAO Dhileane de Andrade Rodrigues.pdf: 3735040 bytes, checksum: e5dbef2dca083d027d13e79c9e57a595 (MD5) Previous issue date: 2014-06-16 / Conselho Nacional de Desenvolvimento Científico e Tecnológico / Cloud computing is increasingly in evidence in the world for its elasticity, in providing resources. The characteristics of cloud computing make the environment attractive for intrusion and therefore vulnerable to attack. Therefore, there is a need for adequate tools to provide security in the cloud. A tool that is currently proposed to maintain security in the cloud is the Intrusion Detection Systems (IDS), since its objective is to identify individuals who attempt unauthorized use an or abusive the system with its privileges . Although numerous studies aimed at detection area intrusion into the cloud computing environment, there are many problems faced in area, such as: the elasticity of the components, selfprotection, the availability of the services, self-resilient study with no single point of failure and automatic response actions based on the set of policies. To properly perform the function in the cloud, the IDS should have the ability to quickly increase or decrease the number of sensors, according to the elasticity of the cloud. Besides providing the ability to expand, the SDI should ensure reliability and availability of their own applications. An SDI in the cloud should continue its services even before failures, especially failures arising from malicious actions. This dissertation proposes a mechanism for fault tolerance and Internal Elastic Cloudbased Intrusion Detection System (EICIDS), an intrusion detection system based on dynamic virtualization. The mechanism uses some technique: monitoring system, echo and replication. The mechanism has a group of components that monitor the system to collect the IDS behavior and information of the Virtual machines (VMs) to provide adequate recovery. Using the information that is collected, the system can: find the inactive VMs; discover VMs with malicious actions and discover applications being used in an improper form. Replication occurs at the moment no communication exists between the components of SDI nodes that are located in the element and Central. In addition, this monitoring allows also perform other important tasks such as signal output for all VMs if a malicious action is detected, block malicious user, and monitoring of the central element, to ensure the safety of SDI itself (selfprotection). The implementation of the proposed architecture and testing demonstrate the feasibility of the solution. / A computação em nuvem está cada vez mais em evidencia no mundo pela sua forma de disponibilizar recursos e sua elasticidade. Tais características tornam esse ambiente um atrativo para a intrusão e consequentemente vulnerável a ataques. Portanto, há uma necessidade de ferramentas adequadas para prover a segurança na nuvem. Entre as diversas ferramentas que atualmente foram propostas para manter a segurança na nuvem destaca-se o Sistema de Detecção de Intrusão (SDI), uma vez que seu objetivo é identificar indivíduos que tentam usar um sistema de forma não autorizado ou abusivo, ou seja, abusa dos privilégios concedidos aos mesmos. Embora inúmeras pesquisas direcionadas à área de detecção de intrusão no ambiente de CN, muitos são os problemas enfrentados por essa técnica, tais como: a elasticidade dos componentes, a autoproteção, a disponibilidade dos seus serviços, a auto resistente sem nenhum ponto único de falha e proporcionar ações de resposta automática com base no conjunto de políticas. Um SDI para realizar corretamente sua função na nuvem, deve possuir a capacidade de aumentar ou diminuir rapidamente a quantidade de sensores, de acordo com a elasticidade da nuvem. Além de prover a capacidade de expandir-se o SDI deve garantir a confiabilidade e disponibilidade de suas próprias aplicações. Assim sendo, um SDI aplicado na nuvem deve dar continuidade aos seus serviços mesmo diante de falhas, principalmente falhas oriundas de ações maliciosas. Esta dissertação propõe um mecanismo de tolerância a falhas para o Elastic and Internal Cloud-based Intrusion Detection System (EICIDS), um sistema de detecção de intrusão baseado em virtualização e dinâmico. O mecanismo utiliza algumas técnicas: o monitoramento do sistema, emissão de echo e a replicação. O mecanismo possui um grupo de componentes que monitoram o sistema para coletar informações relacionadas aos comportamento do próprio SDI e das Virtual machines (VMs) para prover a recuperação adequada. Usando a informação que é coletada, o sistema pode: descobrir as VMs inativas; descobrir VMs com ações maliciosas e descobrir aplicações que estão sendo usadas de forma indevidas. A replicação ocorre no momento em que não existe comunicação entre os componentes do SDI que se localizam nos nodes e o elemento central. Além disso, esse monitoramento também permite realizar outras importantes tarefas tais como: emissão de sinal para todas as VMs se uma ação maliciosa for detectada, bloquei de usuário mal intencionado, e monitoramento do elemento central, para garantir a segurança do próprio SDI (Self protection). A implementação da arquitetura proposta e os testes realizados demostram a viabilidade da solução.

Computação em Nuvem

Detecção de Intrusão

Tolerância a Falhas

Virtualização

Cloud Computing

Intrusion Detection

Fault Tolerance

Virtualization

Sistema embarcado inteligente para detecção de intrusão em subestações de energia elétrica utilizando o Protocolo OpenFlow / Embedded intelligent system for intrusion detection in electric power substations using the OpenFlow protocol

Silva, Lázaro Eduardo da

05 October 2016

O protocolo International Electrotechnical Commission (IEC)-61850 tornou possível integrar os equipamentos das subestações de energia elétrica, através de uma rede de comunicação de dados Ethernet de alta velocidade. A utilização deste protocolo tem como objetivo principal a interligação dos Intelligent Electronic Devices (IEDs) para a automatização dos processos no sistema elétrico. As contribuições deste protocolo para a integração do controle e supervisão do sistema elétrico são diversas, porém, o fato de utilizar uma rede de comunicação de dados Ethernet integrada expõe o sistema elétrico à ataques cibernéticos. A norma IEC-62351 estabelece uma série de recomendações para prover segurança à rede de comunicação do sistema elétrico, dentre elas, o gerenciamento da rede de comunicação, a análise dos campos da mensagem Generic Object Oriented Substation Event (GOOSE) e a utilização de sistemas de detecção de intrusão. O presente trabalho descreve o desenvolvimento de um Intrusion Detection System (IDS) que atende os requisitos de segurança propostos pelo protocolo IEC-62351, para a identificação de ataques à comunicação realizada por mensagens GOOSE do protocolo IEC-61850, e entre equipamentos do sistema elétrico. Para o desenvolvimento desta aplicação, foram identificados os campos que compõem as mensagens GOOSE, de forma a reconhecer os valores esperados em diferentes situações de operação do sistema elétrico. Determinaram-se padrões de comportamento a serem utilizados para discernir mensagens falsas na rede de comunicação. Instalou-se e configurou-se um sistema operacional de tempo real embarcado na plataforma de desenvolvimento Zynq Board (ZYBO), juntamente com o controlador Open-Mul, para gerenciar a rede de comunicação da subestação, através do protocolo OpenFlow, realizando otimizações para o tráfego multicast. Foi desenvolvido um sistema de detecção e bloqueio de mensagens GOOSE falsas que utiliza o protocolo OpenFlow para controle da rede de comunicação do Sistema Elétrico. Desenvolveu-se ainda um sistema inteligente, utilizando-se uma Rede Neural Artificial (RNA) Nonlinear Autoregressive Model with Exogenous Input (NARX), para predição do tráfego realizado por mensagens GOOSE e detecção de ataques Distributed Deny of Service (DDOS). Os resultados obtidos demonstraram que o protocolo OpenFlow pode ser uma ferramenta interessante para controle da rede, porém, os fabricantes necessitam amadurecer sua implementação nos switches, para que sejam utilizados em produção nas redes de comunicação das subestações. O sistema de predição do tráfego gerado por mensagens GOOSE apresentou benefícios interessantes para a segurança da rede de comunicação, demonstrando potencial para compor um sistema de detecção de ataques DDOS realizado por mensagens GOOSE, na rede de comunicação das subestações de energia elétrica. / The IEC-61850 made it possible to integrate equipments of electric power system substations to a high-speed Ethernet data communication network. Its main goal is the interconnection of IEDs for the automation of processes in an electrical system. The contributions of this protocol for the integration of the control and supervision of the electrical system are diverse, although an Ethernet network exposes the electrical system for cyber attacks. The IEC-62351 states a series of recommendations to provide security to the communication network of the electrical system, such as the communication network management, the analysis of GOOSE messages and the use of intrusion detection systems. This study describes the development of an IDS that meets the security requirements proposed by the IEC-62351 standard to identify attacks on communication between GOOSE messages exchanged by electrical equipment using IEC-61850. For the development of this application, fields of the GOOSE messages were identified, in order to recognize the expected values in different power system operating conditions. Behaviour patterns were determined to detect false messages on the communication network. A real-time embedded operating system on ZYBO was installed and configured, as well as the OpenMul controller to manage the communication network of the substation through the OpenFlow protocol, performing optimizations for multicast traffic. A detection system and block tamper GOOSE messages, using the OpenFlow protocol for control of the electrical system communication network, were developed. In addition, an intelligent system using an Artificial Neural Network (ANN) Nonlinear Autoregressive Model with Exogenous Input (NARX) for predicting of the GOOSE messages traffic and the detection of Distributed Deny of Service attack (DDOS) were also developed. The results obtained show that the OpenFlow protocol may be a valuable tool for network control, however, manufacturers should maturely carry on with its implementation in the switches, so that it be used in substation communication networks. The traffic prediction system of the GOOSE messages presented interesting benefits for the security of the communication network, demonstrating potential to built a DDOS attack detection system performed by GOOSE messages on the communication network of electric power substations.

Cyber security

Data communication network

Embedded system

IEC-61850

IEC-61850

IEC-62351

IEC-62351

Intelligent system

Intrusion detection system

Power system

Redes de comunicação de dados

Segurança cibernética

Sistema de detecção de intrusão

Sistema elétrico

Sistema embarcado

Sistema inteligente

Sistema embarcado inteligente para detecção de intrusão em subestações de energia elétrica utilizando o Protocolo OpenFlow / Embedded intelligent system for intrusion detection in electric power substations using the OpenFlow protocol

Lázaro Eduardo da Silva

05 October 2016

O protocolo International Electrotechnical Commission (IEC)-61850 tornou possível integrar os equipamentos das subestações de energia elétrica, através de uma rede de comunicação de dados Ethernet de alta velocidade. A utilização deste protocolo tem como objetivo principal a interligação dos Intelligent Electronic Devices (IEDs) para a automatização dos processos no sistema elétrico. As contribuições deste protocolo para a integração do controle e supervisão do sistema elétrico são diversas, porém, o fato de utilizar uma rede de comunicação de dados Ethernet integrada expõe o sistema elétrico à ataques cibernéticos. A norma IEC-62351 estabelece uma série de recomendações para prover segurança à rede de comunicação do sistema elétrico, dentre elas, o gerenciamento da rede de comunicação, a análise dos campos da mensagem Generic Object Oriented Substation Event (GOOSE) e a utilização de sistemas de detecção de intrusão. O presente trabalho descreve o desenvolvimento de um Intrusion Detection System (IDS) que atende os requisitos de segurança propostos pelo protocolo IEC-62351, para a identificação de ataques à comunicação realizada por mensagens GOOSE do protocolo IEC-61850, e entre equipamentos do sistema elétrico. Para o desenvolvimento desta aplicação, foram identificados os campos que compõem as mensagens GOOSE, de forma a reconhecer os valores esperados em diferentes situações de operação do sistema elétrico. Determinaram-se padrões de comportamento a serem utilizados para discernir mensagens falsas na rede de comunicação. Instalou-se e configurou-se um sistema operacional de tempo real embarcado na plataforma de desenvolvimento Zynq Board (ZYBO), juntamente com o controlador Open-Mul, para gerenciar a rede de comunicação da subestação, através do protocolo OpenFlow, realizando otimizações para o tráfego multicast. Foi desenvolvido um sistema de detecção e bloqueio de mensagens GOOSE falsas que utiliza o protocolo OpenFlow para controle da rede de comunicação do Sistema Elétrico. Desenvolveu-se ainda um sistema inteligente, utilizando-se uma Rede Neural Artificial (RNA) Nonlinear Autoregressive Model with Exogenous Input (NARX), para predição do tráfego realizado por mensagens GOOSE e detecção de ataques Distributed Deny of Service (DDOS). Os resultados obtidos demonstraram que o protocolo OpenFlow pode ser uma ferramenta interessante para controle da rede, porém, os fabricantes necessitam amadurecer sua implementação nos switches, para que sejam utilizados em produção nas redes de comunicação das subestações. O sistema de predição do tráfego gerado por mensagens GOOSE apresentou benefícios interessantes para a segurança da rede de comunicação, demonstrando potencial para compor um sistema de detecção de ataques DDOS realizado por mensagens GOOSE, na rede de comunicação das subestações de energia elétrica. / The IEC-61850 made it possible to integrate equipments of electric power system substations to a high-speed Ethernet data communication network. Its main goal is the interconnection of IEDs for the automation of processes in an electrical system. The contributions of this protocol for the integration of the control and supervision of the electrical system are diverse, although an Ethernet network exposes the electrical system for cyber attacks. The IEC-62351 states a series of recommendations to provide security to the communication network of the electrical system, such as the communication network management, the analysis of GOOSE messages and the use of intrusion detection systems. This study describes the development of an IDS that meets the security requirements proposed by the IEC-62351 standard to identify attacks on communication between GOOSE messages exchanged by electrical equipment using IEC-61850. For the development of this application, fields of the GOOSE messages were identified, in order to recognize the expected values in different power system operating conditions. Behaviour patterns were determined to detect false messages on the communication network. A real-time embedded operating system on ZYBO was installed and configured, as well as the OpenMul controller to manage the communication network of the substation through the OpenFlow protocol, performing optimizations for multicast traffic. A detection system and block tamper GOOSE messages, using the OpenFlow protocol for control of the electrical system communication network, were developed. In addition, an intelligent system using an Artificial Neural Network (ANN) Nonlinear Autoregressive Model with Exogenous Input (NARX) for predicting of the GOOSE messages traffic and the detection of Distributed Deny of Service attack (DDOS) were also developed. The results obtained show that the OpenFlow protocol may be a valuable tool for network control, however, manufacturers should maturely carry on with its implementation in the switches, so that it be used in substation communication networks. The traffic prediction system of the GOOSE messages presented interesting benefits for the security of the communication network, demonstrating potential to built a DDOS attack detection system performed by GOOSE messages on the communication network of electric power substations.

IEC-61850

IEC-62351

Redes de comunicação de dados

Segurança cibernética

Sistema de detecção de intrusão

Sistema elétrico

Sistema embarcado

Sistema inteligente

Cyber security

Data communication network

Embedded system

IEC-61850

IEC-62351

Intelligent system

Intrusion detection system

Power system

Detecção de intrusos em redes de computadores com uso de códigos corretores de erros e medidas de informação. / Intrusion detection in computer networks using error correction codes and information measures.

LIMA, Christiane Ferreira Lemos.

13 August 2018

Submitted by Johnny Rodrigues (johnnyrodrigues@ufcg.edu.br) on 2018-08-13T19:50:34Z No. of bitstreams: 1 CHRISTIANE FERREIRA LEMOS LIMA - TESE PPGEE 2013..pdf: 5704501 bytes, checksum: da700470760daace1ac791c6514082a3 (MD5) / Made available in DSpace on 2018-08-13T19:50:34Z (GMT). No. of bitstreams: 1 CHRISTIANE FERREIRA LEMOS LIMA - TESE PPGEE 2013..pdf: 5704501 bytes, checksum: da700470760daace1ac791c6514082a3 (MD5) Previous issue date: 2013-04-19 / Capes / Este trabalho de tese tem como objetivo principal apresentar um novo esquema, direcionado à proteção de sistemas computacionais contra a ocorrência de invasões, fazendo uso de códigos corretores de erros e de medidas de informação. Para isto, considera-se que a identificação de diferentes tipos de ataques a uma rede de computadores pode ser vista como uma tarefa de classificação multiclasses, por envolver a discriminação de ataques em diversos tipos ou categorias. Com base nessa abordagem, o presente trabalho apresenta uma estratégia para classificação multiclasses, baseada nos princípios dos códigos corretores de erros, tendo em vista que para cada uma dasM classes do problema proposto é associada a um conjunto de palavras códigos de comprimento igual a N, em que N é o número de atributos, selecionados por meio de medidas de informação, e que serão monitorados por dispositivos de software, aqui chamados de detectores de rede e detectores dehost. Nesta abordagem, as palavras código que formam uma tabela são restritas a um sub-código de um código linear do tipo BCH (Bose-ChaudhuriHocquenghem), permitindo que a etapa de decodificação seja realizada, utilizando-se algoritmos de decodificação algébrica, o que não é possível para palavras código selecionadas aleatoriamente. Nesse contexto, o uso de uma variante de algoritmo genético é aplicado no projeto da tabela que será utilizada na identificação de ataques em redes de computadores. Dentre as contribuições efetivas desta tese, cujas comprovações são demonstradas em experimentos realizados por simulação computacional, tem-se a aplicação da teoria da codificação para a determinação de palavras código adequadas ao problema de detectar intrusões numa rede de computadores; a determinação dos atributos por meio do uso de árvores de decisão C4.5 baseadas nas medidas de informação de Rényi e Tsallis; a utilização de decodificação algébrica, baseado nos conceitos de decodificação tradicional e na decodificação por lista. / The thesis’s main objective is to present a scheme to protect computer networks against the occurrence of invasions by making use of error correcting codes and information measures. For this, the identification of attacks in a network is viewed as a multiclass classification task because it involves attacks discrimination into various categories. Based on this approach, this work presents strategies for multiclass problems based on the error correcting codes principles, where eachM class is associated with a codeword of lengthN, whereN is the number of selected attributes, chosen by use of information measures. These attributes are monitored by software devices, here called network detectors and detectors host. In this approach, the codewords that form a codewords table are a sub-code of a BCH-type linear code. This approach allows decoding step to be performed using algebraic decoding algorithms, what is not possible with random selected codewords. In this context, the use of a variant of genetic algorithm are applied in the table-approach design to be used in attacks identification in networks. The effective contributions of this thesis, demonstrated on the cientific experiments, are: the application of coding theory to determine the appropriate code words to network intrusion detection; the application of C4.5 decision tree based on information measurements of Rényi and Tsallis for attributes selection; the use of algebraic decoding, based on the concepts of the traditional decoding and list decoding techniques.

Engenharia Elétrica.

Detecção de intrusos - redes

Redes de computadores - intrusos

Árvore de decisão

Algoritmos genéticos

Detecção de intrusão

Decision tree

Intrusion detection

Proteção de sistemas computacionais

Segurança da informação digital

Ataques a redes de computadores

Digital information security

Security of information systems

Modelo de IDS Remoto baseado na tecnologia de Agentes, Web Services e MDA / Model IDS Remote based on BitTorrent Agents, Web Services and MDA

SILVA, Mauro Lopes Carvalho

01 December 2006

Made available in DSpace on 2016-08-17T14:53:16Z (GMT). No. of bitstreams: 1 Mauro Lopes.pdf: 3194169 bytes, checksum: 5496ba534a60c6689d7701eda431ad46 (MD5) Previous issue date: 2006-12-01 / In the current state of the Internet, information security presents a permanent concern. In many cases, information security is vital a maintenance and continuity of the businesses. The organizations have used the Internet as one of the main points for rendering of services for other organizations as well as for their final users. We can cite some organizations such as Banks, Institutions of Education, Administrators of Credit cards and the Federal Government. The use of Security policies associated with a set of tools such as Firewall, Antivirus and IDS (Intrusion Detection System) have helped organizations to achieve some security and thus allowing the continuity of the businesses. On the other extremity of the rendering of services for organizations we have the final users. The necessity for effectiveness in computational security to the final users has increased in function of the considerable growth on the occurrence of attacks to this type of user. This problem creates a niche for the research in security directed to the final user. This work is motivated by the above problem. Our work consists of a proposal of a model and an implementation of a Remote IDS (Intrusion Detection System) using the technology of Multi-agent Systems, Web Services and MDA (Model-Driven Architecture). This model adapts and extends the NIDIA (Network Intrusion Detection System based on Intelligent Agents) to provide a remote IDS on the Internet. The purpose is that users that do not have a local IDS can use the services provided by a remote IDS (e.g. NIDIA). NIDIA is an IDS whose architecture consists of a set of cooperative agents. The Remote IDS functionalities are provided as a set of accessible services on the Internet through Web Services. The architecture of our IDS uses MDA to support metadata management such as profiles of configurations, profiles of users and profiles of services. The prototype of the proposed model and the tests demonstrate the viability of our solution. An illustrative example of the execution of the Remote IDS is presented. / No atual contexto da Internet, a segurança da informação constitui-se uma preocupação permanente. Em muitos casos, a segurança da informação é vital para a manutenção e continuidade dos negócios. As organizações têm usado a Internet como um dos principais pontos para a prestação de serviços para outras organizações assim como para seus usuários finais. Podemos citar algumas organizações como Bancos, Instituições de Ensino, Administradoras de Cartões de Crédito e o Governo Federal. O uso de Políticas de Segurança associado ao uso de um conjunto de ferramentas, como Firewall, Antivírus e IDS (Intrusion Detection System) tem apoiado as organizações no objetivo de manter a segurança e desta forma a continuidade dos negócios. Na outra extremidade da prestação de serviços pelas organizações temos os usuários finais. A necessidade por eficácia em segurança computacional aos usuários finais tem aumentado em função do crescimento considerável na ocorrência de ataques a este tipo de usuário. Este problema cria um nicho para a pesquisa em segurança voltada ao usuário final. Esta dissertação tem por motivação esse cenário, consistindo na proposta do modelo e a implementação de um IDS Remoto usando a tecnologia de Sistemas Multiagentes, Web services e MDA (Model-Driven Architecture). O modelo adapta e extende o NIDIA (Network Intrusion Detection System based on Intelligent Agents) para prover um IDS remoto na Internet. A proposta é que usuários que não têm um IDS local possam usar os serviços providos por nosso IDS Remoto. O NIDIA é um IDS cuja arquitetura consiste em um conjunto de agentes cooperativos. As funcionalidades do IDS Remoto são providas como um conjunto de serviços acessíveis na Internet através de Web services. O nosso modelo de IDS usa MDA para suportar o gerenciamento de metadados tais como profiles de configuração, profiles de usuários e profiles de serviços. A implementação do protótipo do modelo proposto e os testes realizados demonstram a viabilidade da solução. Desta forma, um exemplo ilustrativo do funcionamento do IDS Remoto é apresentado.

Segurança

Detecção de Intrusão

Usuário Final

Multiagente

Web services

MDA

Security

Intrusion Detection

Final User

Multiagent

Web services

MDA