Global ETD Search

331	Detecção de eventos de segurança de redes por intermédio de técnicas estatísticas e associativas aplicadas a fluxos de dados / Proto, André. January 2011 (has links) Orientador: Adriano Mauro Cansian / Banca: Paulo Licio de Geus / Banca: Marcos Antônio Cavenaghi / Resumo: Este trabalho desenvolve e consolida um sistema de identificação e correlação de comportamentos de usuários e serviços em redes de computadores. A definição destes perfis auxiliará a identificação de comportamentos anômalos ao perfil de um grupo de usuários e serviços e a detecção de ataques em redes de computadores. Este sistema possui como estrutura base a utilização do padrão IPFIX - IP Flow Information Export - como exportador de informações sumarizadas de uma rede de computadores. O projeto prevê duas etapas principais: o desenvolvimento de um coletor de fluxos baseado no protocolo NetFlow, formalizado pela Internet Engineering Task Force (IETF) como padrão IPFIX, que acrescente melhorias na sumarização das informações oferecidas, consumindo menor espaço de armazenamento; a utilização de técnicas de mineração de dados estatísticas e associativas para detecção, correlação e classificação de comportamentos e eventos em redes de computadores. Este modelo de sistema mostra-se inovador na análise de fluxos de rede por meio da mineração de dados, empreendendo características importantes aos sistemas de monitoramento e segurança computacional, como escalabilidade de redes de alta velocidade e a detecção rápida de atividades ilícitas, varreduras de rede, intrusão, ataques de negação de serviço e de força bruta, sendo tais eventos considerados como grandes ameaças na Internet. Além disso, possibilita aos administradores de redes um melhor conhecimento do perfil da rede administrada / Abstract: This work develops and consolidates an identification and correlation system of users and services behaviors on computer networks. The definition about these profiles assists in identifying anomalous behavior for the users and services profile and detecting attacks on computer networks. This system is based on the use of standard IPFIX - IP Flow Information Export - as a summarizing information exporter of a computer network. The project provides two main steps: the development of a flow collector based on the NetFlow protocol, formalized by Internet Engineering Task Force (IETF) as IPFIX standard, which improves the summarization of provided information, resulting in less storage space; the use of data mining association techniques for the detection, correlation and classification of behaviors and events in computer networks. This system model innovates in the analysis through IPFIX flow mining, adding important features to the monitoring of systems and computer security, such as scalability for high speed networks and fast detection of illicit activities, network scan, intrusion, DoS and brute force attacks, which are events considered big threats on the Internet. Also, it enables network administrators to have a better profile of the managed network / Mestre Ciência da computação. Redes de computadores - Protocolos. Computation. eng Computer and network security. eng Intrusion detection. eng Flow analysis. eng
332	Otimiza??o de Algoritmos Criptogr?ficos para Redes de Sensores e Atuadores Sem-fio para Po?os do Tipo Plunger Lift Semente, Rodrigo Soares 22 July 2011 (has links) Made available in DSpace on 2014-12-17T14:55:50Z (GMT). No. of bitstreams: 1 DISSERTACAO RODRIGO SOARES SEMENTE.pdf: 1203856 bytes, checksum: 4eaca6c76cb5befb0c8681343579bc26 (MD5) Previous issue date: 2011-07-22 / Wireless sensors and actuators Networks specified by IEEE 802.15.4, are becoming increasingly being applied to instrumentation, as in instrumentation of oil wells with completion Plunger Lift type. Due to specific characteristics of the environment being installed, it s find the risk of compromising network security, and presenting several attack scenarios and the potential damage from them. It`s found the need for a more detailed security study of these networks, which calls for use of encryption algorithms, like AES-128 bits and RC6. So then it was implement the algorithms RC6 and AES-128, in an 8 bits microcontroller, and study its performance characteristics, critical for embedded applications. From these results it was developed a Hybrid Algorithm Cryptographic, ACH, which showed intermediate characteristics between the AES and RC6, more appropriate for use in applications with limitations of power consumption and memory. Also was present a comparative study of quality of security among the three algorithms, proving ACH cryptographic capability. / As redes de sensores e atuadores sem-fio especificadas pelo padr?o IEEE 802.15.4, est?o cada vez mais sendo aplicadas ? instrumenta??o, como na instrumenta??o de po?os de petr?leo com completa??o do tipo Plunger Lift. Devido ?s caracter?sticas espec?ficas do ambiente que est?o sendo instaladas, foram observados riscos de comprometimento de seguran?a da rede, e estudados v?rios cen?rios de ataques e os danos potenciais dos mesmos. Verificou-se assim a necessidade de um estudo mais detalhado de seguran?a dessas redes, que preconiza o uso de algoritmos de criptografia, como o AES-128 bits e RC6. Assim foram implementados os algoritmos AES-128 e RC6, em um microcontrolador de apenas 8 bits, e realizados estudos detalhados de suas caracter?sticas de desempenho, crucial para aplica??es embarcadas. A partir desses resultados foi criado um Algoritmo Criptogr?fico H?brido, ACH, que apresentou caracter?sticas intermedi?rias entre o AES e o RC6, mais apropriadas para uso em aplica??es com limita??es de consumo de energia e mem?ria. Tamb?m foi realizado um estudo comparativo da qualidade de seguran?a entre os tr?s algoritmos, provando a capacidade criptogr?fica do ACH. IEEE 802.15.4 Seguran?a de redes sem-fio Criptografia RC6 AES Plunger lift. 802.15.4 Wireless network security Cryptography RC6 AES Plunger lift. CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA
333	Superando os riscos da seguran?a baseada em per?metro - Uma abordagem com identifica??o federada atrav?s de certificados digitais A3/ICP-Brasil e SAML Souza, Wellington Silva de 18 February 2013 (has links) Made available in DSpace on 2014-12-17T14:56:15Z (GMT). No. of bitstreams: 1 WellingtonSS_DISSERT.pdf: 5097418 bytes, checksum: 0861f0beded3a7d7e387f3b5d7f448ed (MD5) Previous issue date: 2013-02-18 / The traditional perimeter-based approach for computer network security (the castle and the moat model) hinders the progress of enterprise systems and promotes, both in administrators and users, the delusion that systems are protected. To deal with the new range of threats, a new data-safety oriented paradigm, called de-perimeterisation , began to be studied in the last decade. One of the requirements for the implementation of the de-perimeterised model of security is the definition of a safe and effective mechanism for federated identity. This work seeks to fill this gap by presenting the specification, modelling and implementation of a mechanism for federated identity, based on the combination of SAML and X.509 digital certificates stored in smart-cards, following the A3 standard of ICP-Brasil (Brazilian official certificate authority and PKI) / A vis?o tradicional de seguran?a em redes de computadores, baseada em per?metro (modelo do castelo e fosso ), al?m de entravar a evolu??o dos sistemas corporativos, cria, tanto em administradores quanto usu?rios, a falsa ilus?o de prote??o. Para lidar com a nova gama de amea?as, um novo paradigma orientado ? seguran?a intr?nseca dos dados, chamado deperimetriza??o , come?ou a ser estudado na ?ltima d?cada. Um dos requisitos para a implanta??o do modelo deperimetrizado de seguran?a ? a defini??o de um mecanismo seguro e eficaz de identifica??o federada. Este trabalho busca preencher essa lacuna, apresentando a especifica??o, modelagem e implementa??o de um mecanismo de identifica??o federada, baseado na conjun??o do protocolo SAML e certificados digitais X.509 armazenados em cart?es-inteligentes, padr?o A3/ICP-Brasil CNPQ::ENGENHARIAS::ENGENHARIA ELETRICA
334	Segurança em gerenciamento de redes baseado em web services / Security in web services-based network management Rohr, Estêvão Miguel Zanette January 2009 (has links) A área de gerência de redes encontra uma série de desafios desde seu príncipio. O protocolo que surgiu como padrão para gerência de redes, o SNMP, possui uma série de limitações, por exemplo, no tocante à segurança, configuração de equipamentos e composição de serviços. Por essa razão, tecnologias alternativas para o gerenciamento de redes têm sido pesquisadas. A tecnologia de Web Services surgiu como forte alternativa, por características como o uso de padrões amplamente suportados (HTTP e XML) e modelo de desenvolvimento orientado a serviços. Pesquisas iniciais demonstraram que os Web Services são uma alternativa viável em termos de desempenho. Assim, o uso de Web Services em áreas específicas de gerência de redes, como notificações e gerência por delegação, tem sido pesquisado. Porém, há carência de estudos sobre o uso de segurança no gerenciamento de redes via Web Services. Os Web Services trazem facilidade para uso de segurança, que é vital para a gerência de redes, e este é o foco deste trabalho. É proposta uma arquitetura de integração de segurança à comunicação de mensagens de gerenciamento de redes via Web Services. Para isso, foram utilizados o padrão WS-Security, para segurança em Web Services, e o padrão WS-Management, para gerenciamento de redes via Web Services. Também foi integrado controle de acesso à arquitetura, com uso do padrão XACML. Uma avaliação de desempenho foi realizada para verificar o impacto do uso de segurança, e comparações com SNMPv3 foram realizadas na solução de controle de acesso via XACML. Os testes mostram que, como é tradicional, a segurança tem impacto considerável no tempo de processamento e tráfego na rede. Porém, a arquitetura e implementação realizadas comprovam que, também na área de segurança, a tecnologia de Web Services tem aplicação eficaz para o gerenciamento de redes. / The network management field has several challenges since its beginning. The standard protocol for network management, SNMP, has many drawbacks, related to security, device configuration, and service composition. For these reason, alternative technologies for network management have been investigated. Web Services technology emerged as a strong solution, due to advantages such as employing widely supported standards (HTTP and XML) and service-oriented development model. The first performed investigations in the area showed that Web Services are a valid alternative to SNMP in terms of performance. Thus, Web Services usage in specific areas of network management, such as notifications and management by delegation, have been researched. However, there are currently no studies on security aspects of Web Services-based network management. Web Services enable easy integration of security, which is mandatory for network management, and this is the main goal of this work. An architecture is proposed for security integration in a network management message communication using Web Services. The standards used in this architecture were WSSecurity, which enables security in Web Services, and WS-Management, which targets Web Services-based network management. Access control integration was also developed, using XACML standard. A performance evaluation was carried out in order to verify security usage impact, and comparisons with SNMPv3 were performed in XACML access control solution. Tests showed that, as expected, security has a considerable impact in processing time and network traffic. However, the architecture and implementation show that, also in the security area, the Web Services technology has effective aplication in network management. Redes : Computadores Gerencia : Redes : Computadores Serviços Web Network management SNMP Web services Security Network security Web services security Access control WS-security XACML WS-management VACM
335	Mecanismo de autenticação baseado na localização de estações sem fios padrão IEEE 802.11 / IEEE 802.11 authentication mechanism based on wireless station location Peres, Andre January 2010 (has links) A vantagem das redes locais sem fios, as quais permitem que uma estação móvel possa deslocar-se livremente dentro da área de abrangência da rede, possui uma contrapartida em termos de segurança. A possibilidade dos sinais de microondas atravessarem paredes e sofrerem atenuação, reflexão, refração, difração e dispersão, dependendo dos obstáculos, torna a definição dos limites da área de abrangência da rede sem fios uma tarefa difícil. Sem o conhecimento dos limites de abrangência, o administrador não tem como delimitar fisicamente o acesso à rede. Além disso, o padrão IEEE 802.11 não define um mecanismo capaz de localizar a posição física de estações móveis. Sem a possibilidade de localização de estações, é impossível restringir o acesso à rede baseando-se em limitações físicas definidas pelo administrador. Quando a rede sem fios é utilizada em ambientes internos, os diversos obstáculos e seu comportamento dinâmico (como pessoas em movimento, por exemplo), fazem com que os sinais de microondas alterem as características da área de abrangência da rede. Este trabalho propõe uma nova abordagem para localização de estações sem fios em ambientes internos, baseada no comportamento dinâmico dos obstáculos e conseqüentes alterações na rede, e, de acordo com este comportamento, tenta ampliar a eficiência da localização de estações. Por fim, é proposto um novo sistema de autenticação de estações baseado na sua localização. / The advantage of wireless local area networks, giving the mobile stations the possibility of moving free inside the network access range comes with a security drawback. The fact that microwave signals can cross walls and behave with attenuation, reflections, refraction, diffraction and dispersion, depending of the obstacles, makes very difficult to define the network access range. Without the knowledge of the network boundaries, the network administrator cannot define a physical delimiter to network access. Besides this issue, there is no default user-location mechanism in the IEEE 802.11 standard. Without the user-location, it is impossible to restrict the network access based on the physical access boundaries defined by the administrator. When the wireless network operates indoor the many obstacles and the dynamic behavior of these obstacles (some people moving around, for instance) make the microwave signal behavior change the range and aspect of the network. This work proposes a new approach to indoor user-location mechanism, based on the dynamic behavior of the obstacles and consequent changes on network range. This approach focus on the dynamic obstacles behavior analysis and according to this behavior tries to increase the user-location system efficiency. Finally a new authentication system based on the user location is proposed. Redes : Computadores Redes locais : Computadores IEEE 802.11 Seguranca : Redes : Computadores Wireless local area networks IEEE 802.11 Wireless location Network security Network authentication
336	Um sistema de reputação para redes Peer-to-Peer estruturado baseado na reputação de arquivos, com verificação pela reputação dos nos / A structured Peer-to-Peer reputation system based on file reputation, with verification by the nodes reputation Quinellato, Douglas Gielo 13 August 2018 (has links) Orientador: Paulo Licio de Geus / Dissertação (mestrado) - Universidade Estadual de Campinas, Instituto de Computação / Made available in DSpace on 2018-08-13T11:26:28Z (GMT). No. of bitstreams: 1 Quinellato_DouglasGielo_M.pdf: 2170090 bytes, checksum: 70af102166738a9e7bd99af678848faf (MD5) Previous issue date: 2009 / Resumo: As redes P2P ganharam bastante popularidade na ultima decada, consolidando-se como um dos serviços mais populares da internet, provendo uma arquitetura distribuída para o fornecimento de servi¸cos sem a necessidade de um host assumir o papel de servidor. A popularidade trouxe, entretanto, a necessidade de se desenvolver mecanismos para garantir o funcionamento perante os crescentes ataques 'a rede. Com a estabilidade dos algoritmos relacionados ao funcionamento das redes P2P foi possível um aumento no desenvolvimento destes mecanismos de segurança. Nesta dissertação e proposto um sistema de reputação para redes P2P de compartilhamento de arquivos, um mecanismo de seguran¸ca que visa impedir a proliferação de arquivos corrompidos. Tais sistemas funcionam gerenciando as opiniões emitidas pelos nós participantes da rede sobre os serviços prestados pelos outros nós. Estas opiniões podem ser sobre o nó que prestou o serviço ou sobre a qualidade do serviço prestado. As opiniões sobre um mesmo nó ou serviço avaliado são armazenadas e posteriormente agregadas atraves de uma função, formando a reputação destes. O mecanismo proposto baseia-se nas opiniões emitidas sobre a autenticidade os arquivos, utilizando a reputação dos nós para indicar a qualidade da opinião sendo emitida por eles. Essa verificação da qualidade da opinião visa aumentar a confiança na opinião utilizada com a adicão de um nível de verificação por motivos de eficiência, visto que implementar uma rede de confiança inteira é custosa. Foram realizadas simulaçõs para a verificação da eficácia da rede, realizando comparações tanto com uma rede sem nenhum sistema de reputação quanto com outros sistemas de reputação. / Abstract: P2P networks have earned a great deal of popularity over the last decade, consolidating itself as one of the most popular internet service, providing a distributed architecture for the furnishing of services without the need of a centralized server host. However, such popularity brought the necessity for security mechanisms in order to assure the network availability in spite of the attacks on the network. Stability in the algorithms related to the basic operation of the P2P networks made possible the rise on the development of security systems. In this dissertation it's proposed a reputation system for file sharing P2P networks, a security mechanism aimed at lowering the spread of corrupted files in the network. Such systems work by managing the opinions issued by the participants of the network about the received services from the other nodes. These opinions can be about the nodes, or about the quality of the services themselves. Opinions about the same service or node are them joined through the use of a mathematical model (function), calculating their reputation. The proposed reputation system is based on the reputation of the files, using the node reputation as a means to assess the quality of the opinion being issued. This check is made with the purpose of improving trust in the used opinion by adding one level of opinion checking. Only one level is used for efficiency, since implementing a full trust network is expensive. Simulations were used in order to assess the effectiveness of the proposed reputation system. The results are used in comparisons with the same simulation without the use of any reputation system, and with the results of other reputation systems found in the literature. / Mestrado / Segurança de Redes / Mestre em Ciência da Computação Redes estruturadas Computer network security Structured networks
337	AGENTES INTELIGENTES PARA DETECÇÃO DE INTRUSOS EM REDES DE COMPUTADORES / AGENTS FOR INTELLIGENT DETECTION OF INTRUSOS IN NETWORKS COMPUTERS Lima, Christiane Ferreira Lemos 10 May 2002 (has links) Made available in DSpace on 2016-08-17T14:52:45Z (GMT). No. of bitstreams: 1 Cristiane Lima.pdf: 1837914 bytes, checksum: acce166dfcbb2c425c7249c9bd06c29d (MD5) Previous issue date: 2002-05-10 / Recently, the interest for advanced techniques for network intrusion detection have been increased for protecting important information in computational environment. This research work presents a proposal of a new network intrusion detection system based on a society of intelligent agents whose reasoning are aupported by neural network paradigms, named NIDIA (Network Intrusion Detection System based on Intelligent Agents). A computational implementation has been carried out for the network and host sensors for dealing with task of capturing packets related to suspicious connections or abnormal behaviors within critical hosts. / Técnicas avançadas de detecção de intrusos em redes de computadores tornam-se cada vez mais importantes para prevenir abusos e proteger informações no ambiente. Esta dissertação apresenta uma proposta de um sistema de detecção de intrusos em redes de computadores, baseado na noção de sociedade de agentes inteligentes e redes neurais, denominado NIDIA. Uma implementação computacional é feita dos agentes sensores de rede e de host para realizar a tarefa de captura de pacotes associados às conexões suspeitas ou comportamentos anormais em servidores críticos. detecção de intrusos segurança de redes de computadores sistemas multiagentes redes neurais network intrusion detection network security multi-agents systems neural networks
338	SAMARA SOCIEDADE DE AGENTES PARA A MONITORAÇÃO DE ATAQUES E RESPOSTAS AUTOMATIZADAS / SAMARA SOCIETY OF AGENTS FOR THE MONITORING OF ATTACKS AND AUTOMATIZED ANSWERS OLIVEIRA, Antonio Alfredo Pires 17 June 2005 (has links) Made available in DSpace on 2016-08-17T14:52:58Z (GMT). No. of bitstreams: 1 Antonio Alfredo Pires Oliveira.pdf: 8225871 bytes, checksum: c2e6155a7365443f49c0172bf39c5dac (MD5) Previous issue date: 2005-06-17 / The traditional security techniques applied in computer networks try to block attacks (using firewalls) or to detect them as soon as they happen (using Intrusion Detection Systems). Both are of recognized value, however, they have limitations. In that sense, there is to innovate as for techniques and defense tactics, as well as the tools and technologies that complement the traditional mechanisms applied in network and computer security. One of these solutions have been using honeypots (networks traps) to collect information, motives, tactics and tools used in malicious network activities and distributed systems. This research work introduce an architecture for automated incident response, called SAMARA, based on honeypots and intelligent agents, created to support the functional requisites of decoy server and honeynet agents proposed for NIDIA Project Network Intrusion Detection System based on Intelligent Agents [18], but that can be adjust to others detection, prevention and reaction approaches of security incidents in network and distributed systems. / As técnicas tradicionais de segurança aplicadas em redes de computadores tentam bloquear ataques (utilizando firewalls) ou detectá- los assim que eles ocorrem (utilizando Sistemas de Detecção de Intrusos). Ambas são de reconhecido valor, porém, têm seus limites. Nesse sentido, há que se inovar em relação às técnicas e táticas de defesas, bem como em ferramentas e tecnologias que complementem os mecanismos tradicionais aplicados em segurança de redes e computadores. Uma dessas soluções tem sido o uso de honeypots (armadilhas de redes) na coleta de informações, motivos, táticas e ferramentas utilizadas em atividades maliciosas em redes e sistemas distribuídos. Este trabalho introduz a arquitetura de respostas automatizadas a incidentes de segurança, denominada SAMARA, que é baseada em honeypots e agentes inteligentes, concebida para atender os requisitos funcionais dos agentes decoy server e honeynet propostos para o Projeto NIDIA Network Intrusion Detection System based on Intelligent Agents [18], mas que pode se ajustar a outras abordagens de detecção e prevenção e reação a incidentes de segurança em redes e sistemas distribuídos. Segurança de Redes Armadilhas de Redes Honeypots Honeynet Agentes Inteligentes Network Security Network Traps Honeypots Honeynet Intelligent Agents
339	PROPOSTA DE ATUALIZAÇÃO AUTOMÁTICA DOS SISTEMAS DE DETECÇÃO DE INTRUSÃO POR MEIO DE WEB SERVICES / PROPOSAL OF AUTOMATIC UPDATE OF THE DETECTION SYSTEMS OF INTRUSION BY MEANS OF WEB SERVICES PESTANA JÚNIOR, Fernando Augusto 09 December 2005 (has links) Made available in DSpace on 2016-08-17T14:53:00Z (GMT). No. of bitstreams: 1 Fernando Augusto Pestana Junior.pdf: 2112146 bytes, checksum: 3755fc62c38bddc947e01ff9a28f74a9 (MD5) Previous issue date: 2005-12-09 / The security of computer networks is indispensable for its administrators. Intrusion Detection Systems (IDSs) can increase their security but is very important to update them constantly. This research work proposes a model for sharing information between Computer Security Incident Response Teams (CSIRTs) and IDSs, aiming the achievement of an automatic update of the IDSs response actions data base, based on restrictive short-term measures suggested in security alerts issued by CSIRTs. This model is based on Web services and Extensible Markup Language (XML) technologies. It is also presented a multiagent architecture based on information retrieval and filtering techniques, designed to automatically maintain the IDSs attacks signatures mechanism up-to-date. / A segurança das redes de computadores é imprescindível para seus administradores. Os Sistemas de Detecção de Intrusão (SDIs) podem torná-las mais seguras, entretanto é imperativo que esses sistemas estejam em constante atualização para desempenhar sua função de forma satisfatória. Esta dissertação propõe um modelo de compartilhamento de informações entre Grupos de Resposta a Incidentes de Segurança em Computadores, geralmente conhecidos como CSIRTs (do inglês "Computer Security Incident Response Team") e SDIs objetivando a atualização automática do conjunto de ações de resposta a intrusões dos SDIs. Essa atualização será feita com base nas medidas restritivas de curto prazo sugeridas nos alertas de segurança emitidos pelos CSIRTs. Esse modelo é baseado nas tecnologias de Web services e da Extensible Markup Language (XML). Também é proposta uma arquitetura multiagente, baseada nas técnicas de recuperação e filtragem de informação, que tem como objetivo manter o mecanismo de detecção de ataques dos SDIs atualizados de forma automática. Segurança de Redes Detecção de Intrusos Web services Recuperação Filtragem de Informação Network Security Intrusion Detection Web services Information Retrieval and Filtering
340	Network security monitoring and anomaly detection in industrial control system networks Mantere, M. (Matti) 19 May 2015 (has links) Abstract Industrial control system (ICS) networks used to be isolated environments, typically separated by physical air gaps from the wider area networks. This situation has been changing and the change has brought with it new cybersecurity issues. The process has also exacerbated existing problems that were previously less exposed due to the systems’ relative isolation. This process of increasing connectivity between devices, systems and persons can be seen as part of a paradigm shift called the Internet of Things (IoT). This change is progressing and the industry actors need to take it into account when working to improve the cybersecurity of ICS environments and thus their reliability. Ensuring that proper security processes and mechanisms are being implemented and enforced on the ICS network level is an important part of the general security posture of any given industrial actor. Network security and the detection of intrusions and anomalies in the context of ICS networks are the main high-level research foci of this thesis. These issues are investigated through work on machine learning (ML) based anomaly detection (AD). Potentially suitable features, approaches and algorithms for implementing a network anomaly detection system for use in ICS environments are investigated. After investigating the challenges, different approaches and methods, a proof-ofconcept (PoC) was implemented. The PoC implementation is built on top of the Bro network security monitoring framework (Bro) for testing the selected approach and tools. In the PoC, a Self-Organizing Map (SOM) algorithm is implemented using Bro scripting language to demonstrate the feasibility of using Bro as a base system. The implemented approach also represents a minimal case of event-driven machine learning anomaly detection (EMLAD) concept conceived during the research. The contributions of this thesis are as follows: a set of potential features for use in machine learning anomaly detection, proof of the feasibility of the machine learning approach in ICS network setting, a concept for event-driven machine learning anomaly detection, a design and initial implementation of user configurable and extendable machine learning anomaly detection framework for ICS networks. / Tiivistelmä Kehittyneet yhteiskunnat käyttävät teollisuuslaitoksissaan ja infrastruktuuriensa operoinnissa monimuotoisia automaatiojärjestelmiä. Näiden automaatiojärjestelmien tieto- ja kyberturvallisuuden tila on hyvin vaihtelevaa. Laitokset ja niiden hyödyntämät järjestelmät voivat edustaa usean eri aikakauden tekniikkaa ja sisältää useiden eri aikakauden heikkouksia ja haavoittuvaisuuksia. Järjestelmät olivat aiemmin suhteellisen eristyksissä muista tietoverkoista kuin omista kommunikaatioväylistään. Tämä automaatiojärjestelmien eristyneisyyden heikkeneminen on luonut uuden joukon uhkia paljastamalla niiden kommunikaatiorajapintoja ympäröivälle maailmalle. Nämä verkkoympäristöt ovat kuitenkin edelleen verrattaen eristyneitä ja tätä ominaisuutta voidaan hyödyntää niiden valvonnassa. Tässä työssä esitetään tutkimustuloksia näiden verkkojen turvallisuuden valvomisesta erityisesti poikkeamien havainnoinnilla käyttäen hyväksi koneoppimismenetelmiä. Alkuvaiheen haasteiden ja erityispiirteiden tutkimuksen jälkeen työssä käytetään itsejärjestyvien karttojen (Self-Organizing Map, SOM) algoritmia esimerkkiratkaisun toteutuksessa uuden konseptin havainnollistamiseksi. Tämä uusi konsepti on tapahtumapohjainen koneoppiva poikkeamien havainnointi (Event-Driven Machine Learning Anomaly Detection, EMLAD). Työn kontribuutiot ovat seuraavat, kaikki teollisuusautomaatioverkkojen kontekstissa: ehdotus yhdeksi anomalioiden havainnoinnissa käytettävien ominaisuuksien ryhmäksi, koneoppivan poikkeamien havainnoinnin käyttökelpoisuuden toteaminen, laajennettava ja joustava esimerkkitoteutus uudesta EMLAD-konseptista toteutettuna Bro NSM työkalun ohjelmointikielellä. anomaly detection cybersecurity industrial control system security information security intrusion detection machine learning network security automaatiojärjestelmien turvallisuus koneoppiminen kyberturvallisuus poikkeamien havainnointi tietoturva tunkeutumisen havainnointi

Search results