Classificação de conteúdo malicioso baseado em floresta de caminhos ótimos /

Fernandes, Dheny.

January 2016

Orientador: João Paulo Papa / Coorientador: Kelton Augusto Pontara da Costa / Banca: Aparecido Nilceu Marana / Banca: Jurandy Gomes Almeida Jr. / Resumo: O advento da Internet trouxe amplos benefícios nas áreas de comunicação, entretenimento, compras, relações sociais, entre outras. Entretanto, várias ameaças começaram a surgir nesse cenário, levando pesquisadores a criar ferramentas para lidar com elas. Spam, malwares, conteúdos maliciosos, pishing, fraudes e falsas URLs são exemplos de ameaças. Em contrapartida, sistemas antivírus, firewalls e sistemas de detecção e prevenção de intrusão são exemplos de ferramentas de combate às tais ameaças. Principalmente a partir de 2010, encabeçado pelo malware Stuxnet, as ameaças tornaram-se muito mais complexas e persistentes, fazendo com que as ferramentas até então utilizadas se tornassem obsoletas. O motivo é que tais ferramentas, baseadas em assinaturas e anomalias, não conseguem acompanhar tanto a velocidade de desenvolvimento das ameaças quanto sua complexidade. Desde então, pesquisadores têm voltado suas atenções a métodos mais eficazes para se combater ciberameaças. Nesse contexto, algoritmos de aprendizagem de máquina estão sendo explorados na busca por soluções que analisem em tempo real ameaças provenientes da internet. Assim sendo, este trabalho tem como objetivo analisar o desempenho dos classificadores baseados em Floresta de Caminhos Ótimos, do inglês Optimum-path Forest (OPF), comparando-os com os demais classificadores do estado-da-arte. Para tanto, serão analisados dois métodos de extração de características: um baseado em tokens e o outro baseado em Ngrams, sendo N igual a 3. De maneira geral, o OPF mais se destacou no não bloqueio de mensagens legítimas e no tempo de treinamento. Em algumas bases a quantidade de spam corretamente classificada também foi alta. A versão do OPF que utiliza grafo completo foi melhor, apesar de que em alguns casos a versão com grafo knn se sobressaiu. Devido às exigências atuais em questões de segurança, o OPF, pelo seu rápido tempo de treinamento,... / Abstract: The advent of Internet has brought widespread benefits in the areas of communication, entertainment, shopping, social relations, among others. However, several threats began to emerge in this scenario, leading researchers to create tools to deal with them. Spam, malware, malicious content, phishing, fraud and false URLs are some examples of these threats. In contrast, anti-virus systems, firewalls and intrusion detection and prevention systems are examples of tools to combat such threats. Especially since 2010, headed by the Stuxnet malware, threats have become more complex and persistent, making the tools previously used became obsolete. The reason is that such tools based on signatures and anomalies can not follow both the speed of development of the threats and their complexity. Since then, researchers have turned their attention to more effective methods to combat cyber threats. In this context, machine learning algorithms are being exploited in the search for solutions to analyze real-time threats from the internet. Therefore, this study aims to analyze the performance of classifiers based on Optimum-path Forest, OPF, comparing them with the other state-of-the-art classifiers. To do so, two features extraction methods will be analyzed: one based on tokens and other based on Ngrams, considering N equal 3. Overall, OPF stood out in not blocking legitimate messages and training time. In some bases the amount of spam classified correctly was high as well. The version that uses complete graph was better, although in some cases the version that makes use of knn graph outperformed it. Due to the current demands on security issues, OPF, considering its fast training time, can be improved in its effectiveness aiming at a real application. In relation to feature extraction methods, 3gram was better, improving OPF's results / Mestre

Ciência da computação - Matemática.

Floresta de caminhos ótimos.

Aprendizado do computador.

Spam (Mensagens eletrônicas)

Computer science

Detecção de intrusão em redes de computadores com estatísticas PDF e classificadores neurais

Jorge, Leandro Silva

19 August 2006

Made available in DSpace on 2016-03-15T19:37:47Z (GMT). No. of bitstreams: 1 LEANDRO_JORGE_ENG.pdf: 1440194 bytes, checksum: ee0f29b7d9c5a94f4c02a4381d985780 (MD5) Previous issue date: 2006-08-19 / This work is a study about architectures, methods and results on computer networks intrusion detection to avoid Denial-of-Services attacks. The main techniques used were: packet-oriented window observation, structured hierarchical processes, anomaly based network intrusion detection by monitoring several network traffic parameters simultaneously. The Probability Density Function (PDF) has been used and statistically compared it to normal behavior referenced functions using similarity metrics. The results have been combined into an anomaly status vector classified by a neural network classifier. Two data sets have been tested to measure the performance of the proposed approach: the OPNET simulations data and the DARPA98 intrusion detection evaluation data. The results showed reliable detection in DoS attacks with high accuracy and very low false alarm rates on all data sets. / Este trabalho é um estudo sobre arquiteturas, métodos e resultados na detecção de intrusão em redes de computadores, no reconhecimento de ataques de negação de serviços (DoS Denial-of-Service). As técnicas empregadas foram orientadas a pacotes, em janelas de observação, utilizando processos de detecção de intrusão hierárquicos, em múltiplas camadas, baseados em anomalias de rede, monitorando vários parâmetros de tráfego de rede simultaneamente. Foram utilizadas funções densidade de probabilidade (PDF Probability Density Functions), estatisticamente comparadas com funções de referência de comportamento normal, utilizando-se de métricas de similaridade, combinando os resultados em vetores de status de anomalias que foram classificados por rede neurais. Dois conjuntos de dados foram utilizados para testar o desempenho dos métodos adotados: dados de simulações OPNET e dados de avaliação de detecção de intrusão DARPA98. Os resultados demonstraram detecção confiável de ataques DoS com grande precisão e taxas muito baixas de alarmes falsos nos conjuntos de dados analisados.

detecção de intrusão

redes de computadores

função densidade de probabilidade

redes neurais

intrusion detection

computer networks

density probability function

neural networks

CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA

MODELO DE IDS PARA USUÁRIOS DE DISPOSITIVOS MÓVEIS / IDS MODEL FOR USERS OF MOBILE DEVICES

SILVA, Aline Lopes da

26 June 2008

Made available in DSpace on 2016-08-17T14:52:48Z (GMT). No. of bitstreams: 1 Aline lopes.pdf: 2261944 bytes, checksum: 0cbbb27a7a17ab362f4fce42298c4b45 (MD5) Previous issue date: 2008-06-26 / Mobile devices are increasing common reality in wireless networks and have integrated the wireless environment, helping to ease and to make available information. Meanwhile, the wireless environment is subject to vulnerabilities because of the way of spreading information that is given through the air, and is subject to interception or even information theft. Mobile Devices in addition of its vulnerability to these vulnerabilities common in wireless environments, are devices with some physical limitations such as lack of processing capacity and memory, beyond the limited battery life. These limitations become critical in this kind of environment, when unidentified threats attack are directed mobile devices. It is necessary to develop an intrusion detection system dedicated to these devices to identify intrusive behaviour, taking into account their physical limitations. This work proposes an intrusion detection system (IDS, Intrusion Detection System) for wireless networks and mobile devices. This is an adaptation and extension of NIDIA-IDS (Intrusion Detection System-Network Intrusion Detection System based on Intelligent Agents). The system acts with two processes: the first one is an information tracking on the device performance and the second one is a wireless network traffic monitoring, analyzing both the traffic of monitored devices. As proof of concepts a prototype was developed and some experiments were carried to validate this solution. / Os dispositivos móveis são uma realidade cada vez mais comum em redes wireless e se integraram ao ambiente wireless, contribuindo para facilidade e disponibilidade da informação. Entretanto, o ambiente wireless está sujeito a vulnerabilidades, devido à forma de propagação da informação que se dá através do ar, estando sujeito a intercepção ou até mesmo roubo das informações. Dispositivos móveis além de estarem sujeitos a essas vulnerabilidades comuns em ambientes wireless, são dispositivos com algumas limitações físicas, como pouca capacidade de processamento e memória, além da vida útil de bateria limitada. Estas limitações tornam-se críticas neste tipo ambiente, quando ameaças não identificadas são direcionadas a dispositivos móveis. Torna-se necessário a implementação de sistema de detecção de intrusão voltado para estes dispositivos a fim de identificar comportamentos intrusivos, levando em consideração suas limitações físicas. Este trabalho propõe um sistema de detecção de intrusão (IDS, Intrusion Detection System) em redes wireless destinados a dispositivos móveis como adaptação e extensão do IDS-NIDIA (Intrusion Detection System- Network Intrusion Detection System based on Intelligent Agents). O mecanismo utiliza dois processos: o primeiro faz o monitoramento de informações sobre o comportamento do dispositivo e o segundo através do monitoramento de tráfego da rede wireless, analisando o tráfego destinado e originado aos dispositivos monitorados. A implementação da arquitetura e os testes realizados demonstram a viabilidade da solução.

Segurança

Detecção de Intrusão

Dispositivos Móveis

Redes sem Fio

Security

Intrusion Detection

Mobile Devices

Wireless Network

Tolerância a Falhas para o NIDIA: um Sistema de detecção de Intrusão Baseado em Agentes Inteligentes / Tolerance the Imperfections for the NIDIA: a Detection system of Intrusion Based on Intelligent Agents

SIQUEIRA, Lindonete Gonçalves

10 July 2006

Made available in DSpace on 2016-08-17T14:53:02Z (GMT). No. of bitstreams: 1 Lindonete Siqueira.pdf: 1117970 bytes, checksum: 5ae44660dd82bbb5725821410930f632 (MD5) Previous issue date: 2006-07-10 / An Intrusion Detection System (IDS) is one tool among several existing ones to provide safety to a computational system. The IDS has the objective of identifying individuals that try to use a system in non-authorized way or those that have authorization but are abusing of their privileges. However, to accomplish the functions correctly an IDS needs to guarantee reliability and availability of its own application. The IDS should provide continuity to its services in case of faults, mainly faults caused by malicious actions. This thesis proposes a fault tolerance mechanism for the Network Intrusion Detection System based on Intelligent Agents Project (NIDIA), an intrusion detection system based on the agents technology. The mechanism uses two approaches: monitoring the system and replication of agents. The mechanism has a society of agents that monitors the system to collect information related to its agents and hosts and to provide an appropriate recovery for each type of detected fault. Using the information that is collected, it is possible: to discover agents that are not active; determine which agents must be replicated and which replication strategy must be used. The replication type depends on the type of each agent and its importance for the system in different moments of processing. Moreover, this monitoring allows to accomplish other important tasks such as load balancing, migration, and detection of malicious agents, to guarantee safety of the proper IDS (self protection). The implementation of the proposed architecture and the illustrated tests demonstrate the viability of the solution. / Entre as diversas ferramentas existentes para prover segurança a um sistema computacional destaca-se o Sistema de Detecção de Intrusão (SDI). O SDI tem como objetivo identificar indivíduos que tentam usar um sistema de modo não autorizado ou que tem autorização, mas abusam dos seus privilégios. Porém, um SDI para realizar corretamente sua função precisa, de algum modo, garantir confiabilidade e disponibilidade a sua própria aplicação. Portanto, o SDI deve dar continuidade aos seus serviços mesmo em caso de falhas, principalmente falhas causadas por açõe maliciosas. Esta dissertação propõe um mecanismo de tolerância a falhas para o Projeto Network Intrusion Detection System based on Intelligent Agents (NIDIA), um sistema de detecção de intrusão baseado na tecnologia de agentes. O mecanismo utiliza duas abordagens: o monitoramento do sistema e a replicação de agentes. O mecanismo possui uma sociedade de agentes que monitora o sistema para coletar informações relacionadas aos seus agentes e hosts e para prover uma recuperação adequada para cada tipo de falha detectada. Usando a informação que é coletada, o sistema pode: descobrir os agentes não ativos; determinar quais os agentes que devem ser replicados e qual estratégia de replicação deve ser usada. A estratégia de replicação depende do tipo de cada agente e da importância do agente para o sistema em diferentes momentos do processamento. Além disso, esse monitoramento também permite realizar outras importantes tarefas tais como balanceamento de carga, migração, e detecção de agentes maliciosos, para garantir a segurança do próprio SDI (self protection). A implementação da arquitetura proposta e os testes realizados demonstram a viabilidade da solução.

Segurança

Detecção de Intrusão

Tolerância a Falhas

Sistema Multiagente

Confiabilidade

Security

Intrusion Detection

Fault Tolerance

Multiagent System

Reliability

UM MODELO DE DETECÇÃO DE INTRUSÃO PARA AMBIENTES DE COMPUTAÇÃO EM NUVEM / A MODEL OF INTRUSION DETECTION FOR ENVIRONMENTS OF CLOUD COMPUTING

ARAÚJO, Josenilson Dias

28 June 2013

Made available in DSpace on 2016-08-17T14:53:24Z (GMT). No. of bitstreams: 1 Dissertacao Josenilson.pdf: 3842701 bytes, checksum: 33761f8b37e7f3c354f33c31fcb658cf (MD5) Previous issue date: 2013-06-28 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / The elasticity and large consumption of computational resources are becoming attractive for intruders to exploit the cloud vulnerabilities to launch attacks or have access of private and privileged data of cloud users. In order to effectively protect the cloud and its users, the IDS must have the capability to quickly scale up and down the quantity of sensors according to the resources provisioned, besides of isolating the access to the system levels and infrastructure. The protection against internal cloud threats must be planned because of the non-adequate threatening identification system in most protection systems. For this, the proposed solution uses virtual machines features as fast recovery, start, stop, migration to other hosts and cross-platform execution in IDS based VM, to monitor the internal environment of the cloud virtual machines by inserting data capture sensors at the local network of the VM users, this way, it can detect suspicious user behaviors. / A elasticidade e abundante disponibilidade de recursos computacionais são atrativos para intrusos explorarem vulnerabilidades da nuvem, podendo assim lançar ataques contra usuários legítimos para terem acesso a dados privados e privilegiados. Para proteger efetivamente os usuários da nuvem, um Sistema de Detecção de Intrusão ou IDS deve ter a capacidade de expandir-se, aumentado ou diminuindo rapidamente a quantidade de sensores, de acordo com o provisionamento de recursos, além de isolar o acesso aos níveis de sistema e infraestrutura. A proteção contra ameaças internas na nuvem deve ser planejada, pois a maioria dos sistemas de proteção não identifica adequadamente ameaças internas ao sistema. Para isso, a solução proposta utiliza as características de máquinas virtuais como rápida inicialização, rápida recuperação, parada, migração entre diferentes hosts e execução em múltiplas plataformas na construção de um IDS que visa monitorar o ambiente interno de máquinas virtuais da nuvem, inserindo sensores de captura de dados na rede local das VMs dos usuários, podendo assim detectar comportamentos suspeitos dos usuários.

Computação em Nuvem

Sistema de detecção de intrusão

Máquinas virtuais

Elasticidade

Cloud computing

Intrusion detection system

Virtual machines

Elasticity

MECANISMO DE TOLERÂNCIA A FALHAS PARA O EICIDS: sistema de detecção de intrusão elástico e interno baseado em nuvem / MECHANISM OF FAULT TOLERANCE FOR EICIDS ELASTIC AND INTERNAL CLOUD-BASED INTRUSION DETECTION SYSTEM

RODRIGUES, Dhileane de Andrade

16 June 2014

Made available in DSpace on 2016-08-17T14:53:29Z (GMT). No. of bitstreams: 1 DISSERTACAO Dhileane de Andrade Rodrigues.pdf: 3735040 bytes, checksum: e5dbef2dca083d027d13e79c9e57a595 (MD5) Previous issue date: 2014-06-16 / Conselho Nacional de Desenvolvimento Científico e Tecnológico / Cloud computing is increasingly in evidence in the world for its elasticity, in providing resources. The characteristics of cloud computing make the environment attractive for intrusion and therefore vulnerable to attack. Therefore, there is a need for adequate tools to provide security in the cloud. A tool that is currently proposed to maintain security in the cloud is the Intrusion Detection Systems (IDS), since its objective is to identify individuals who attempt unauthorized use an or abusive the system with its privileges . Although numerous studies aimed at detection area intrusion into the cloud computing environment, there are many problems faced in area, such as: the elasticity of the components, selfprotection, the availability of the services, self-resilient study with no single point of failure and automatic response actions based on the set of policies. To properly perform the function in the cloud, the IDS should have the ability to quickly increase or decrease the number of sensors, according to the elasticity of the cloud. Besides providing the ability to expand, the SDI should ensure reliability and availability of their own applications. An SDI in the cloud should continue its services even before failures, especially failures arising from malicious actions. This dissertation proposes a mechanism for fault tolerance and Internal Elastic Cloudbased Intrusion Detection System (EICIDS), an intrusion detection system based on dynamic virtualization. The mechanism uses some technique: monitoring system, echo and replication. The mechanism has a group of components that monitor the system to collect the IDS behavior and information of the Virtual machines (VMs) to provide adequate recovery. Using the information that is collected, the system can: find the inactive VMs; discover VMs with malicious actions and discover applications being used in an improper form. Replication occurs at the moment no communication exists between the components of SDI nodes that are located in the element and Central. In addition, this monitoring allows also perform other important tasks such as signal output for all VMs if a malicious action is detected, block malicious user, and monitoring of the central element, to ensure the safety of SDI itself (selfprotection). The implementation of the proposed architecture and testing demonstrate the feasibility of the solution. / A computação em nuvem está cada vez mais em evidencia no mundo pela sua forma de disponibilizar recursos e sua elasticidade. Tais características tornam esse ambiente um atrativo para a intrusão e consequentemente vulnerável a ataques. Portanto, há uma necessidade de ferramentas adequadas para prover a segurança na nuvem. Entre as diversas ferramentas que atualmente foram propostas para manter a segurança na nuvem destaca-se o Sistema de Detecção de Intrusão (SDI), uma vez que seu objetivo é identificar indivíduos que tentam usar um sistema de forma não autorizado ou abusivo, ou seja, abusa dos privilégios concedidos aos mesmos. Embora inúmeras pesquisas direcionadas à área de detecção de intrusão no ambiente de CN, muitos são os problemas enfrentados por essa técnica, tais como: a elasticidade dos componentes, a autoproteção, a disponibilidade dos seus serviços, a auto resistente sem nenhum ponto único de falha e proporcionar ações de resposta automática com base no conjunto de políticas. Um SDI para realizar corretamente sua função na nuvem, deve possuir a capacidade de aumentar ou diminuir rapidamente a quantidade de sensores, de acordo com a elasticidade da nuvem. Além de prover a capacidade de expandir-se o SDI deve garantir a confiabilidade e disponibilidade de suas próprias aplicações. Assim sendo, um SDI aplicado na nuvem deve dar continuidade aos seus serviços mesmo diante de falhas, principalmente falhas oriundas de ações maliciosas. Esta dissertação propõe um mecanismo de tolerância a falhas para o Elastic and Internal Cloud-based Intrusion Detection System (EICIDS), um sistema de detecção de intrusão baseado em virtualização e dinâmico. O mecanismo utiliza algumas técnicas: o monitoramento do sistema, emissão de echo e a replicação. O mecanismo possui um grupo de componentes que monitoram o sistema para coletar informações relacionadas aos comportamento do próprio SDI e das Virtual machines (VMs) para prover a recuperação adequada. Usando a informação que é coletada, o sistema pode: descobrir as VMs inativas; descobrir VMs com ações maliciosas e descobrir aplicações que estão sendo usadas de forma indevidas. A replicação ocorre no momento em que não existe comunicação entre os componentes do SDI que se localizam nos nodes e o elemento central. Além disso, esse monitoramento também permite realizar outras importantes tarefas tais como: emissão de sinal para todas as VMs se uma ação maliciosa for detectada, bloquei de usuário mal intencionado, e monitoramento do elemento central, para garantir a segurança do próprio SDI (Self protection). A implementação da arquitetura proposta e os testes realizados demostram a viabilidade da solução.

Computação em Nuvem

Detecção de Intrusão

Tolerância a Falhas

Virtualização

Cloud Computing

Intrusion Detection

Fault Tolerance

Virtualization

Análise da distribuição de tensões, em modelo fotoelástico, decorrente de diferentes arcos de intrusão de incisivos inferiores / Stress distribution analysis caused by different intrusion arches on lower incisors in photoelastic model

Cristiane Aparecida de Assis Claro

03 July 2008

No presente estudo foi analisada a distribuição de tensões, na região anterior de modelo fotoelástico, gerada por arcos de intrusão de incisivos inferiores. Compararam-se as tensões entre diferentes arcos. E ainda, em cada tipo de arco, compararam-se as tensões entre terços radiculares e entre incisivos. O modelo fotoelástico foi construído simulando a extrusão dos incisivos. Foram confeccionados sessenta arcos de intrusão, sendo quinze de cada tipo de mecânica: arco contínuo de Burstone, arco utilitário de Ricketts, arco com dobra de ancoragem usado na mecânica de Begg e arco com curva de Spee reversa usado na mecânica de Tweed. A força de ativação foi mensurada em 50gf na região da linha média. O modelo fotoelástico foi observado em polariscópio circular, na configuração de campo escuro, e fotografado. As fotografias frontais foram analisadas, e as ordens de franjas em cada região registradas. A repetibilidade do método foi identificada pela análise de kappa. A comparação entre as tensões foi realizada pelo teste de Kruskall-Wallis complementado com teste de Dunn. Os resultados obtidos permitiram concluir que na região apical, as maiores magnitudes de tensões foram geradas pelo arco utilitário de Ricketts, seguido pelo arco contínuo de Burstone. Na região média, as maiores magnitudes de tensões foram geradas pelo arco utilitário de Ricketts, seguida por arco contínuo de Burstone, arco com dobra de ancoragem e arco com curva de Spee reversa. Na região cervical, as maiores magnitudes de tensões foram decorrentes do arco utilitário de Ricketts, seguido por arco com curva de Spee reversa e arco com dobra de ancoragem. Os arcos contínuos de Burstone apresentaram as menores tensões na região cervical. Ao se comparar as ordens de franjas entre os terços radiculares, de cada dente, em todos os arcos analisados, as maiores magnitudes de tensões foram observadas nas regiões cervicais. Ao se comparar as ordens de franjas entre os dentes, em cada terço radicular, no arco contínuo de Burstone, as maiores magnitudes de tensões foram observadas nos incisivos laterais. Entretanto, no arco utilitário de Ricketts e no arco com dobra de ancoragem, as maiores magnitudes de tensões foram observadas nos incisivos centrais. No arco com curva de Spee reversa, as maiores magnitudes de tensões foram identificadas nos incisivos esquerdos. Portanto, os resultados do presente estudo permitiram a visualização e compreensão dos efeitos dos diversos arcos de intrusão. Entretanto, estes resultados devem ser observados com cautela, requerendo mais pesquisas que confirmem a reprodutibilidade do método e dos resultados. / In the present study, the distribution of stresses caused by intrusion arches on lower incisors, in the anterior region of photoelastic model, was analyzed. The stresses were compared among the different arches. Additionally, stresses were also compared among the root thirds, as well as among the incisors for each arch type. The photoelastic model was constructed simulating the extrusion of incisors. Sixty intrusion arches were made up, corresponding to fifteen of each type: Burstone continuous arches, Ricketts utility arches, anchorage bend arches used in Begg mechanics and reverse Spee curved arches used in Tweed mechanics. Activation force was measured at 50gf in the midline. The photoelastic model was observed under circular polariscope, in dark-field configuration, and photographed. Frontal photographs were analyzed, and fringe order in each region was recorded. Method repeatability was identified by kappa analysis. A comparison among stresses was carried out using Kruskall-Wallis test and complemented by the Dunn test. Results obtained led to the conclusion that in the apical region, the major stress magnitudes were generated by the Ricketts utility arch, followed by the Burstone continuous arch. In mid-region, the major stress magnitudes were generated by Ricketts utility arch, followed by the Burstone continuous arch, anchorage bend arch, and arch wire with a reverse curve of Spee. In the cervical region, the major stress magnitudes stemmed from Ricketts utility arch, followed by arch with reverse curve of Spee and the anchorage bend arch. The Burstone continuous arches presented the least stresses in the cervical region. On comparing fringe orders among root thirds, of each tooth, in all arches analyzed, major magnitudes of stresses were observed in the cervical regions. On comparing fringe orders among teeth, in each root third, the major magnitudes of stresses were observed in lateral incisors in Burstone continuous arches. However, in both Ricketts utility arches and anchorage bend arches the major stresses magnitudes were observed in central incisors. In arch with a reverse curve of Spee the major magnitudes of stresses were identified in left incisors. Consequently the results in the present study allowed a visualization and understanding of the effects of the diverse intrusion arches. However, such results should be observed with caution, requiring further study to confirm method reproducibility as well as results.

Biomecânica

Distribuição de forças

Fios ortodônticos

Fotoelasticidade

Intrusão

Ligas metálicas

Ortodontia

Biomechanics

Distribution of forces

Intrusion

Metallic alloys

Orhodontic wires

Orthodontic movement

Orthodontics

Photoelasticity

Root reabsorption

Sistema embarcado inteligente para detecção de intrusão em subestações de energia elétrica utilizando o Protocolo OpenFlow / Embedded intelligent system for intrusion detection in electric power substations using the OpenFlow protocol

Silva, Lázaro Eduardo da

05 October 2016

O protocolo International Electrotechnical Commission (IEC)-61850 tornou possível integrar os equipamentos das subestações de energia elétrica, através de uma rede de comunicação de dados Ethernet de alta velocidade. A utilização deste protocolo tem como objetivo principal a interligação dos Intelligent Electronic Devices (IEDs) para a automatização dos processos no sistema elétrico. As contribuições deste protocolo para a integração do controle e supervisão do sistema elétrico são diversas, porém, o fato de utilizar uma rede de comunicação de dados Ethernet integrada expõe o sistema elétrico à ataques cibernéticos. A norma IEC-62351 estabelece uma série de recomendações para prover segurança à rede de comunicação do sistema elétrico, dentre elas, o gerenciamento da rede de comunicação, a análise dos campos da mensagem Generic Object Oriented Substation Event (GOOSE) e a utilização de sistemas de detecção de intrusão. O presente trabalho descreve o desenvolvimento de um Intrusion Detection System (IDS) que atende os requisitos de segurança propostos pelo protocolo IEC-62351, para a identificação de ataques à comunicação realizada por mensagens GOOSE do protocolo IEC-61850, e entre equipamentos do sistema elétrico. Para o desenvolvimento desta aplicação, foram identificados os campos que compõem as mensagens GOOSE, de forma a reconhecer os valores esperados em diferentes situações de operação do sistema elétrico. Determinaram-se padrões de comportamento a serem utilizados para discernir mensagens falsas na rede de comunicação. Instalou-se e configurou-se um sistema operacional de tempo real embarcado na plataforma de desenvolvimento Zynq Board (ZYBO), juntamente com o controlador Open-Mul, para gerenciar a rede de comunicação da subestação, através do protocolo OpenFlow, realizando otimizações para o tráfego multicast. Foi desenvolvido um sistema de detecção e bloqueio de mensagens GOOSE falsas que utiliza o protocolo OpenFlow para controle da rede de comunicação do Sistema Elétrico. Desenvolveu-se ainda um sistema inteligente, utilizando-se uma Rede Neural Artificial (RNA) Nonlinear Autoregressive Model with Exogenous Input (NARX), para predição do tráfego realizado por mensagens GOOSE e detecção de ataques Distributed Deny of Service (DDOS). Os resultados obtidos demonstraram que o protocolo OpenFlow pode ser uma ferramenta interessante para controle da rede, porém, os fabricantes necessitam amadurecer sua implementação nos switches, para que sejam utilizados em produção nas redes de comunicação das subestações. O sistema de predição do tráfego gerado por mensagens GOOSE apresentou benefícios interessantes para a segurança da rede de comunicação, demonstrando potencial para compor um sistema de detecção de ataques DDOS realizado por mensagens GOOSE, na rede de comunicação das subestações de energia elétrica. / The IEC-61850 made it possible to integrate equipments of electric power system substations to a high-speed Ethernet data communication network. Its main goal is the interconnection of IEDs for the automation of processes in an electrical system. The contributions of this protocol for the integration of the control and supervision of the electrical system are diverse, although an Ethernet network exposes the electrical system for cyber attacks. The IEC-62351 states a series of recommendations to provide security to the communication network of the electrical system, such as the communication network management, the analysis of GOOSE messages and the use of intrusion detection systems. This study describes the development of an IDS that meets the security requirements proposed by the IEC-62351 standard to identify attacks on communication between GOOSE messages exchanged by electrical equipment using IEC-61850. For the development of this application, fields of the GOOSE messages were identified, in order to recognize the expected values in different power system operating conditions. Behaviour patterns were determined to detect false messages on the communication network. A real-time embedded operating system on ZYBO was installed and configured, as well as the OpenMul controller to manage the communication network of the substation through the OpenFlow protocol, performing optimizations for multicast traffic. A detection system and block tamper GOOSE messages, using the OpenFlow protocol for control of the electrical system communication network, were developed. In addition, an intelligent system using an Artificial Neural Network (ANN) Nonlinear Autoregressive Model with Exogenous Input (NARX) for predicting of the GOOSE messages traffic and the detection of Distributed Deny of Service attack (DDOS) were also developed. The results obtained show that the OpenFlow protocol may be a valuable tool for network control, however, manufacturers should maturely carry on with its implementation in the switches, so that it be used in substation communication networks. The traffic prediction system of the GOOSE messages presented interesting benefits for the security of the communication network, demonstrating potential to built a DDOS attack detection system performed by GOOSE messages on the communication network of electric power substations.

Cyber security

Data communication network

Embedded system

IEC-61850

IEC-61850

IEC-62351

IEC-62351

Intelligent system

Intrusion detection system

Power system

Redes de comunicação de dados

Segurança cibernética

Sistema de detecção de intrusão

Sistema elétrico

Sistema embarcado

Sistema inteligente

Desenvolvimento de uma metodologia baseada em redes neurais artificiais para a identificação de anomalias em redes de comunicação Profinet / Development of a methodology based on artificial neural networks to identify abnormalities in Profinet communication networks

Turcato, Afonso Celso

25 June 2015

Este trabalho propôs o desenvolvimento e a avaliação de uma metodologia com o propósito de identificar anomalias em redes de comunicação Profinet, muito utilizadas na automação de plantas industriais. A metodologia desenvolvida está fundamentada na análise das características de comunicação do protocolo Profinet e na identificação e classificação de padrões, sendo esta, uma das principais aplicações do uso de Redes Neurais Artificiais (RNA). As anomalias são identificadas por meio da análise do tráfego de rede Profinet em sua fase de operação. Tais anomalias podem ser desde defeitos comuns apresentados pelos equipamentos da rede e/ou tentativas de ataques a esta, que por sua vez, podem gerar instabilidade e mau funcionamento da unidade industrial que fazem parte. Para o desenvolvimento deste trabalho foram apresentados: o detalhamento do protocolo Profinet, os mecanismos de segurança mais utilizados atualmente, os tipos de sistemas de detecção de anomalias existentes e os principais tipos de ataques em redes de comunicação conhecidos na literatura. Alguns ensaios para a validação da metodologia foram realizados, utilizando-se uma infraestrutura de rede instalada em laboratório. Ensaios com diferentes tipos de equipamentos interligados em rede foram realizados e os resultados apresentados. Como resultado final, demonstrou-se que a metodologia utilizada obteve êxito na identificação da presença ou ausência de anomalias na rede, sendo que os resultados obtidos podem ser considerados satisfatórios e condizentes às expectativas desta dissertação. Concluiu-se então que a metodologia apresentada é factível e aplicável no meio industrial, podendo ser incorporada a uma ferramenta mais abrangente, como os analisadores de redes Profinet. / This work proposed the development and evaluation of a methodology in order to identify anomalies in Profinet communication networks, widely used in the automation of industrial plants. The methodology is based on an analysis of the communication features of the Profinet protocol and identifying and pattern classification, which is one of the main applications of the use of Artificial Neural Networks (ANN). The anomalies are identified by analyzing the Profinet network traffic in its operation phase. Such anomalies can be provided by common defects in equipment in the network and / or attempted attacks to this, which in turn can cause instability and malfunction of the plant forming part. In development of this work were presented: the details of the Profinet protocol, the security mechanisms most widely used, the types of anomalies detection systems and the main types of attacks on communication networks known in the literature. Some assays to validate the method were performed, using a network infrastructure installed in the laboratory. Tests with different types of networked equipment were performed and the results presented. The final result showed that the methodology was successful in identifying the presence or absence of anomalies in the network, and the obtained results can be considered satisfactory and consistent with expectations of this paper. It was therefore concluded that this methodology is feasible and applicable in industrial environment and can be incorporated into a more comprehensive tool, such as analyzers Profinet networks.

Artificial neural networks

Automation networks

Data network security

Faults and anomalies identification

Identificação de faltas e anomalias

Intrusão em redes de comunicação

Intrusion in communication networks

Profinet

Profinet

Redes de automação

Redes neurais artificiais

Segurança de redes de dados

Sistema embarcado inteligente para detecção de intrusão em subestações de energia elétrica utilizando o Protocolo OpenFlow / Embedded intelligent system for intrusion detection in electric power substations using the OpenFlow protocol

Lázaro Eduardo da Silva

05 October 2016

O protocolo International Electrotechnical Commission (IEC)-61850 tornou possível integrar os equipamentos das subestações de energia elétrica, através de uma rede de comunicação de dados Ethernet de alta velocidade. A utilização deste protocolo tem como objetivo principal a interligação dos Intelligent Electronic Devices (IEDs) para a automatização dos processos no sistema elétrico. As contribuições deste protocolo para a integração do controle e supervisão do sistema elétrico são diversas, porém, o fato de utilizar uma rede de comunicação de dados Ethernet integrada expõe o sistema elétrico à ataques cibernéticos. A norma IEC-62351 estabelece uma série de recomendações para prover segurança à rede de comunicação do sistema elétrico, dentre elas, o gerenciamento da rede de comunicação, a análise dos campos da mensagem Generic Object Oriented Substation Event (GOOSE) e a utilização de sistemas de detecção de intrusão. O presente trabalho descreve o desenvolvimento de um Intrusion Detection System (IDS) que atende os requisitos de segurança propostos pelo protocolo IEC-62351, para a identificação de ataques à comunicação realizada por mensagens GOOSE do protocolo IEC-61850, e entre equipamentos do sistema elétrico. Para o desenvolvimento desta aplicação, foram identificados os campos que compõem as mensagens GOOSE, de forma a reconhecer os valores esperados em diferentes situações de operação do sistema elétrico. Determinaram-se padrões de comportamento a serem utilizados para discernir mensagens falsas na rede de comunicação. Instalou-se e configurou-se um sistema operacional de tempo real embarcado na plataforma de desenvolvimento Zynq Board (ZYBO), juntamente com o controlador Open-Mul, para gerenciar a rede de comunicação da subestação, através do protocolo OpenFlow, realizando otimizações para o tráfego multicast. Foi desenvolvido um sistema de detecção e bloqueio de mensagens GOOSE falsas que utiliza o protocolo OpenFlow para controle da rede de comunicação do Sistema Elétrico. Desenvolveu-se ainda um sistema inteligente, utilizando-se uma Rede Neural Artificial (RNA) Nonlinear Autoregressive Model with Exogenous Input (NARX), para predição do tráfego realizado por mensagens GOOSE e detecção de ataques Distributed Deny of Service (DDOS). Os resultados obtidos demonstraram que o protocolo OpenFlow pode ser uma ferramenta interessante para controle da rede, porém, os fabricantes necessitam amadurecer sua implementação nos switches, para que sejam utilizados em produção nas redes de comunicação das subestações. O sistema de predição do tráfego gerado por mensagens GOOSE apresentou benefícios interessantes para a segurança da rede de comunicação, demonstrando potencial para compor um sistema de detecção de ataques DDOS realizado por mensagens GOOSE, na rede de comunicação das subestações de energia elétrica. / The IEC-61850 made it possible to integrate equipments of electric power system substations to a high-speed Ethernet data communication network. Its main goal is the interconnection of IEDs for the automation of processes in an electrical system. The contributions of this protocol for the integration of the control and supervision of the electrical system are diverse, although an Ethernet network exposes the electrical system for cyber attacks. The IEC-62351 states a series of recommendations to provide security to the communication network of the electrical system, such as the communication network management, the analysis of GOOSE messages and the use of intrusion detection systems. This study describes the development of an IDS that meets the security requirements proposed by the IEC-62351 standard to identify attacks on communication between GOOSE messages exchanged by electrical equipment using IEC-61850. For the development of this application, fields of the GOOSE messages were identified, in order to recognize the expected values in different power system operating conditions. Behaviour patterns were determined to detect false messages on the communication network. A real-time embedded operating system on ZYBO was installed and configured, as well as the OpenMul controller to manage the communication network of the substation through the OpenFlow protocol, performing optimizations for multicast traffic. A detection system and block tamper GOOSE messages, using the OpenFlow protocol for control of the electrical system communication network, were developed. In addition, an intelligent system using an Artificial Neural Network (ANN) Nonlinear Autoregressive Model with Exogenous Input (NARX) for predicting of the GOOSE messages traffic and the detection of Distributed Deny of Service attack (DDOS) were also developed. The results obtained show that the OpenFlow protocol may be a valuable tool for network control, however, manufacturers should maturely carry on with its implementation in the switches, so that it be used in substation communication networks. The traffic prediction system of the GOOSE messages presented interesting benefits for the security of the communication network, demonstrating potential to built a DDOS attack detection system performed by GOOSE messages on the communication network of electric power substations.

IEC-61850

IEC-62351

Redes de comunicação de dados

Segurança cibernética

Sistema de detecção de intrusão

Sistema elétrico

Sistema embarcado

Sistema inteligente

Cyber security

Data communication network

Embedded system

IEC-61850

IEC-62351

Intelligent system

Intrusion detection system

Power system