Desenvolvimento de uma metodologia baseada em redes neurais artificiais para a identificação de anomalias em redes de comunicação Profinet / Development of a methodology based on artificial neural networks to identify abnormalities in Profinet communication networks

Afonso Celso Turcato

25 June 2015

Este trabalho propôs o desenvolvimento e a avaliação de uma metodologia com o propósito de identificar anomalias em redes de comunicação Profinet, muito utilizadas na automação de plantas industriais. A metodologia desenvolvida está fundamentada na análise das características de comunicação do protocolo Profinet e na identificação e classificação de padrões, sendo esta, uma das principais aplicações do uso de Redes Neurais Artificiais (RNA). As anomalias são identificadas por meio da análise do tráfego de rede Profinet em sua fase de operação. Tais anomalias podem ser desde defeitos comuns apresentados pelos equipamentos da rede e/ou tentativas de ataques a esta, que por sua vez, podem gerar instabilidade e mau funcionamento da unidade industrial que fazem parte. Para o desenvolvimento deste trabalho foram apresentados: o detalhamento do protocolo Profinet, os mecanismos de segurança mais utilizados atualmente, os tipos de sistemas de detecção de anomalias existentes e os principais tipos de ataques em redes de comunicação conhecidos na literatura. Alguns ensaios para a validação da metodologia foram realizados, utilizando-se uma infraestrutura de rede instalada em laboratório. Ensaios com diferentes tipos de equipamentos interligados em rede foram realizados e os resultados apresentados. Como resultado final, demonstrou-se que a metodologia utilizada obteve êxito na identificação da presença ou ausência de anomalias na rede, sendo que os resultados obtidos podem ser considerados satisfatórios e condizentes às expectativas desta dissertação. Concluiu-se então que a metodologia apresentada é factível e aplicável no meio industrial, podendo ser incorporada a uma ferramenta mais abrangente, como os analisadores de redes Profinet. / This work proposed the development and evaluation of a methodology in order to identify anomalies in Profinet communication networks, widely used in the automation of industrial plants. The methodology is based on an analysis of the communication features of the Profinet protocol and identifying and pattern classification, which is one of the main applications of the use of Artificial Neural Networks (ANN). The anomalies are identified by analyzing the Profinet network traffic in its operation phase. Such anomalies can be provided by common defects in equipment in the network and / or attempted attacks to this, which in turn can cause instability and malfunction of the plant forming part. In development of this work were presented: the details of the Profinet protocol, the security mechanisms most widely used, the types of anomalies detection systems and the main types of attacks on communication networks known in the literature. Some assays to validate the method were performed, using a network infrastructure installed in the laboratory. Tests with different types of networked equipment were performed and the results presented. The final result showed that the methodology was successful in identifying the presence or absence of anomalies in the network, and the obtained results can be considered satisfactory and consistent with expectations of this paper. It was therefore concluded that this methodology is feasible and applicable in industrial environment and can be incorporated into a more comprehensive tool, such as analyzers Profinet networks.

Identificação de faltas e anomalias

Intrusão em redes de comunicação

Profinet

Redes de automação

Redes neurais artificiais

Segurança de redes de dados

Artificial neural networks

Automation networks

Data network security

Faults and anomalies identification

Intrusion in communication networks

Profinet

Detecção de intrusos em redes de computadores com uso de códigos corretores de erros e medidas de informação. / Intrusion detection in computer networks using error correction codes and information measures.

LIMA, Christiane Ferreira Lemos.

13 August 2018

Submitted by Johnny Rodrigues (johnnyrodrigues@ufcg.edu.br) on 2018-08-13T19:50:34Z No. of bitstreams: 1 CHRISTIANE FERREIRA LEMOS LIMA - TESE PPGEE 2013..pdf: 5704501 bytes, checksum: da700470760daace1ac791c6514082a3 (MD5) / Made available in DSpace on 2018-08-13T19:50:34Z (GMT). No. of bitstreams: 1 CHRISTIANE FERREIRA LEMOS LIMA - TESE PPGEE 2013..pdf: 5704501 bytes, checksum: da700470760daace1ac791c6514082a3 (MD5) Previous issue date: 2013-04-19 / Capes / Este trabalho de tese tem como objetivo principal apresentar um novo esquema, direcionado à proteção de sistemas computacionais contra a ocorrência de invasões, fazendo uso de códigos corretores de erros e de medidas de informação. Para isto, considera-se que a identificação de diferentes tipos de ataques a uma rede de computadores pode ser vista como uma tarefa de classificação multiclasses, por envolver a discriminação de ataques em diversos tipos ou categorias. Com base nessa abordagem, o presente trabalho apresenta uma estratégia para classificação multiclasses, baseada nos princípios dos códigos corretores de erros, tendo em vista que para cada uma dasM classes do problema proposto é associada a um conjunto de palavras códigos de comprimento igual a N, em que N é o número de atributos, selecionados por meio de medidas de informação, e que serão monitorados por dispositivos de software, aqui chamados de detectores de rede e detectores dehost. Nesta abordagem, as palavras código que formam uma tabela são restritas a um sub-código de um código linear do tipo BCH (Bose-ChaudhuriHocquenghem), permitindo que a etapa de decodificação seja realizada, utilizando-se algoritmos de decodificação algébrica, o que não é possível para palavras código selecionadas aleatoriamente. Nesse contexto, o uso de uma variante de algoritmo genético é aplicado no projeto da tabela que será utilizada na identificação de ataques em redes de computadores. Dentre as contribuições efetivas desta tese, cujas comprovações são demonstradas em experimentos realizados por simulação computacional, tem-se a aplicação da teoria da codificação para a determinação de palavras código adequadas ao problema de detectar intrusões numa rede de computadores; a determinação dos atributos por meio do uso de árvores de decisão C4.5 baseadas nas medidas de informação de Rényi e Tsallis; a utilização de decodificação algébrica, baseado nos conceitos de decodificação tradicional e na decodificação por lista. / The thesis’s main objective is to present a scheme to protect computer networks against the occurrence of invasions by making use of error correcting codes and information measures. For this, the identification of attacks in a network is viewed as a multiclass classification task because it involves attacks discrimination into various categories. Based on this approach, this work presents strategies for multiclass problems based on the error correcting codes principles, where eachM class is associated with a codeword of lengthN, whereN is the number of selected attributes, chosen by use of information measures. These attributes are monitored by software devices, here called network detectors and detectors host. In this approach, the codewords that form a codewords table are a sub-code of a BCH-type linear code. This approach allows decoding step to be performed using algebraic decoding algorithms, what is not possible with random selected codewords. In this context, the use of a variant of genetic algorithm are applied in the table-approach design to be used in attacks identification in networks. The effective contributions of this thesis, demonstrated on the cientific experiments, are: the application of coding theory to determine the appropriate code words to network intrusion detection; the application of C4.5 decision tree based on information measurements of Rényi and Tsallis for attributes selection; the use of algebraic decoding, based on the concepts of the traditional decoding and list decoding techniques.

Engenharia Elétrica.

Detecção de intrusos - redes

Redes de computadores - intrusos

Árvore de decisão

Algoritmos genéticos

Detecção de intrusão

Decision tree

Intrusion detection

Proteção de sistemas computacionais

Segurança da informação digital

Ataques a redes de computadores

Digital information security

Security of information systems

RESPOSTAS AUTOMÁTICAS PARA MELHORIA DA SEGURANÇA EM SISTEMAS DE DETECÇÃO DE INTRUSOS / AUTOMATIC ANSWERS FOR IMPROVEMENT OF THE SECURITY IN DETECTION SYSTEMS OF INTRUDERS

SANTOS, Glenda de Lourdes Ferreira dos

21 November 2003

Made available in DSpace on 2016-08-17T14:52:54Z (GMT). No. of bitstreams: 1 Glenda de Lourdes Ferreira dos Santos.pdf: 972743 bytes, checksum: 111a2522d029325d266db2465a430638 (MD5) Previous issue date: 2003-11-21 / The development of approaches for proving fast reactions against intruders and attackers have been one of the most important requirements in the critical defense of computer networks, since the intrusion occur quickly, demanding reactions without human intervention. These approaches should be able to, autonomously, respond to attacks and deal with several important aspects of the computer security problem in order to reduce the system administrator s workload Such approaches can offer larger reliability and effectiveness in the detection and response processes, a higher rate of security to private networks, better defense possibilities and, in addition, minimize the intruder's change of success. This research work deals with the specification of a society of intelligent agents for assessment and enhancement of intrusion response systems in computer networks. The proposal of the model of intrusion response system (IRS) be based on in several available architectures, in order to look for better solutions for the problems faced in the modelling of a system of that level. With that, was modeled a system to approach the main desirable functionalities for a system of active answers. The system, as part of the NIDIA (Network Intrusion Detection System based on Intelligent Agents) (Lima, 2001), is formed by a society of agents that are responsible for the functions of identification of the characteristic of the attack, choice of the best reaction strategy and for the execution of the response.The society is composed by agents able to determine and apply automatically corrective actions against attacks classified according to a given severity taxonomic model. In the proposed model was looked for to define response to intrusions for abuse and for anomaly to guarantee a lower robustness to the system. / O desenvolvimento de mecanismos para reações rápidas contra intrusos tem sido um dos mais importantes requisitos na defesa crítica de redes de computador, visto que estes agem rapidamente exigindo reações sem intervenção humana. Tais mecanismos devem estar habitas a, automaticamente, responder um ataque e lidar com o vários aspectos do problema de seguança de computadores, e com isso reduzir a carga de trabalho do administrador do sistema. Semelhantes características podem oferecer confiança e efetividade no processo de detecção e resposta, alta taxa de segunça a redes privadas, melhores possibilidades de defesa e, ainda, minimizar as chances do intruso. Essa dissertação trata da especificação de uma sociedade de agentes para a avaliação e aprimoramento de sistema de resposta de intrusão em redes de computadores. A proposta de um modelo de sistema de resposta de intrusao(IRS) é baseada em várias arquiteturas disponíveis na procura da melhor solução para os problemas encontrados na modelagem de um sistema deste nível. Com isso, foi modelado um sistema que contenha as principais funcionalidades desejáveis para um de respostas ativas. O sistema, que faz parte do NIDIA(Network Intrusion Detection System based on Intelligent Agents) (Lima, 2001), é formado por uma sociedade de agentes que são responsáveis pelas funções de identificação das características do ataque, escolha da melhor estratégia de reação a pela execução resposta.A sociedade é composta por agentes artificiais aptos em determinar e aplicar automaticamente ações, corretivas e preventivas, contra ataques classificados de acordo com um modelo taxonômico de severidade. No modelo proposto procurou-se definir respostas de intrusoes por abuso e por anomalia para garantir maior robustes ao sistema.

sistema de resposta de intrusão

detecção de intrusos

segurança de redes de computadores

sistemas multiagentes

redes neurais

intrusion response system

intrusion detection

multi-agents systems

neural networks

Modelo de IDS Remoto baseado na tecnologia de Agentes, Web Services e MDA / Model IDS Remote based on BitTorrent Agents, Web Services and MDA

SILVA, Mauro Lopes Carvalho

01 December 2006

Made available in DSpace on 2016-08-17T14:53:16Z (GMT). No. of bitstreams: 1 Mauro Lopes.pdf: 3194169 bytes, checksum: 5496ba534a60c6689d7701eda431ad46 (MD5) Previous issue date: 2006-12-01 / In the current state of the Internet, information security presents a permanent concern. In many cases, information security is vital a maintenance and continuity of the businesses. The organizations have used the Internet as one of the main points for rendering of services for other organizations as well as for their final users. We can cite some organizations such as Banks, Institutions of Education, Administrators of Credit cards and the Federal Government. The use of Security policies associated with a set of tools such as Firewall, Antivirus and IDS (Intrusion Detection System) have helped organizations to achieve some security and thus allowing the continuity of the businesses. On the other extremity of the rendering of services for organizations we have the final users. The necessity for effectiveness in computational security to the final users has increased in function of the considerable growth on the occurrence of attacks to this type of user. This problem creates a niche for the research in security directed to the final user. This work is motivated by the above problem. Our work consists of a proposal of a model and an implementation of a Remote IDS (Intrusion Detection System) using the technology of Multi-agent Systems, Web Services and MDA (Model-Driven Architecture). This model adapts and extends the NIDIA (Network Intrusion Detection System based on Intelligent Agents) to provide a remote IDS on the Internet. The purpose is that users that do not have a local IDS can use the services provided by a remote IDS (e.g. NIDIA). NIDIA is an IDS whose architecture consists of a set of cooperative agents. The Remote IDS functionalities are provided as a set of accessible services on the Internet through Web Services. The architecture of our IDS uses MDA to support metadata management such as profiles of configurations, profiles of users and profiles of services. The prototype of the proposed model and the tests demonstrate the viability of our solution. An illustrative example of the execution of the Remote IDS is presented. / No atual contexto da Internet, a segurança da informação constitui-se uma preocupação permanente. Em muitos casos, a segurança da informação é vital para a manutenção e continuidade dos negócios. As organizações têm usado a Internet como um dos principais pontos para a prestação de serviços para outras organizações assim como para seus usuários finais. Podemos citar algumas organizações como Bancos, Instituições de Ensino, Administradoras de Cartões de Crédito e o Governo Federal. O uso de Políticas de Segurança associado ao uso de um conjunto de ferramentas, como Firewall, Antivírus e IDS (Intrusion Detection System) tem apoiado as organizações no objetivo de manter a segurança e desta forma a continuidade dos negócios. Na outra extremidade da prestação de serviços pelas organizações temos os usuários finais. A necessidade por eficácia em segurança computacional aos usuários finais tem aumentado em função do crescimento considerável na ocorrência de ataques a este tipo de usuário. Este problema cria um nicho para a pesquisa em segurança voltada ao usuário final. Esta dissertação tem por motivação esse cenário, consistindo na proposta do modelo e a implementação de um IDS Remoto usando a tecnologia de Sistemas Multiagentes, Web services e MDA (Model-Driven Architecture). O modelo adapta e extende o NIDIA (Network Intrusion Detection System based on Intelligent Agents) para prover um IDS remoto na Internet. A proposta é que usuários que não têm um IDS local possam usar os serviços providos por nosso IDS Remoto. O NIDIA é um IDS cuja arquitetura consiste em um conjunto de agentes cooperativos. As funcionalidades do IDS Remoto são providas como um conjunto de serviços acessíveis na Internet através de Web services. O nosso modelo de IDS usa MDA para suportar o gerenciamento de metadados tais como profiles de configuração, profiles de usuários e profiles de serviços. A implementação do protótipo do modelo proposto e os testes realizados demonstram a viabilidade da solução. Desta forma, um exemplo ilustrativo do funcionamento do IDS Remoto é apresentado.

Segurança

Detecção de Intrusão

Usuário Final

Multiagente

Web services

MDA

Security

Intrusion Detection

Final User

Multiagent

Web services

MDA

Influência do campo de ventos e do meandramento da Corrente do Brasil na concentração de clorofila-a e nutrientes ao largo de Ubatuba - SP / The influence of wind field and Brazil Current meandering on the concentration of chlorophyll-a and nutrients off Ubatuba - SP

Pedro Paulo Guy Martins dos Santos

15 December 2015

O presente trabalho teve por objetivo estudar o efeito do campo de ventos e do meandramento da Corrente do Brasil nas variabilidades hidrográfica e bioquímica ao largo da costa norte do Estado de São Paulo. Foram utilizados dados de temperatura, nutrientes e clorofila-a obtidos in situ mensalmente ao largo de Ubatuba entre dezembro de 2004 a abril de 2014, dados do campo de ventos do pacote Blended Sea Winds (NCDC/NOAA), além de Temperatura da Superfície do Mar e Clorofila-a da Superfície do Mar do sensor MODIS/AQUA. Os dados obtidos mostraram que na primavera o vento paralelo teve forte correlação com a temperatura em toda coluna de água, evidenciando a importância da intrusão remota nesta estação. No verão as altas correlações com o nitrato indicam a dominância de intrusão local. A correlação com a distância da Corrente do Brasil foi significativa com a clorofila-a, o nitrato e fosfato. Os resultados permitem inferir que o vento é o principal fator que determina a variabilidade hidrográfica e bioquímica na área de estudo, e que o meandramento da Corrente do Brasil teria papel secundário na dinâmica da plataforma continental interna. / The main goal of this work is to evaluate the effect of the wind field and Brazil Current meandering on hydrographic and biochemical variability off northern coast of Sao Paulo, Brazil. The dataset used were comprised of monthly samples of temperature, chlorophyll-a and nutrients acquired in situ in Ubatuba from December 2004 to April 2014, wind field derived from NCDC/NOAA Blended Sea Winds package, as well as sea surface temperature and sea surface chlorophyll remotely sensed by MODIS aboard Acqua satellite. Data analysis reveal a strong correlation of along-shore wind component with the water temperature in all depths at spring, pointing out the importance of remote intrusion and advection of South Atlantic Central Water at the sampling site. During summer, however, high correlation of said wind component with nitrate concentration show dominance of local intrusion processes. The distance between the sampling station and the Brazil Current front correlated significantly with chlorophyll-a, nitrate and phosphate. These results suggest that the wind is the main driver of biochemical and hydrographic variability at the study area, while the Brazil Current front meandering plays a secondary role in the internal shelf dynamics.

ACAS

campo de ventos

intrusão remota

meandramento da Corrente do Brasil

MODIS

Plataforma Continental Sudeste do Brasil

séries temporais

Wavelet

ACAS

Brazil Current meandering

MODIS

remote intrusion

southern Brazilian continental shelf

time series

Wavelet

wind field

Influência do campo de ventos e do meandramento da Corrente do Brasil na concentração de clorofila-a e nutrientes ao largo de Ubatuba - SP / The influence of wind field and Brazil Current meandering on the concentration of chlorophyll-a and nutrients off Ubatuba - SP

Santos, Pedro Paulo Guy Martins dos

15 December 2015

O presente trabalho teve por objetivo estudar o efeito do campo de ventos e do meandramento da Corrente do Brasil nas variabilidades hidrográfica e bioquímica ao largo da costa norte do Estado de São Paulo. Foram utilizados dados de temperatura, nutrientes e clorofila-a obtidos in situ mensalmente ao largo de Ubatuba entre dezembro de 2004 a abril de 2014, dados do campo de ventos do pacote Blended Sea Winds (NCDC/NOAA), além de Temperatura da Superfície do Mar e Clorofila-a da Superfície do Mar do sensor MODIS/AQUA. Os dados obtidos mostraram que na primavera o vento paralelo teve forte correlação com a temperatura em toda coluna de água, evidenciando a importância da intrusão remota nesta estação. No verão as altas correlações com o nitrato indicam a dominância de intrusão local. A correlação com a distância da Corrente do Brasil foi significativa com a clorofila-a, o nitrato e fosfato. Os resultados permitem inferir que o vento é o principal fator que determina a variabilidade hidrográfica e bioquímica na área de estudo, e que o meandramento da Corrente do Brasil teria papel secundário na dinâmica da plataforma continental interna. / The main goal of this work is to evaluate the effect of the wind field and Brazil Current meandering on hydrographic and biochemical variability off northern coast of Sao Paulo, Brazil. The dataset used were comprised of monthly samples of temperature, chlorophyll-a and nutrients acquired in situ in Ubatuba from December 2004 to April 2014, wind field derived from NCDC/NOAA Blended Sea Winds package, as well as sea surface temperature and sea surface chlorophyll remotely sensed by MODIS aboard Acqua satellite. Data analysis reveal a strong correlation of along-shore wind component with the water temperature in all depths at spring, pointing out the importance of remote intrusion and advection of South Atlantic Central Water at the sampling site. During summer, however, high correlation of said wind component with nitrate concentration show dominance of local intrusion processes. The distance between the sampling station and the Brazil Current front correlated significantly with chlorophyll-a, nitrate and phosphate. These results suggest that the wind is the main driver of biochemical and hydrographic variability at the study area, while the Brazil Current front meandering plays a secondary role in the internal shelf dynamics.

ACAS

ACAS

Brazil Current meandering

campo de ventos

intrusão remota

meandramento da Corrente do Brasil

MODIS

MODIS

Plataforma Continental Sudeste do Brasil

remote intrusion

séries temporais

southern Brazilian continental shelf

time series

Wavelet

Wavelet

wind field