Malflow : um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede /

Silva, Raphael Campos.

January 2017

Orientador: Adriano Mauro Cansian / Banca: André Ricardo Abed Grégio / Banca: Geraldo Francisco Donega Zafalon / Resumo: A garantia de segurança em ambientes computacionais é complexa, uma vez que a expertise dos atacantes e o número de ameaças têm aumentado. De forma a lidar com o aumento de incidentes de segurança, é necessária uma metodologia que automatize o processo de análise de ameaças e forneça assinaturas de ataques para os ambientes de defesa. Este projeto propõe uma metodologia para criação automatizada de assinaturas para malware baseado em fluxo de dados de redes. A partir de múltiplas execuções de uma amostra de malware, são encontradas semelhanças entre o tráfego de rede gerado em cada uma de suas execuções. O processo de encontrar semelhanças baseia-se em: (i) geração de um hash para cada uma das conexões realizadas pelo malware, no qual cada hash irá representar um elemento de uma sequência e (ii) utilização do algoritmo LCS para encontrar uma subsequência em comum mais longa entre duas sequências geradas a partir das conexões realizadas pelo malware durante cada uma de suas execuções. Uma vez encontrada a subsequência em comum mais longa, os descritores das conexões realizadas pelo malware são recuperados, os quais irão compor os passos de uma assinatura. Por fim, as assinaturas geradas serão testadas para identificação de falsos-positivos e verdadeiros-positivos, para que sejam selecionadas com o intuito de alimentar um Sistema de Detecção de Intrusão / Abstract: The guarantee of security in computing environments is complex, since the expertise of the attackers and the numbers of threats have increased. In order to handle the increased security incidents, is required a methodology to automate the process of threat analysis and provide signatures to defense environments. This project proposes a methodology to generate signatures automatically, based on network flows. From multiple execution of a malware sample, similarities are found between the network traffic generated in each of its executions. The process of finding similarity is based on: (i) Generation of a hash for each connection performed by the malware, where each hash will represent an element of a sequence and (ii) application of the LCS algorithm to find the longest common subsequence between two sequences generated from the connections performed by the malware during each of its executions. Once the longest common subsequence is found, the descriptors of the connections performed by the malware are retrieved, which will compose the steps of a signature. Finally, the generated signatures will be tested for false positive and true positive identification, so that they are selected with the intention of feeding an Intrusion Detection System / Mestre

Ciência da computação.

Malware (Software de computador)

Algoritmos de computador.

Assinaturas digitais.

Computer science

Correlação e visualização de alertas de segurança em redes de computadores /

Ribeiro, Adriano Cesar.

January 2015

Orientador: Adriano Mauro Cansian / Banca: Kalinka Regina Lucas Jaquie Castelo Branco / Banca: Leandro Alves Neves / Resumo: Os sistemas de detecção de intrusão fornecem informações valiosas em relação à segurança das redes de computadores. No entanto, devida à quantidade de ameaças inerentes aos sistemas computacionais, os registros dessas ameaças na forma de alertas podem constituir de grandes volumes de dados, muitas vezes bastante complexos para serem analisados em tempo hábil. Esta dissertação apresenta uma abordagem para correlacionar alertas de segurança. A metodologia tem como princípio a utilização de mineração de dados para a coleta de informações constituintes nos alertas providos pelos sistemas detectores de intrusão. Primeiramente, os alertas são classificados em tipos de ataques para que, na sequência, sejam clusterizados de forma a agrupar alertas com características semelhantes. Por fim, a correlação é realizada baseada na ocorrência dos alertas em cada cluster e, dessa forma, é obtida uma visão geral do cenário de ataque, utilizando de métodos de visualização de tais ocorrências maliciosas / Abstract: Intrusion detection systems provides valuable information regarding the security of computer networks. However, due to the amount of threats inherent in computer systems, records of these threats in the form of alerts can be large volumes of data, often quite complex to be analyzed in a timely manner. This paper presents an approach to correlate security alerts. The methodology is based on the use of data mining to the collection of constituent information in the alerts provided by intrusion detection systems. First, alerts are classified into types of attacks so that, later, are clustered in order to compose alerts with similar characteristics. Finally, the correlation is performed based on the occurrence of alerts in each cluster and thereby an overview of the attack scenario is obtained using visualization methods of such malicious events / Mestre

Ciência da computação.

Visualização da informação.

Mineração de dados (Computação)

Computer science

Detecção de anomalias por Floresta caminhos ótimos /

Passos Júnior, Leandro Aparecido

January 2015

Orientador: João Paulo Papa / Coorientador: Kelton Augusto Pontara da Costa / Banca: Alexandre Luís Magalhães Levada / Banca: Antonio Carlos Sementille / Resumo: O problema de detecção de anomalias vem sendo estudado há vários anos, dado que esta área é de grande interesse por parte de indústrias e também da comunidade científica. Basicamente, a detecção de anomalias difere da tarefa de reconhecimento de padrões convencional pelo fato de apenas amostras não anômalas (normais) estarem disponíveis para o treinamento da técnica de aprendizado de máquina. Assim, quando uma nova amostra é classificada, o sistema deve reconhecer a mesma como pertencente ou não ao modelo de dados "normais" que o mesmo aprendeu. Dentre as várias técnicas disponíveis, uma das mais antigas e populares é a que faz uso de distribuições Gaussianas multivariadas, as quais modelam o conjunto de dados normais como sendo distribuições Gaussianas e, qualquer amostra que não pertençaa a essas distribuições, é considerada anômala. Entretanto, um grande problema dessa abordagem está relacionado à etapa de estimação dos parãmetros dessas distribuições Gaussianas, a qual é realizada de maneira não supervisionada. Na presente dissertação, objetivamos estudar o comportamento do classificador Floresta de Caminhos Ótimos (Optimum-Path Forest - OPF) para (i) estimação dos parâmetros das distribuições Gaussianas, bem como compará-lo com várias outras técnicas comumente utilizadas para esta tarefa, e (ii) desenvolver uma nova técnica de detecção de anomalias centralizada nas funcionalidades do OPF. Os resultados experimentais em bases de dados sintéticas e reais demonstraram que o classificador OPF obteve melhores resultados em ambas as tarefas, dado que o mesmo é menos sensível à escolha dos parâmetros iniciais, o que é de grande valia em bases de dados cujas amostras "normais" estão representadas por múltiplos agrupamentos / Abstract: Anomaly detection has a massive literature, since detecting such anomalies are of great interest for big companies and also the scientific community. Basically, anomaly detection differs from regular pattern recognition task by the fact that only nom-anomalous (normal) samples are available for training the machine learning technique. Therefore, when a new a sample is classified, the system should recognize whether the sample belongs or not to the "normal" data model. Multivariate Gaussian Distributions is one of the oldest and most used techniques among others available, which models the set of normal samples as Gaussian Distributions, and classifies any sample outside those distributions as an anomaly. However, this approach presents a problem related to the parameter estimation, which is performed in a non-supervised classification. In this work, we propose to study the behavior of the Optimum Path Forest (OPF) classifier to (i) estimate the parameters of Gaussian distributions, as well as to compare it against with some of the most used techniques for this task, and (ii) to develop a new anomaly detection technique centered in the OPF functionalities. The experimental results applied in synthetic and real datasets show that OPF classifier achieved best results for both tasks, since its initial parameters are less sensible than the other techniques, which makes a great difference for datasets when "normal" samples are represented by many clusters / Mestre

Ciência da computação.

Floresta de caminhos ótimos.

Distribuição Gaussiana.

Computer science

SELEÇÃO DE VARIÁVEIS DE REDE PARA DETECÇÃO DE INTRUSÃO / NETWORK FEATURE SELECTION FOR INTRUSION DETECTION

Alves, Victor Machado

22 October 2012

Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / Intrusion Detection Systems are considered important mechanisms to ensure protection for computer networks. However, the information used by these systems should be properly selected, because the accuracy and performance are sensitive to the quality and size of the analyzed data. The selection of variables for Intrusion Detection Systems (IDS) is a key point in the design of IDS. The process of selection of variables, or features, makes the choice of appropriate information by removing irrelevant data that affect the result of detection. However, existing approaches to assist IDS select the variables only once, not adapting behavioral changes. The variation of the network traffic is not so accompanied by these selectors. A strategy for reducing the false alarm rate based on abnormalities in IDS is evaluating whether a same time interval abrupt changes occur in more than one variable network. However, this strategy takes as hypothesis that the variables are related, requiring a prior procedure for variable selection. This paper proposes a dynamic method of selecting variables for network IDS, called SDCorr (Selection by Dynamic Correlation), which operates in the mode filter and as an evaluator uses the Pearson correlation test. The method dynamically adapts to changes in network traffic through the selection of new variables at each iteration with the detector. Therefore allow track changes in data and establish relationships between variables. As a result, it improves the accuracy and performance of the IDS by eliminating unnecessary variables and decreasing the size of the analyzed data. / Sistemas de Detecção de Intrusão são considerados mecanismos importantes para assegurar a proteção em redes de computadores. Entretanto as informações utilizadas por estes sistemas devem estar devidamente selecionadas, pois a precisão e desempenho são sensíveis à qualidade e dimensão dos dados analisados. A seleção de variáveis para Sistemas de Detecção de Intrusão (IDS - Intrusion Detection Systems) é assim um ponto chave no projeto de IDS. O processo de seleção de variáveis, ou de características, realiza a escolha das informações apropriadas através da remoção de dados irrelevantes que interferem no resultado da detecção. No entanto, abordagens existentes para auxiliar IDS selecionam as variáveis apenas uma vez, não se adaptando as mudanças comportamentais. As variações inerentes ao tráfego de rede não são assim acompanhadas dinamicamente por estes selecionadores. Uma estratégia para reduzir a taxa de falsos alarmes em IDS baseados em anomalias é avaliar se num mesmo intervalo de tempo ocorrem mudanças abruptas em mais de uma variável de rede. Porém, esta estratégia assume como hipótese que as variáveis analisadas são correlacionadas, exigindo um procedimento prévio de seleção de variáveis. Este trabalho propõe um método dinâmico de seleção de variáveis para IDS de rede, chamado SDCorr (Seleção Dinâmica por Correlação), que opera na modalidade de filtro e utiliza como avaliador o teste de correlação de Pearson. O método adapta-se dinamicamente as variações do tráfego de rede por meio da seleção de novas variáveis a cada iteração com o detector. Assim, possibilita acompanhar as mudanças nos dados e estabelecer relações entre variáveis. Como resultado, melhora-se a precisão e desempenho do IDS através da eliminação de variáveis desnecessárias e da redução da dimensão dos dados analisados.

Segurança

Sistemas de detecção de intrusão

Seleção de variáveis

Security

Intrusion detection systems

Feature selection

Detecção de eventos de segurança de redes por intermédio de técnicas estatísticas e associativas aplicadas a fluxos de dados

Proto, André [UNESP]

01 August 2011

Made available in DSpace on 2014-06-11T19:29:40Z (GMT). No. of bitstreams: 0 Previous issue date: 2011-08-01Bitstream added on 2014-06-13T18:59:20Z : No. of bitstreams: 1 proto_a_me_sjrp.pdf: 1013912 bytes, checksum: 6c409f2d9d7693eb241046a3ee776c64 (MD5) / Este trabalho desenvolve e consolida um sistema de identificação e correlação de comportamentos de usuários e serviços em redes de computadores. A definição destes perfis auxiliará a identificação de comportamentos anômalos ao perfil de um grupo de usuários e serviços e a detecção de ataques em redes de computadores. Este sistema possui como estrutura base a utilização do padrão IPFIX – IP Flow Information Export – como exportador de informações sumarizadas de uma rede de computadores. O projeto prevê duas etapas principais: o desenvolvimento de um coletor de fluxos baseado no protocolo NetFlow, formalizado pela Internet Engineering Task Force (IETF) como padrão IPFIX, que acrescente melhorias na sumarização das informações oferecidas, consumindo menor espaço de armazenamento; a utilização de técnicas de mineração de dados estatísticas e associativas para detecção, correlação e classificação de comportamentos e eventos em redes de computadores. Este modelo de sistema mostra-se inovador na análise de fluxos de rede por meio da mineração de dados, empreendendo características importantes aos sistemas de monitoramento e segurança computacional, como escalabilidade de redes de alta velocidade e a detecção rápida de atividades ilícitas, varreduras de rede, intrusão, ataques de negação de serviço e de força bruta, sendo tais eventos considerados como grandes ameaças na Internet. Além disso, possibilita aos administradores de redes um melhor conhecimento do perfil da rede administrada / This work develops and consolidates an identification and correlation system of users and services behaviors on computer networks. The definition about these profiles assists in identifying anomalous behavior for the users and services profile and detecting attacks on computer networks. This system is based on the use of standard IPFIX – IP Flow Information Export – as a summarizing information exporter of a computer network. The project provides two main steps: the development of a flow collector based on the NetFlow protocol, formalized by Internet Engineering Task Force (IETF) as IPFIX standard, which improves the summarization of provided information, resulting in less storage space; the use of data mining association techniques for the detection, correlation and classification of behaviors and events in computer networks. This system model innovates in the analysis through IPFIX flow mining, adding important features to the monitoring of systems and computer security, such as scalability for high speed networks and fast detection of illicit activities, network scan, intrusion, DoS and brute force attacks, which are events considered big threats on the Internet. Also, it enables network administrators to have a better profile of the managed network

Computação

Redes de computadores - Protocolos

Detecção de intrusão

Computation

Computer and network security

Intrusion detection

Flow analysis

A microtomografia de raios X e a porosimetria por intrusão de mercúrio na determinação de porosidade e densidade de rochas reservatório. / X-ray microtomography and mercury intrusion porosimetry determining reservoir rock porosity and density.

Leandro Palombo

10 November 2016

A caracterização de rochas de reservatórios por microtomografia de raios X (MRX) consiste em uma técnica de análise digital para estudar tridimensionalmente microestruturas e formações geológicas. Para materiais geológicos porosos, a distinção do corpo mineral e dos vazios é facilmente realizada devido à diferença de atenuação dos raios X irradiados, fornecendo modelos tridimensionais de tamanho de grão, porosidade e estrutura de poros. Os métodos tradicionais de petrologia, como a microscopia óptica ou a microscopia eletrônica de varredura (MEV), apresentam menor significância estatística para a área analisada e são limitados à análise bidimensional; assim o MRX apresenta um avanço para as técnicas de caracterização por aquisição e análise digital de imagens. Paralelamente, são conhecidas outras técnicas experimentais para caracterização de porosidade de materiais geológicos por intrusão de fluidos ou envelopamento de partículas. Destas, destaca-se a porosimetria com intrusão de mercúrio que atua no intervalo de poros micro a nanométricos, e possibilita também a determinação da distribuição de tamanho de poros. Este trabalho tem por objetivo determinar a porosidade e densidade de análogos de rocha reservatório pela conjugação de procedimentos de MRX bi e tridimensionais, porosimetria por intrusão de mercúrio e picnometria com gás Hélio. As condições operacionais foram previamente avaliadas até se estabelecer parâmetros capazes de gerar resultados reprodutíveis e com elevada repetitividade. Os resultados demonstram que as melhores correlações foram estabelecidas entre os resultados da porosimetria com mercúrio e microtomografia tridimensional, considerando-se a mesma resolução de tamanho de poro. Apesar dos princípios serem distintos e das comparações serem entre medidas indiretas e análise de imagens digitais, ambas são medidas volumétricas. Na avaliação de continuidade de poros, a correlação entre as determinações bi e tridimensionais revela presença de heterogeneidades. As determinações de densidade por porosimetria com mercúrio e picnometria com gás hélio são congruentes, desde que a quantidade de poros fechados não seja significativa em relação à porosidade total. A microscopia de raios X contribui significativamente para análise digital de rochas reservatório com possibilidade de determinação de porosidade, distribuição de tamanho, morfologia e conectividade de poros. Com a proibição iminente do uso de mercúrio por restrições ambientais, a MRX se torna uma suplente possível para estudos de materiais com porosidades micrométricas, com limitações na detecção poros nanométricos. / Reservoir rock characterization by X-ray microtomography (XRM) consists of a digital analysis to study microstructures and geological formations. The distinction of matrix and voids within the rock sample can be easily carried out due to the attenuation difference of irradiated X-rays, providing three-dimensional models of grain size, porosity and pore structure. Traditional petrology methods, such as optical microscopy or scanning electron microscopy (SEM) presents lower statistical significance for the characterized area and are limited to two-dimensional analysis; therefore, XRM presents an advance for characterization techniques by acquisition and digital image analysis. At the same time, experimental techniques are known for porosity characterization of geological materials by fluid intrusion or particle envelopment. It can be emphasized the mercury intrusion porosimetry acts in the range of micro and nanopores and also allows the analysis of pore size distribution. This study aims to determine porosity and density of reservoir rock analogous by the combination of two and three dimensional XRM procedures, mercury intrusion porosimetry and helium gas pycnometry. Operating parameters were prior evaluated to establish conditions for obtaining reproducible results with high repeatability. The results were assessed individually with subsequent correlations under the same resolution. The results demonstrate that the best correlations were established between mercury porosimetry and three-dimensional microtomography data, considering the same pore size resolution. Although the principles are completely different, and the comparisons refers to indirect measurements and digital image analysis, both considers volumetric measurements. In the evaluation of pore continuity, the correlation between two and three-dimensional determinations reveals the presence of heterogeneities. The density determinations by mercury intrusion porosimetry and pycnometry with helium gas are congruent, as long as the number of closed pores is not significant in relation to the total porosity. X-ray microscopy contributes significantly to reservoir rock digital analysis with the possibility of determining porosity, pore size distribution, morphology and pore connectivity. With the mercury use prohibition by environmental constraints, MRX becomes a possible substitute to characterize materials with micrometric porosities, with limitations in the detection of nanometric pores.

Microtomografia

Petrografia

Petrologia

Porosidade

Porosimetria por intrusão de mercúrio

Radiografia

Rocha reservatório

Mercury intrusion porosimetry

Porosity

Reservoir rock

X-ray microtomography

Protótipos e avaliação de emissores para irrigação localizada subsuperficial / Prototypes and evaluation of emitters for subsurface drip irrigation

Wanderley de Jesus Souza

09 May 2012

A intrusão de raiz e partículas de solo em gotejadores instalados na subsuperfície do solo, conduz à redução da uniformidade de emissão de água e compromete as condições ideais de operação e a vida útil do sistema de irrigação. Estes fatos motivaram a realização desta pesquisa, sendo propostos protótipos de emissores, cujas características físicas e funcionais impeçam a entrada de raízes e partículas de solo por sucção dentro dos mesmos, e possibilite a vazão de projeto. Desenvolveram-se quatro modelos de emissores sendo: modelo A que utiliza êmbolo; modelo B constituído por uma membrana com módulo de Young (MY) de 1000 kPa; modelo C constituído por uma membrana com MY de 1000 kPa e protetor da membrana; e, sistema protetor (tubo) do emissor (modelo D) no qual se utilizou um gotejador comercial para controlar a vazão. Uma vez que o modelo A não apresentou desempenho satisfatório, estudos posteriores com o mesmo foram interrompidos. Em fase de campo instalaram-se os modelos B, C, D, e um gotejador comercial, modelo E. Os emissores foram avaliados em laboratório em relação ao coeficiente de variação de fabricação (CVF), coeficiente de uniformidade de emissão da água (CUE) e à curva vazão versus pressão; e, instalados em vasos com cana-de-açúcar e sem cultura, para avaliação periódica quanto à capacidade em obstar a entrada de raiz e partículas de solo, sendo analisados a vazão relativa (QR), o coeficiente de variação da vazão relativa (CVQR), CUE e distúrbio de vazão (DQ). Para o emissor modelo C desenvolveram-se Equações que descrevem o comportamento da membrana que o compõe. Os resultados obtidos com a Equação de estimativa da pressão mínima foram próximos dos dados medidos em laboratório. Os emissores B e C apresentaram altos valores de CVF e CVQR, e baixos valores de CUE. Após o terceiro período de avaliação, notou-se redução na QR do modelo E, devido a entupimento por raiz. Dos emissores construídos em laboratório, o modelo C apresentou melhor desempenho quanto à variação dos dados de vazão na linha lateral, ao longo do tempo, tendo valores agrupados entre primeiro e terceiro quartil. Após 3 meses (modelo E) e 18 meses (modelos D) de funcionamento em campo, houve presença de solo e raiz, enquanto os modelos B e C apresentaram os melhores resultados quanto ao impedimento da entrada de raiz e solo dentro do emissor, sendo este último indicado para estudos mais detalhados em relação à membrana a ser utilizada. O emissor que utiliza membrana e protetor foi adequado para evitar entrada de raiz e solo dentro do mesmo, sendo necessário estudos a respeito da membrana e de um sistema para controlar a vazão. Com as Equações propostas para o modelo C serão possíveis futuros estudos que busquem aperfeiçoar o protótipo, podendo ser utilizadas para estimativa da pressão mínima de funcionamento, variação do diâmetro da membrana, e vazão do emissor. / Roots and soil particles intrusion in drippers installed in the subsurface soil leads to reduction of the water emission uniformity, and compromise the ideal conditions of operation and the lifetime of irrigation system. These facts motivated this research, being proposed prototypes of emitters whose physical and functional characteristics prevent the entry of roots and soil particles by suction into them, and allow the design flow. Four emitters models were developed: (i) A model that uses piston; (ii) B model composed by a membrane with Youngs modulus (YM) of 1000 kPa; (iii) C model composed by a membrane with YM of 1000 kPa plus a membrane protector;(iv) protector (tube) emitter system (D model) in which was used a commercial dripper to flow control. The A model study was stopped since it did not present a good performance. In the field stage models B, C, D and a commercial dripper E were installed. In the laboratory stage, emitters were evaluated in relation to the manufacturing coefficient of variation (CVF), the emission uniformity coefficient of water (EUC) and the flow rate versus pressure curve. After that, the emitters were installed in pots with and without sugar cane for periodic evaluation considering the potential to prevent the entry of roots and soil particles into the emitter. Relative flow (QR), variation coefficient of relative flow (CVQR), EUC and flow disturbance (DQ) were analyzed. Equations that describe the behavior of C model emitters membrane were developed. The results obtained with the Equation to estimating the minimum pressure were close to the measured data in laboratory. B and C emitter´s model showed the higher values of CVF and CVQR, and the lower values of EUC. After third evaluation period, reduction in QR for E model was observed due to clogging by root. Among the emitters built in the laboratory, C model showed better performance in relation to variation of data flow in lateral line, with values grouped between the first and third quartile. After 3 months (E model) and 18 months (D model) of operation in the field, the presence of soil and roots was observed, while B and C models showed the best results to avoid the entry of root and soil into the emitter. C model was recommended for detailed studies in relation to the membrane which can be used. The emitter that uses membrane plus protector was suitable to prevent entry of root and soil into them needing to studies about it membrane and a system which its possible to control the flow rate. The Equations proposed for C model can be used in: studies to improve the prototype; estimation of the minimum operation pressure; changing in the membrane diameter; and, to estimate the emitter flow. Keywords: Drip irrigation; Subsurface irrigation; Root intrusion; Technological Innovation; Prototype of emitters

Inovações tecnológicas

Intrusão

Irrigação localizada

Irrigação por gotejamento

Sistema radicular

Drip Irrigation

Intrusion

Localized irrigation

Root system

Technological innovations

Posição da cabeça da mandíbula à tomografia computadorizada por feixe cônico em adultos com mordida aberta anterior tratados ortodonticamente com auxílio de mini-implantes / Position of the condyle to the cone beam computed tomography in adults with open bite orthodontically treated with mini-implants

Ricardo Fidos Horliana

14 May 2010

O objetivo deste estudo prospectivo foi avaliar a posição da cabeça da mandíbula em relação à fossa mandibular das articulações temporomandibulares (ATMs), por meio de tomografia computadorizada por feixe cônico (TCFC), em pacientes adultos portadores de má oclusão de Classe I e de Classe II divisão 1ª de Angle com mordida aberta anterior dento-alveolar, tratados ortodonticamente durante período médio de 12 meses com auxílio de mini-implantes. A amostra constou de 10 adultos brasileiros (20 ATMs), de ambos os gêneros (cinco do gênero masculino e 5 do gênero feminino), com idade média de 23 anos e 6 meses, desvio padrão de 5 anos e 3,5 meses, assintomáticos. As imagens de TCFC foram adquiridas em dois tempos do tratamento: T1 ao início e T2 ao final do tratamento e período de observação. Foi realizada avaliação quantitativa da posição da cabeça da mandíbula na fossa mandibular em posição de máxima intercuspidação habitual (MIH). Os valores obtidos com a avaliação quantitativa da posição da cabeça da mandíbula na fossa mandibular ao início do tratamento demonstram que em MIH a cabeça da mandíbula encontra-se ligeiramente deslocada no sentido ântero-posterior com assimetria entre os lados direito e esquerdo e que o espaço articular superior encontra-se aumentado em relação aos demais espaços articulares avaliados. Ao término do tratamento (T2) demonstraram que em MIH a cabeça da mandíbula tendeu a um deslocamento anterior mantendo a assimetria entre os lados direito e esquerdo e que o espaço articular superior apresentou valores próximos aos demais espaços articulares. Entre o início e o término do tratamento os resultados demonstraram que não houve diferença estatisticamente significante na posição ântero-posterior da cabeça da mandíbula, contudo, houve diferença entre os valores da medida do espaço articular superior, o que permite concluir que a cabeça da mandíbula sofreu um deslocamento vertical para o interior da fossa mandibular na amostra e condições estudadas. / The aim of this study was to evaluate the position of the condyle in relation to the glenoid fossa of the temporomandibular joints (TMJ) by means of cone beam computed tomography (CTCB) in adult patients with malocclusion Class I and Class II Division 1 Angle with anterior open bite dentoalveolar, orthodontic treatment during an average period of 12 months with absolute anchorage. The sample consisted of 10 Brazilian adults (20 ATMs) of both sexes (five males and 5 females), mean age 23 years and 6 months, standard deviation of 5 years and 3.5 months, asymptomatic . CTCB images were acquired at two treatment times: T1 - beginning and T2 final of the treatment and observation period. We performed quantitative assessment of the position of the condyle in mandibular fossa in habitual maximum intercuspation (HMI). The values obtained with the quantitative evaluation of the position of the condyle in the glenoid fossa to the initiation of treatment showed that HMI in the condyle is slightly shifted in the anterior-posterior asymmetry between right and left that space superior articular is increased compared to the other joint spaces evaluated. At the end of treatment (T2) showed that in HMI the condyle tended to an anterior displacement of keeping the asymmetry between right and left sides and the upper joint space values were too close to the joint space. Between the beginning and end of treatment showed no statistically significant difference in anteroposterior position of the condyle, however, there were differences (p<0.01) between the values of far superior joint space from beginning to end of treatment, allowing us to conclude that the the condyle has a vertical displacement into the mandibular fossa in the sample and testing conditions.

Articulação temporomandibular

Intrusão dentária

Mordida aberta anterior

Ortodontia corretiva

Anterior open bite

Corrective orthodontics

TMJ

Tooth intrusion

APLICANDO A TRANSFORMADA WAVELET BIDIMENSIONAL NA DETECÇÃO DE ATAQUES WEB / APPLYING TWO-DIMENSIONAL WAVELET TRANSFORM FOR THE DETECTION OF WEB ATTACKS

Mozzaquatro, Bruno Augusti

27 February 2012

Conselho Nacional de Desenvolvimento Científico e Tecnológico / With the increase web traffic of comes various threats to the security of web applications. The threats arise inherent vulnerabilities of web systems, where malicious code or content injection are the most exploited vulnerabilities in web attacks. The injection vulnerability allows the attacker to insert information or a program in improper places, causing damage to customers and organizations. Its property is to change the character frequency distribution of some requests within a set of web requests. Anomaly-based intrusion detection systems have been used to break these types of attacks, due to the diversity and complexity found in web attacks. In this context, this paper proposes a new anomaly based detection algorithm that apply the two-dimensional wavelet transform for the detection of web attacks. The algorithm eliminates the need for a training phase (which asks for reliable data) and searches for character frequency anomalies in a set of web requests, through the analysis in multiple directions and resolutions. The experiment results demonstrate the feasibility of our technique for detecting web attacks. After some adjustments on different parameters, the algorithm has obtained detection rates up to 100%, eliminating the occurrence of false positives. / O aumento do tráfego web vem acompanhado de diversas ameaças para a segurança das aplicações web. As ameaças são decorrentes das vulnerabilidades inerentes dos sistemas web, sendo a injeção de código ou conteúdo malicioso uma das vulnerabilidades mais exploradas em ataques web, pois permite que o atacante insira uma informação ou programa em locais indevidos, podendo causar danos aos clientes e organizações. Esse tipo de ataque tem sido caracterizado pela alteração na distribuição da frequência dos caracteres de algumas requisições dentro de um conjunto de requisições web. Sistemas de detecção de intrusão baseados em anomalias têm sido usados para procurar conter tais tipos de ataques, principalmente em função da diversidade e da complexidade dos ataques web. Neste contexto, o trabalho propõe um novo algoritmo para detecção de anomalias que aplica a transformada wavelet bidimensional na detecção de ataques web e elimina a necessidade de uma fase de treinamento com dados confiáveis de difícil obtenção. O algoritmo pesquisa por anomalias nas frequências dos caracteres de um conjunto de requisições web através da análise em múltiplas direções e resoluções. Os resultados obtidos nos experimentos demonstraram a viabilidade da técnica para detecção de ataques web e também que com ajustes entre diferentes parâmetros foram obtidas taxas de detecção de até 100%, eliminando a ocorrência de falsos positivos.

Detecção de Anomalias

Detecção de Intrusão

Wavelet

Ataques Web

Anomaly Detection

Intrusion Detection

Wavelet, Web Attack

Um modelo dinâmico de clusterização de dados aplicado na detecção de intrusão

Rogério Akiyoshi Furukawa

25 April 2003

Atualmente, a segurança computacional vem se tornando cada vez mais necessária devido ao grande crescimento das estatísticas que relatam os crimes computacionais. Uma das ferramentas utilizadas para aumentar o nível de segurança é conhecida como Sistemas de Detecção de Intrusão (SDI). A flexibilidade e usabilidade destes sistemas têm contribuído, consideravelmente, para o aumento da proteção dos ambientes computacionais. Como grande parte das intrusões seguem padrões bem definidos de comportamento em uma rede de computadores, as técnicas de classificação e clusterização de dados tendem a ser muito apropriadas para a obtenção de uma forma eficaz de resolver este tipo de problema. Neste trabalho será apresentado um modelo dinâmico de clusterização baseado em um mecanismo de movimentação dos dados. Apesar de ser uma técnica de clusterização de dados aplicável a qualquer tipo de dados, neste trabalho, este modelo será utilizado para a detecção de intrusão. A técnica apresentada neste trabalho obteve resultados de clusterização comparáveis com técnicas tradicionais. Além disso, a técnica proposta possui algumas vantagens sobre as técnicas tradicionais investigadas, como realização de clusterizações multi-escala e não necessidade de determinação do número inicial de clusters / Nowadays, the computational security is becoming more and more necessary due to the large growth of the statistics that describe computer crimes. One of the tools used to increase the safety level is named Intrusion Detection Systems (IDS). The flexibility and usability of these systems have contributed, considerably, to increase the protection of computational environments. As large part of the intrusions follows behavior patterns very well defined in a computers network, techniques for data classification and clustering tend to be very appropriate to obtain an effective solutions to this problem. In this work, a dynamic clustering model based on a data movement mechanism are presented. In spite of a clustering technique applicable to any data type, in this work, this model will be applied to the detection intrusion. The technique presented in this work obtained clustering results comparable to those obtained by traditional techniques. Besides the proposed technique presents some advantages on the traditional techniques investigated, like multi-resolution clustering and no need to previously know the number of clusters

Análise dos componentes principais

Clusterização de dados

Sistemas de detecção de intrusão

Data clustering

Intrusion detection systems

Principal analisys component