Aplicação em tempo real de técnicas de aprendizado de máquina no Snort IDS /

Utimura, Luan Nunes

January 2020

Orientador: Kelton Augusto Pontara da Costa / Resumo: À medida que a Internet cresce com o passar dos anos, é possível observar um aumento na quantidade de dados que trafegam nas redes de computadores do mundo todo. Em um contexto onde o volume de dados encontra-se em constante renovação, sob a perspectiva da área de Segurança de Redes de Computadores torna-se um grande desafio assegurar, em termos de eficácia e eficiência, os sistemas computacionais da atualidade. Dentre os principais mecanismos de segurança empregados nestes ambientes, destacam-se os Sistemas de Detecção de Intrusão em Rede. Muito embora a abordagem de detecção por assinatura seja suficiente no combate de ataques conhecidos nessas ferramentas, com a eventual descoberta de novas vulnerabilidades, faz-se necessário a utilização de abordagens de detecção por anomalia para amenizar o dano de ataques desconhecidos. No campo acadêmico, diversos trabalhos têm explorado o desenvolvimento de abordagens híbridas com o intuito de melhorar a acurácia dessas ferramentas, com o auxílio de técnicas de Aprendizado de Máquina. Nesta mesma linha de pesquisa, o presente trabalho propõe a aplicação destas técnicas para a detecção de intrusão em um ambiente tempo real mediante uma ferramenta popular e amplamente utilizada, o Snort. Os resultados obtidos mostram que em determinados cenários de ataque, a abordagem de detecção baseada em anomalia pode se sobressair em relação à abordagem de detecção baseada em assinatura, com destaque às técnicas AdaBoost, Florestas Aleatórias, Árvor... (Resumo completo, clicar acesso eletrônico abaixo) / Abstract: As the Internet grows over the years, it is possible to observe an increase in the amount of data that travels on computer networks around the world. In a context where data volume is constantly being renewed, from the perspective of the Network Security area it becomes a great challenge to ensure, in terms of effectiveness and efficiency, today’s computer systems. Among the main security mechanisms employed in these environments, stand out the Network Intrusion Detection Systems. Although the signature-based detection approach is sufficient to combat known attacks in these tools, with the eventual discovery of new vulnerabilities, it is necessary to use anomaly-based detection approaches to mitigate the damage of unknown attacks. In the academic field, several works have explored the development of hybrid approaches in order to improve the accuracy of these tools, with the aid of Machine Learning techniques. In this same line of research, the present work proposes the application of these techniques for intrusion detection in a real time environment using a popular and widely used tool, the Snort. The obtained results shows that in certain attack scenarios, the anomaly-based detection approach may outperform the signature-based detection approach, with emphasis on the techniques AdaBoost, Random Forests, Decision Tree and Linear Support Vector Machine. / Mestre

Sistemas de detecção de intrusão

Aprendizado de máquina

Detecção de anomalias

Intrusion detection systems

Machine learning

Anomaly detection

Snort

Protótipos e avaliação de emissores para irrigação localizada subsuperficial / Prototypes and evaluation of emitters for subsurface drip irrigation

Souza, Wanderley de Jesus

09 May 2012

A intrusão de raiz e partículas de solo em gotejadores instalados na subsuperfície do solo, conduz à redução da uniformidade de emissão de água e compromete as condições ideais de operação e a vida útil do sistema de irrigação. Estes fatos motivaram a realização desta pesquisa, sendo propostos protótipos de emissores, cujas características físicas e funcionais impeçam a entrada de raízes e partículas de solo por sucção dentro dos mesmos, e possibilite a vazão de projeto. Desenvolveram-se quatro modelos de emissores sendo: modelo A que utiliza êmbolo; modelo B constituído por uma membrana com módulo de Young (MY) de 1000 kPa; modelo C constituído por uma membrana com MY de 1000 kPa e protetor da membrana; e, sistema protetor (tubo) do emissor (modelo D) no qual se utilizou um gotejador comercial para controlar a vazão. Uma vez que o modelo A não apresentou desempenho satisfatório, estudos posteriores com o mesmo foram interrompidos. Em fase de campo instalaram-se os modelos B, C, D, e um gotejador comercial, modelo E. Os emissores foram avaliados em laboratório em relação ao coeficiente de variação de fabricação (CVF), coeficiente de uniformidade de emissão da água (CUE) e à curva vazão versus pressão; e, instalados em vasos com cana-de-açúcar e sem cultura, para avaliação periódica quanto à capacidade em obstar a entrada de raiz e partículas de solo, sendo analisados a vazão relativa (QR), o coeficiente de variação da vazão relativa (CVQR), CUE e distúrbio de vazão (DQ). Para o emissor modelo C desenvolveram-se Equações que descrevem o comportamento da membrana que o compõe. Os resultados obtidos com a Equação de estimativa da pressão mínima foram próximos dos dados medidos em laboratório. Os emissores B e C apresentaram altos valores de CVF e CVQR, e baixos valores de CUE. Após o terceiro período de avaliação, notou-se redução na QR do modelo E, devido a entupimento por raiz. Dos emissores construídos em laboratório, o modelo C apresentou melhor desempenho quanto à variação dos dados de vazão na linha lateral, ao longo do tempo, tendo valores agrupados entre primeiro e terceiro quartil. Após 3 meses (modelo E) e 18 meses (modelos D) de funcionamento em campo, houve presença de solo e raiz, enquanto os modelos B e C apresentaram os melhores resultados quanto ao impedimento da entrada de raiz e solo dentro do emissor, sendo este último indicado para estudos mais detalhados em relação à membrana a ser utilizada. O emissor que utiliza membrana e protetor foi adequado para evitar entrada de raiz e solo dentro do mesmo, sendo necessário estudos a respeito da membrana e de um sistema para controlar a vazão. Com as Equações propostas para o modelo C serão possíveis futuros estudos que busquem aperfeiçoar o protótipo, podendo ser utilizadas para estimativa da pressão mínima de funcionamento, variação do diâmetro da membrana, e vazão do emissor. / Roots and soil particles intrusion in drippers installed in the subsurface soil leads to reduction of the water emission uniformity, and compromise the ideal conditions of operation and the lifetime of irrigation system. These facts motivated this research, being proposed prototypes of emitters whose physical and functional characteristics prevent the entry of roots and soil particles by suction into them, and allow the design flow. Four emitters models were developed: (i) A model that uses piston; (ii) B model composed by a membrane with Youngs modulus (YM) of 1000 kPa; (iii) C model composed by a membrane with YM of 1000 kPa plus a membrane protector;(iv) protector (tube) emitter system (D model) in which was used a commercial dripper to flow control. The A model study was stopped since it did not present a good performance. In the field stage models B, C, D and a commercial dripper E were installed. In the laboratory stage, emitters were evaluated in relation to the manufacturing coefficient of variation (CVF), the emission uniformity coefficient of water (EUC) and the flow rate versus pressure curve. After that, the emitters were installed in pots with and without sugar cane for periodic evaluation considering the potential to prevent the entry of roots and soil particles into the emitter. Relative flow (QR), variation coefficient of relative flow (CVQR), EUC and flow disturbance (DQ) were analyzed. Equations that describe the behavior of C model emitters membrane were developed. The results obtained with the Equation to estimating the minimum pressure were close to the measured data in laboratory. B and C emitter´s model showed the higher values of CVF and CVQR, and the lower values of EUC. After third evaluation period, reduction in QR for E model was observed due to clogging by root. Among the emitters built in the laboratory, C model showed better performance in relation to variation of data flow in lateral line, with values grouped between the first and third quartile. After 3 months (E model) and 18 months (D model) of operation in the field, the presence of soil and roots was observed, while B and C models showed the best results to avoid the entry of root and soil into the emitter. C model was recommended for detailed studies in relation to the membrane which can be used. The emitter that uses membrane plus protector was suitable to prevent entry of root and soil into them needing to studies about it membrane and a system which its possible to control the flow rate. The Equations proposed for C model can be used in: studies to improve the prototype; estimation of the minimum operation pressure; changing in the membrane diameter; and, to estimate the emitter flow. Keywords: Drip irrigation; Subsurface irrigation; Root intrusion; Technological Innovation; Prototype of emitters

Drip Irrigation

Inovações tecnológicas

Intrusão

Intrusion

Irrigação localizada

Irrigação por gotejamento

Localized irrigation

Root system

Sistema radicular

Technological innovations

Posição da cabeça da mandíbula à tomografia computadorizada por feixe cônico em adultos com mordida aberta anterior tratados ortodonticamente com auxílio de mini-implantes / Position of the condyle to the cone beam computed tomography in adults with open bite orthodontically treated with mini-implants

Horliana, Ricardo Fidos

14 May 2010

O objetivo deste estudo prospectivo foi avaliar a posição da cabeça da mandíbula em relação à fossa mandibular das articulações temporomandibulares (ATMs), por meio de tomografia computadorizada por feixe cônico (TCFC), em pacientes adultos portadores de má oclusão de Classe I e de Classe II divisão 1ª de Angle com mordida aberta anterior dento-alveolar, tratados ortodonticamente durante período médio de 12 meses com auxílio de mini-implantes. A amostra constou de 10 adultos brasileiros (20 ATMs), de ambos os gêneros (cinco do gênero masculino e 5 do gênero feminino), com idade média de 23 anos e 6 meses, desvio padrão de 5 anos e 3,5 meses, assintomáticos. As imagens de TCFC foram adquiridas em dois tempos do tratamento: T1 ao início e T2 ao final do tratamento e período de observação. Foi realizada avaliação quantitativa da posição da cabeça da mandíbula na fossa mandibular em posição de máxima intercuspidação habitual (MIH). Os valores obtidos com a avaliação quantitativa da posição da cabeça da mandíbula na fossa mandibular ao início do tratamento demonstram que em MIH a cabeça da mandíbula encontra-se ligeiramente deslocada no sentido ântero-posterior com assimetria entre os lados direito e esquerdo e que o espaço articular superior encontra-se aumentado em relação aos demais espaços articulares avaliados. Ao término do tratamento (T2) demonstraram que em MIH a cabeça da mandíbula tendeu a um deslocamento anterior mantendo a assimetria entre os lados direito e esquerdo e que o espaço articular superior apresentou valores próximos aos demais espaços articulares. Entre o início e o término do tratamento os resultados demonstraram que não houve diferença estatisticamente significante na posição ântero-posterior da cabeça da mandíbula, contudo, houve diferença entre os valores da medida do espaço articular superior, o que permite concluir que a cabeça da mandíbula sofreu um deslocamento vertical para o interior da fossa mandibular na amostra e condições estudadas. / The aim of this study was to evaluate the position of the condyle in relation to the glenoid fossa of the temporomandibular joints (TMJ) by means of cone beam computed tomography (CTCB) in adult patients with malocclusion Class I and Class II Division 1 Angle with anterior open bite dentoalveolar, orthodontic treatment during an average period of 12 months with absolute anchorage. The sample consisted of 10 Brazilian adults (20 ATMs) of both sexes (five males and 5 females), mean age 23 years and 6 months, standard deviation of 5 years and 3.5 months, asymptomatic . CTCB images were acquired at two treatment times: T1 - beginning and T2 final of the treatment and observation period. We performed quantitative assessment of the position of the condyle in mandibular fossa in habitual maximum intercuspation (HMI). The values obtained with the quantitative evaluation of the position of the condyle in the glenoid fossa to the initiation of treatment showed that HMI in the condyle is slightly shifted in the anterior-posterior asymmetry between right and left that space superior articular is increased compared to the other joint spaces evaluated. At the end of treatment (T2) showed that in HMI the condyle tended to an anterior displacement of keeping the asymmetry between right and left sides and the upper joint space values were too close to the joint space. Between the beginning and end of treatment showed no statistically significant difference in anteroposterior position of the condyle, however, there were differences (p<0.01) between the values of far superior joint space from beginning to end of treatment, allowing us to conclude that the the condyle has a vertical displacement into the mandibular fossa in the sample and testing conditions.

Anterior open bite

Articulação temporomandibular

Corrective orthodontics

Intrusão dentária

Mordida aberta anterior

Ortodontia corretiva

TMJ

Tooth intrusion

A microtomografia de raios X e a porosimetria por intrusão de mercúrio na determinação de porosidade e densidade de rochas reservatório. / X-ray microtomography and mercury intrusion porosimetry determining reservoir rock porosity and density.

Palombo, Leandro

10 November 2016

A caracterização de rochas de reservatórios por microtomografia de raios X (MRX) consiste em uma técnica de análise digital para estudar tridimensionalmente microestruturas e formações geológicas. Para materiais geológicos porosos, a distinção do corpo mineral e dos vazios é facilmente realizada devido à diferença de atenuação dos raios X irradiados, fornecendo modelos tridimensionais de tamanho de grão, porosidade e estrutura de poros. Os métodos tradicionais de petrologia, como a microscopia óptica ou a microscopia eletrônica de varredura (MEV), apresentam menor significância estatística para a área analisada e são limitados à análise bidimensional; assim o MRX apresenta um avanço para as técnicas de caracterização por aquisição e análise digital de imagens. Paralelamente, são conhecidas outras técnicas experimentais para caracterização de porosidade de materiais geológicos por intrusão de fluidos ou envelopamento de partículas. Destas, destaca-se a porosimetria com intrusão de mercúrio que atua no intervalo de poros micro a nanométricos, e possibilita também a determinação da distribuição de tamanho de poros. Este trabalho tem por objetivo determinar a porosidade e densidade de análogos de rocha reservatório pela conjugação de procedimentos de MRX bi e tridimensionais, porosimetria por intrusão de mercúrio e picnometria com gás Hélio. As condições operacionais foram previamente avaliadas até se estabelecer parâmetros capazes de gerar resultados reprodutíveis e com elevada repetitividade. Os resultados demonstram que as melhores correlações foram estabelecidas entre os resultados da porosimetria com mercúrio e microtomografia tridimensional, considerando-se a mesma resolução de tamanho de poro. Apesar dos princípios serem distintos e das comparações serem entre medidas indiretas e análise de imagens digitais, ambas são medidas volumétricas. Na avaliação de continuidade de poros, a correlação entre as determinações bi e tridimensionais revela presença de heterogeneidades. As determinações de densidade por porosimetria com mercúrio e picnometria com gás hélio são congruentes, desde que a quantidade de poros fechados não seja significativa em relação à porosidade total. A microscopia de raios X contribui significativamente para análise digital de rochas reservatório com possibilidade de determinação de porosidade, distribuição de tamanho, morfologia e conectividade de poros. Com a proibição iminente do uso de mercúrio por restrições ambientais, a MRX se torna uma suplente possível para estudos de materiais com porosidades micrométricas, com limitações na detecção poros nanométricos. / Reservoir rock characterization by X-ray microtomography (XRM) consists of a digital analysis to study microstructures and geological formations. The distinction of matrix and voids within the rock sample can be easily carried out due to the attenuation difference of irradiated X-rays, providing three-dimensional models of grain size, porosity and pore structure. Traditional petrology methods, such as optical microscopy or scanning electron microscopy (SEM) presents lower statistical significance for the characterized area and are limited to two-dimensional analysis; therefore, XRM presents an advance for characterization techniques by acquisition and digital image analysis. At the same time, experimental techniques are known for porosity characterization of geological materials by fluid intrusion or particle envelopment. It can be emphasized the mercury intrusion porosimetry acts in the range of micro and nanopores and also allows the analysis of pore size distribution. This study aims to determine porosity and density of reservoir rock analogous by the combination of two and three dimensional XRM procedures, mercury intrusion porosimetry and helium gas pycnometry. Operating parameters were prior evaluated to establish conditions for obtaining reproducible results with high repeatability. The results were assessed individually with subsequent correlations under the same resolution. The results demonstrate that the best correlations were established between mercury porosimetry and three-dimensional microtomography data, considering the same pore size resolution. Although the principles are completely different, and the comparisons refers to indirect measurements and digital image analysis, both considers volumetric measurements. In the evaluation of pore continuity, the correlation between two and three-dimensional determinations reveals the presence of heterogeneities. The density determinations by mercury intrusion porosimetry and pycnometry with helium gas are congruent, as long as the number of closed pores is not significant in relation to the total porosity. X-ray microscopy contributes significantly to reservoir rock digital analysis with the possibility of determining porosity, pore size distribution, morphology and pore connectivity. With the mercury use prohibition by environmental constraints, MRX becomes a possible substitute to characterize materials with micrometric porosities, with limitations in the detection of nanometric pores.

Mercury intrusion porosimetry

Microtomografia

Petrografia

Petrologia

Porosidade

Porosimetria por intrusão de mercúrio

Porosity

Radiografia

Reservoir rock

Rocha reservatório

X-ray microtomography

Uma abordagem para detecção de ataques distribuídos e múltiplas etapas baseada na composição de serviços web voltados para à segurança

Fagundes, Leonardo Lemes

07 March 2006

Made available in DSpace on 2015-03-05T13:57:00Z (GMT). No. of bitstreams: 0 Previous issue date: 7 / Nenhuma / Com o uso em larga escala da Internet e a proliferação de ferramentas para realização de ataques, as instituições têm se tornado alvo de uma variedade de atividades intrusivas que vão desde simples varreduras de portas até ataques mais complexos, tais como negação de serviço distribuídos e worms. Com o objetivo de desenvolver soluções capazes de minimizar as chances de um intruso obter sucesso em suas atividades, diversos projetos de pesquisa têm sido realizados, sobretudo na área de detecção de intrusão. A grande parte dessas soluções apresentam as seguintes limitações: (a) ausência de uma forma adequada para representação e descrição de cenários de ataques de múltiplas etapas, que permita modelar o fluxo em que as atividades que os compõem devem ser observadas e (b) correlacionam alertas gerados por um conjunto reduzido de sensores, enquanto o ideal é observar as evidências registradas no maior número possível de serviços. No intuito de suprir essas limitações, esta dissertação propõe uma linguagem e uma / With the wide use of the Internet and the proliferation of technologies to reproduce attacks, institutions have become target of a variety of intrusion activities, ranging from simple port scans to complex attacks, such as distributed denial of services and worms. Aiming to develop solutions to minimize the intruder’s chances to succeed in his/her activities, several research projects have been carried out in the recent years, especially in the area of intrusion detection. Most of the solutions proposed present limitations since they: (a) do not provide an appropriate notation to represent and describe multistage attacks (that allows one to model the flow in which activities are expected be observed); and (b) correlate alerts produced by a reduced group of sensors, while the ideal is to observe evidences generated by the maximum number of available services. To fulfill this gap, this work proposes a language and an architecture to detect distributed multistage attacks. The proposed language, named Multistag

Ciências Exatas e da Terra

detecção de intrusão

redes de computadores

segurança

serviços web

intrusion detection

security

web services

computer Network

Um modelo dinâmico de clusterização de dados aplicado na detecção de intrusão

Furukawa, Rogério Akiyoshi

25 April 2003

Atualmente, a segurança computacional vem se tornando cada vez mais necessária devido ao grande crescimento das estatísticas que relatam os crimes computacionais. Uma das ferramentas utilizadas para aumentar o nível de segurança é conhecida como Sistemas de Detecção de Intrusão (SDI). A flexibilidade e usabilidade destes sistemas têm contribuído, consideravelmente, para o aumento da proteção dos ambientes computacionais. Como grande parte das intrusões seguem padrões bem definidos de comportamento em uma rede de computadores, as técnicas de classificação e clusterização de dados tendem a ser muito apropriadas para a obtenção de uma forma eficaz de resolver este tipo de problema. Neste trabalho será apresentado um modelo dinâmico de clusterização baseado em um mecanismo de movimentação dos dados. Apesar de ser uma técnica de clusterização de dados aplicável a qualquer tipo de dados, neste trabalho, este modelo será utilizado para a detecção de intrusão. A técnica apresentada neste trabalho obteve resultados de clusterização comparáveis com técnicas tradicionais. Além disso, a técnica proposta possui algumas vantagens sobre as técnicas tradicionais investigadas, como realização de clusterizações multi-escala e não necessidade de determinação do número inicial de clusters / Nowadays, the computational security is becoming more and more necessary due to the large growth of the statistics that describe computer crimes. One of the tools used to increase the safety level is named Intrusion Detection Systems (IDS). The flexibility and usability of these systems have contributed, considerably, to increase the protection of computational environments. As large part of the intrusions follows behavior patterns very well defined in a computers network, techniques for data classification and clustering tend to be very appropriate to obtain an effective solutions to this problem. In this work, a dynamic clustering model based on a data movement mechanism are presented. In spite of a clustering technique applicable to any data type, in this work, this model will be applied to the detection intrusion. The technique presented in this work obtained clustering results comparable to those obtained by traditional techniques. Besides the proposed technique presents some advantages on the traditional techniques investigated, like multi-resolution clustering and no need to previously know the number of clusters

Análise dos componentes principais

Clusterização de dados

Data clustering

Intrusion detection systems

Principal analisys component

Sistemas de detecção de intrusão

Um Sistema de Detecção de Intrusão para Detecção de Ataques de Negação de Serviço na Internet das Coisas. / An Intrusion Detection System for Detection of Attacks Service Denial on the Internet of Things.

SOUSA, Breno Fabrício Lira Melo

21 December 2016

Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-01T15:17:20Z No. of bitstreams: 1 Breno Fabricio.pdf: 3022898 bytes, checksum: d3e376b3280034170ef737c756a8bb30 (MD5) / Made available in DSpace on 2017-08-01T15:17:20Z (GMT). No. of bitstreams: 1 Breno Fabricio.pdf: 3022898 bytes, checksum: d3e376b3280034170ef737c756a8bb30 (MD5) Previous issue date: 2016-12-21 / The paradigm of the Internet of Things (in english, Internet of Things - IoT) came to allow intercommunication between different objects via Internet, and thereby facilitate the form of how the end user will interact with a wide variety of devices that surround him in everyday life. The availability of features that these devices have is a factor that deserves great attention because the use of such resources inappropriately can cause serious damage. Therefore, since such devices are connected to the internet, they are vulnerable to various threats, such as, denial-of-service attack (DoS). In order to tackle DoS type threats in IoT, an Intrusion Detection System (IDS) is proposed for IoT, aiming at detecting some types of DoS attacks. / O paradigma da Internet das Coisas (em inglês, Internet of Things - IoT) surgiu para possibilitar a intercomunicação entre os diferentes objetos através da Internet, e, com isso, facilitar a forma de como o usuário final interagirá com a grande variedade de dispositivos que o cerca no dia a dia. A disponibilidade de recursos que estes dispositivos possuem é um fator que merece uma grande atenção, pois o uso de tais recursos de forma não apropriada pode gerar graves danos. Para tanto, uma vez que tais dispositivos estão conectados à Internet, estes estão vulneráveis a diversas ameaças, como, por exemplo, ataque de negação de serviço (DoS). A fim de enfrentar ameaças do tipo DoS em IoT, propõe-se um IDS (Intrusion Detection System) para IoT, objetivando a detecção de alguns ataques do tipo DoS.

Arquitetura de Sistemas de Computação

UMA ONTOLOGIA DE APLICAÇÃO PARA APOIO À TOMADA DE DECISÕES EM SITUAÇÕES DE AMEAÇA À SEGURANÇA DA INFORMAÇÃO. / AN ONTOLOGY OF INFORMATION FOR DECISION SUPPORT IN SITUATIONS OF THREAT TO INFORMATION SECURITY.

SILVA, Rayane Meneses da

24 June 2015

Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-31T14:44:32Z No. of bitstreams: 1 Rayane.pdf: 4026589 bytes, checksum: 7e6066416420555456030ab6db3a1231 (MD5) / Made available in DSpace on 2017-08-31T14:44:32Z (GMT). No. of bitstreams: 1 Rayane.pdf: 4026589 bytes, checksum: 7e6066416420555456030ab6db3a1231 (MD5) Previous issue date: 2015-06-24 / Many security mechanisms, such as Intrusion Detection Systems (IDSs) have been developed to approach the problem of information security attacks but most of them are traditional information systems in which their threats repositories are not represented semantically. Ontologies are knowledge representation structures that enable semantic processing of information and the construction of knowledge-based systems, which provide greater effectiveness compared to traditional systems. This paper proposes an application ontology called “Application Ontology for the Development of Case-based Intrusion Detection Systems” that formally represents the concepts related to information security domain of intrusion detection systems and “Case Based Reasoning”. The “Case Based Reasoning” is an approach for problem solving in which you can reuse the knowledge of past experiences to solve new problems. The evaluation of the ontology was performed by the development of an Intrusion Detection System that can detect attacks on computer networks and recommend solutions to these attacks. The ontology was specified using the “Ontology Web Language” and the Protégé ontology editor and. It was also mapped to a cases base in Prolog using the “Thea” tool. The results have shown that the developed Intrusion Detection System presented a good effectiveness in detecting attacks that the proposed ontology conceptualizes adequately the domain concepts and tasks. / Muitos mecanismos de segurança, como os Sistemas de Detecção de Intrusão têm sido desenvolvidos para abordar o problema de ataques à Segurança da Informação. Porém, a maioria deles são sistemas de informação tradicionais nos quais seus repositórios de ameaças não são representados semanticamente. As ontologias são estruturas de representação do conhecimento que permitem o processamento semântico das informações bem como a construção dos sistemas baseados em conhecimento, os quais fornecem uma maior efetividade em relação aos sistemas tradicionais. Neste trabalho propõe-se uma ontologia de aplicação denominada “Application Ontology for the Development of Case-based Intrusion Detection Systems” que representa formalmente os conceitos relacionados ao domínio de Segurança da Informação, dos sistemas de detecção de intrusão e do “Case-Based Reasoning”. O “Case-Based Reasoning” é uma abordagem para resolução de problemas nos quais é possível reutilizar conhecimentos de experiências passadas para resolver novos problemas. A avaliação da ontologia foi realizada por meio do desenvolvimento de um Sistema de Detecção de Intrusão que permite detectar ataques a redes de computadores e recomendar soluções a esses ataques. A ontologia foi especificada na linguagem “Ontology Web Language” utilizando o editor de ontologias Protegé e, logo após, mapeada a uma base de casos em Prolog utilizando o ferramenta “Thea”. Os resultados mostraram que o Sistema de Detecção de Intrusão desenvolvido apresentou boa efetividade na detecção de ataques e portanto, conclui-se que a ontologia proposta conceitualiza de forma adequada os conceitos de domínio e tarefa abordados.

Sistemas de Informação

Detecção de intrusão utilizando fluxo óptico e histograma de gradientes orientados / Instrusion detection using optical flow and hiatogram of oriented gradients

Patruni, Ion Ferreira

25 August 2015

Made available in DSpace on 2016-12-12T20:22:53Z (GMT). No. of bitstreams: 1 Ion Ferreira Patruni.pdf: 3046553 bytes, checksum: 1979275f844ce748a3f9803c3498ab28 (MD5) Previous issue date: 2015-08-25 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / This work is about people detection in surveillance images. This occurs in external environments, where there are transit of both people and cars. The aim is to settle an imaginary line that once overpassed by people an alarm is sent to the CCTV operator. The study is mainly focused in the use of Histograms of Oriented Gradients (HOG) together with analysis of characteristics extracted from vectors fields of Optical Flow (OF) for training of Support Vector Machines (SVM) and subsequent classification. Some experiments are also executed to verify if the order of cascade classifiers based in OF and HOG affects the quality of the final response. This is measured by Receiver Operating Characteristics (ROC) curves plotted from confusion matrixes. Temporal performance of each classifier was measured as well. A new database was created from a parking camera/surveillance system, and the videos were divided into two groups: (1) training and (2) testing for control purposes. The group called testing for control purposes is used to verify if partial results are presenting improvements in comparison to classifications by HOG alone. A third group of images extracted from the Internet related to intrusions situations was selected to compose the effective final test database. The approach used to detect the intrusion event is based on persistence and consistence of individual classifications. That is, involving more than one group of images, varying from 3 to 9 frames until an effective alarm is sent to the CCTV operator. The ROC curves of classifiers OF&#8594;HOG and HOG&#8594;OF are fully coincident for all tested points. The OF based classifiers are 3 times faster than the HOG based. For the region of interest of classifiers operation used in people detection for surveillance videos, considering intrusion events, that is the lower portions of x axis of ROC curves, the classifier OF&#8594;HOG had the best performance. Finally, 6 simulations were done involving final tests database, split by events in different situations to evaluate the proposed approach to detect intrusion events and again the OF&#8594;HOG classifier had the best performance. Adding movement information by analysing e classifying data extracted from OF field to distinguish people from car improved alarm generation performance, increasing True Positives and reducing False Positives, when analysing a video sequence. / Este trabalho trata da detecção de pessoas em imagens de vigilância. Esta busca ocorre em ambientes externos, onde há pessoas e carros transitando conjuntamente. O objetivo é estabelecer uma linha imaginária que, quando ultrapassada por pessoas, gere um alarme ao operador de Circuito Fechado de TV (CFTV). O estudo concentra-se principalmente na utilização conjunta de Histogramas de Gradientes Orientados (HOG) e análise de características estatísticas extraídas do campo de vetores de Fluxo Óptico (FO) para treinamento de Máquinas de Vetores Suportes (SVM) e posterior classificação. Foram realizados alguns experimentos para verificar se a ordem de aplicação dos classificadores baseados em análise do FO e HOG interferem na qualidade final da resposta que é mensurada através das curvas de Características Operacionais do Receptor (ROC) traçadas a partir das matrizes de confusão. O desempenho temporal de cada classificador é medido. Foi criada uma base de dados proveniente de uma câmera de estacionamento, separada em dois grupos: (1) treinamento e (2) testes para controle. O segundo grupo é usado para averiguar se os resultados parciais estão apresentando melhora em relação ao uso isolado das características HOG. Um terceiro grupo de imagens, extraídas de imagens da Internet relacionadas com questões de intrusão, foi escolhido para compor os testes finais efetivos. A abordagem utilizada para avaliar o evento intrusão é baseada na persistência e consistência das classificações, ou seja, envolvendo mais de um grupo de imagens, podendo variar de 3 a 9 quadros para se ter uma geração efetiva de alarme que avise um operador de CFTV. As curvas ROC dos classificadores FO&#8594;HOG e HOG&#8594;FO ficaram sobreposta para todos os pontos testados. Com relação ao desempenho temporal, a utilização do classificador baseado no FO teve desempenho 3 vezes mais rápido que o classificador baseado em HOG. Para região de interesse de operação dos classificadores usados na detecção de pessoas em vídeos de vigilância, levando-se em conta a detecção de eventos de intrusão, que é a região inicial da escala das curvas ROC dos classificadores, o classificador baseado em FO&#8594;HOG teve melhor desempenho geral. Por fim, 6 simulações foram realizadas no grupo de vídeos separados por eventos nas mais diferentes situações com o objetivo de se avaliar a abordagem proposta de detecção de eventos de intrusão e o classificador FO&#8594;HOG teve o melhor desempenho. A adição da informação do movimento, através da análise e classificação de informações extraídas do campo de fluxo óptico para diferenciar pessoas de carros, trouxe melhorias quando se analisa uma sequência de vídeo, gerando mais alarmes verdadeiro-positivos e reduzindo consideravelmente a geração de alarmes falso-positivos.

Detecção de intrusão de pedestres

Visão computacional

Reconhecimento de padrões

Pedestrian intrusion detection

Computer vision

Pattern recognition

Uma arquiteturaparalela baseada na codificação de huffman para otimizaçãode memória em hardware especializado para detecção de intrusão em redes

Freire, Eder Santana

13 March 2014

Submitted by Marcio Filho (marcio.kleber@ufba.br) on 2017-06-02T13:48:59Z No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / Approved for entry into archive by Vanessa Reis (vanessa.jamile@ufba.br) on 2017-06-08T11:16:24Z (GMT) No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / Made available in DSpace on 2017-06-08T11:16:24Z (GMT). No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / O projeto de hardware especializado para detecção de intrusão em redes de computadores tem sido objeto de intensa pesquisa ao longo da última década, devido ao seu desempenho consideravelmente maior, comparado às implementações em software. Nesse contexto, um dos fatores limitantes é a quantidade finita de recursos de memória embarcada, em contraste com o crescente número de padrões de ameaças a serem analisados. Este trabalho propõe uma arquitetura baseada no algoritmo de Huffman para codificação, armazenamento e decodificação paralela de tais padrões, a fim de reduzir o consumo de memória embarcada em projetos de hardware destinado à detecção de intrusão em redes. Experimentos foram realizados através de simulação e síntese em FPGA de conjuntos de regras atuais do sistema de detecção de intrusão Snort, e os resultados indicaram uma economia de até 73% dos recursos de memória embarcada do chip. Adicionalmente, a utilização de uma estrutura paralelizada apresentou ganhos de desempenho significantes durante o processo de decodificação das regras.

Sistemas Computacionais

Segurança da Informação

Arquitetura paralela

Detecção de intrusão em redes

Field-Programmable Gate Arrays

Otimização de memória

Codificação de Huffman