[en] CHINA AND REALISM: THE SILK ROAD AS A PROJECT OF POWER CONSOLIDATION AND PROJECTION / [pt] CHINA E O REALISMO: A ROTA DA SEDA COMO PROJETO DE CONSOLIDAÇÃO E PROJEÇÃO DE PODER

EDUARDO PALMA DE SEIXAS

29 May 2018

[pt] O vertiginoso crescimento econômico da China das últimas décadas estabeleceu o país como uma das grandes potências de primeira grandeza do sistema internacional. Mesmo com a redução do ritmo do crescimento, estima-se que a China em breve se tornará a maior economia do mundo. O registro histórico indica que a ascensão econômica da China será acompanhada por sua ascensão política e militar. Conforme a teoria do realismo ofensivo, a China buscará ampliar sua esfera de influência sobre seu entorno geográfico com o intuito de estabelecer uma hegemonia regional. Essa dissertação irá argumentar que a iniciativa One Belt, One Road (OBOR) é a principal ferramenta das autoridades em Pequim para estabelecer uma hegemonia chinesa sobre a Eurásia. Por meio do investimento em infraestrutura no grande continente, a China irá criar uma rede de transporte terrestre e marítima que garantirá ao país acesso às principais rotas comerciais e energéticas da Eurásia, reduzindo sua vulnerabilidade no que diz respeito ao escoamento de suas exportações e ao acesso às importações de matérias primas. Argumenta-se que a OBOR é uma estratégia de duas frentes, simultaneamente baseada nas teorias de poder terrestre e poder naval, conforme os ensinamentos de Halford J. Mackinder e Alfred T. Mahan, respectivamente. Por fim, a posição dos Estados Unidos - os principais defensores da manutenção da atual distribuição de poder -, e das grandes potências vizinhas à China serão analisadas, pois a contínua expansão dos interesses internacionais da China está criando atritos ainda longe de serem resolvidos, particularmente na Ásia Central, no mar da China Meridional e no mar da China Oriental. / [en] China s breakneck economic growth in the last decades has established the country as a great power of the first rank in the international system. Even with a slowdown in the rate of growth, it is widely believed that China will soon become the largest economy in the world. History suggests that China s economic rise will be followed by its political and military rise as well. According to the theory of offensive realism, China will seek to broaden its sphere of influence as it tries to establish a regional hegemony. This dissertation will defend that the One Belt, One Road initiative (OBOR) is the main tool at Beijing s disposal for the establishment of Chinese hegemony over Eurasia. By investing in infrastructure throughout the great landmass, China will create a land and sea transport network that will guarantee the country access to Eurasia s main trade and energy routes, reducing China s vulnerability with regards to the outflow of its exports and to the inflow of raw materials. The argument here presented is that the OBOR is a two-pronged strategy, simultaneously based on the theories of land power and sea power, according to the teachings of Halford J. Mackinder and Alfred T. Mahan, respectively. Lastly, the position of the United States, the main defenders of the present-day distribution of power, and those of the great powers that neighbor China will be analyzed, given that the continued expansion of China s international interests is creating tensions still far from being resolved, particularly in Central Asia, the South China Sea and the East China Sea.

[pt] CHINA

[en] CHINA

[pt] SEGURANCA

[en] SECURITY

[pt] ECONOMIA POLITICA INTERNACIONAL

[en] INTERNATIONAL POLITICAL ECONOMY

[pt] GEOPOLITICA

[en] GEOPOLITICS

[pt] ROTA DA SEDA

[en] SILK ROAD

Avaliação de fontes de incerteza em estudos de rompimentos de barragens

Tschiedel, Arthur da Fontoura

January 2017

This work consists of a sensitivity evaluation of how uncertain input data used in dam brake studies affect certain parameters of flood wave for sections located at different locations along water courses, for two different watershed. The input data used were Manning coefficient, dam breach parameters, reservoir volume, downstream topography (represented by Digital Elevation Models (DEMs), and equation adopted. The evaluation parameters considered were the peak flow, the peak time, the maximum depth and the maximum speed of the flood wave. Thus, perturbation groups of the input data were created within an expected range of use, whose results from the simulations were confronted in order to identify the most affected hydraulic parameters for different input data in different sections of water courses evaluated. Two study areas with distinct characteristics of downstream valleys were considered: The Canastra Dam, located in Canela / RS, which presents a valley with slopes of 40 m/km and the Lomba do Sabão Dam, located in Porto Alegre / RS, which has slopes of the order of 4 m/km. For the area with high slopes, 182 hydrodynamic simulations were performed in 2 dimensions in HEC-RAS 5.03 software, considering DEMs from several sources, including global DEMs from SRTM and AW3D30. Some of them were post-processed with the insertion of real topographic sections obtained through aerial image processing raised by Unmanned Aerial Vehicles (UAVs). For the study area with smaller slopes, 13 simulations were performed, which were used to counterbalance the results obtained for the first study area. For this area of study, global DEMs from the SRTM were used, as well as LiDAR survey carried out for the city of Porto Alegre, which generated high precision DEMs, with resolutions of 1 meter. As a result, it was observed that in Action Emergency Plans, the uncertainties generated by a given input data can be compensated by conservative values adopted in another input data. In addition, we carried out the mapping of the weight exerted by the uncertainties of different input data in dam break studies, for valleys with contrasting topographic characteristics in sections near or distant from the dams, showing that uncertainties related to the topography are not always more important than other input data. / Este trabalho consiste numa avaliação de como as incertezas de determinados dados de entrada utilizados em estudos de rompimento de barragem afetam determinados resultados utilizados para avaliação da onda de cheia, para seções localizadas em diferentes locais ao longo de cursos hídricos, em áreas de estudo com características constrastantes. Os dados de entrada perturbados foram o coeficiente de Manning, parâmetros de brecha, volume do reservatório, topografia de jusante (representada por Modelos Digitais de Elevação - MDEs), e tipo de modelo hidrodinâmco adotado. Os parâmetros de avaliação considerados foram a vazão de pico, o tempo de pico, a profundidade máxima e a velocidade máxima da onda de cheia. Sendo assim, foram perturbados os dados de entrada dentro de uma faixa esperada de utilização, e resultados oriundos das simulações confrontados a fim de se identificar quais foram os parâmetros de avaliação mais afetados frente a incertezas dos dados de entrada em diferentes seções ao longo dos cursos hídricos avaliados. Foram consideradas duas áreas de estudo com características distintas de vales de jusante: A Barragem da Usina Hidrelétrica de Canastra, localizada em Canela/RS, que apresenta um vale com declividades da ordem de 40m/km, e a Barragem Lomba do Sabão, localizada em Porto Alegre/RS, que conta com declividades da ordem de 4m/km. Para a área com altas declividades foram realizadas 182 simulações hidrodinâmicas em 2 dimensões no modelo HEC-RAS 5.03, considerando MDEs de diversas fontes, incluindo os MDEs globais provenientes do SRTM e do AW3D30. Alguns deles foram pós-processados com a inserção de seções topográficas reais obtidas via processamento de imagens aéreas levantadas por Veículos Aéreos Não Tripulados (VANTs) e calhas de rio fictícias. Para a área de estudo com menores declividades foram realizadas 13 simulações, que foram utilizadas para contrapor os resultados obtidos para a primeira área de estudo. Para esta área de estudo foram utilizados MDEs globais oriundos do SRTM e também um levantamento LiDAR realizado para a cidade de Porto Alegre, que gerou MDEs de alta precisão, com resoluções de 1 metro. Os resultados obtidos sugerem que estudos de rompimento de barragem realizados a partir da utilização de informações topográficas pouco confiáveis podem ter as incertezas oriundas da caracterização da topografia de jusante compensadas por subestimativas ou superestimativas de outros dados de entrada utilizados em estudos de rompimento. Além disso, foi realizado o mapeamento do peso exercido pelas incertezas de diferentes dados de entrada em estudos de rompimentos de barragens, para vales com características topográficas contrastantes em seções próximas ou distantes dos barramentos, mostrando que nem sempre as incertezas relativas à topografia são mais importantes que outros dados de entrada.

Barragens : Rio Grande do Sul

Seguranca de barragens

Barragem : Confiabilidade

Modelo hidrodinamico

Usina hidreletrica

Canela (RS)

A one-class NIDS for SDN-based SCADA systems / Um NIDS baseado em OCC para sistemas SCADA baseados em SDN

Silva, Eduardo Germano da

January 2007

Sistemas elétricos possuem grande influência no desenvolvimento econômico mundial. Dada a importância da energia elétrica para nossa sociedade, os sistemas elétricos frequentemente são alvos de intrusões pela rede causadas pelas mais diversas motivações. Para minimizar ou até mesmo mitigar os efeitos de intrusões pela rede, estão sendo propostos mecanismos que aumentam o nível de segurança dos sistemas elétricos, como novos protocolos de comunicação e normas de padronização. Além disso, os sistemas elétricos estão passando por um intenso processo de modernização, tornando-os altamente dependentes de sistemas de rede responsáveis por monitorar e gerenciar componentes elétricos. Estes, então denominados Smart Grids, compreendem subsistemas de geração, transmissão, e distribuição elétrica, que são monitorados e gerenciados por sistemas de controle e aquisição de dados (SCADA). Nesta dissertação de mestrado, investigamos e discutimos a aplicabilidade e os benefícios da adoção de Redes Definidas por Software (SDN) para auxiliar o desenvolvimento da próxima geração de sistemas SCADA. Propomos também um sistema de detecção de intrusões (IDS) que utiliza técnicas específicas de classificação de tráfego e se beneficia de características das redes SCADA e do paradigma SDN/OpenFlow. Nossa proposta utiliza SDN para coletar periodicamente estatísticas de rede dos equipamentos SCADA, que são posteriormente processados por algoritmos de classificação baseados em exemplares de uma única classe (OCC). Dado que informações sobre ataques direcionados à sistemas SCADA são escassos e pouco divulgados publicamente por seus mantenedores, a principal vantagem ao utilizar algoritmos OCC é de que estes não dependem de assinaturas de ataques para detectar possíveis tráfegos maliciosos. Como prova de conceito, desenvolvemos um protótipo de nossa proposta. Por fim, em nossa avaliação experimental, observamos a performance e a acurácia de nosso protótipo utilizando dois tipos de algoritmos OCC, e considerando eventos anômalos na rede SCADA, como um ataque de negação de serviço (DoS), e a falha de diversos dispositivos de campo. / Power grids have great influence on the development of the world economy. Given the importance of the electrical energy to our society, power grids are often target of network intrusion motivated by several causes. To minimize or even to mitigate the aftereffects of network intrusions, more secure protocols and standardization norms to enhance the security of power grids have been proposed. In addition, power grids are undergoing an intense process of modernization, and becoming highly dependent on networked systems used to monitor and manage power components. These so-called Smart Grids comprise energy generation, transmission, and distribution subsystems, which are monitored and managed by Supervisory Control and Data Acquisition (SCADA) systems. In this Masters dissertation, we investigate and discuss the applicability and benefits of using Software-Defined Networking (SDN) to assist in the deployment of next generation SCADA systems. We also propose an Intrusion Detection System (IDS) that relies on specific techniques of traffic classification and takes advantage of the characteristics of SCADA networks and of the adoption of SDN/OpenFlow. Our proposal relies on SDN to periodically gather statistics from network devices, which are then processed by One- Class Classification (OCC) algorithms. Given that attack traces in SCADA networks are scarce and not publicly disclosed by utility companies, the main advantage of using OCC algorithms is that they do not depend on known attack signatures to detect possible malicious traffic. As a proof-of-concept, we developed a prototype of our proposal. Finally, in our experimental evaluation, we observed the performance and accuracy of our prototype using two OCC-based Machine Learning (ML) algorithms, and considering anomalous events in the SCADA network, such as a Denial-of-Service (DoS), and the failure of several SCADA field devices.

Redes : Computadores

Seguranca : Redes : Computadores

Supervisory control and data acquisition

Software-defined networking

Smart grids

Network-based intrusion detection system

One-class classification

Trust-based application grouping for cloud datacenters : improving security in shared infrastructures / Agrupamento de aplicações baseado em relações de confiança para datacenters de nuvens : aumentando a segurança em infraestruturas compartilhadas

Marcon, Daniel Stefani

January 2013

A computação em nuvem é um paradigma que tem atraído uma grande quantidade de clientes por meio do oferecimento de recursos computacionais através de um modelo de pagamento pelo uso. Entretanto, o compartilhamento da rede interna da nuvem por todos os locatários possibilita que usuários utilizem de forma egoísta ou maliciosa os recursos da rede, ocasionando ataques contra a privacidade e a integridade dos dados e a disponibilidade dos recursos. Os algoritmos de alocação atuais não impedem que a disponibilidade dos recursos de rede seja afetada por ataques ou resultam em subutilização de recursos. Nessa dissertação, é proposta uma estratégia para a alocação de recursos que aumenta a segurança no compartilhamento da rede da nuvem entre as aplicações de locatários. Esse objetivo é alcançado por meio do agrupamento de aplicações provenientes de usuários mutuamente confiáveis em domínios logicamente isolados, compostos por um conjunto de máquinas virtuais interconectadas por uma rede virtual (infraestruturas virtuais – VIs), além de considerar-se a quantidade de tráfego gerada pela comunicação entre VMs da mesma aplicação. Devido à complexidade do problema de alocação de recursos em nuvens computacionais, a estratégia é decomposta em duas etapas. Na primeira, dado um conjunto pre-estabelecido de VIs, alocam-se as mesmas no substrato físico, enquanto a segunda distribui e mapeia as aplicações no conjunto de infraestruturas virtuais. O uso de VIs provê um maior nível de isolamento entre locatários e, consequentemente, maior segurança. Contudo, o agrupamento pode resultar em fragmentação e afetar negativamente o grau de utilização dos recursos. Dessa forma, estuda-se esse compromisso e a factibilidade da abordagem proposta. Os resultados mostram os benefícios da estratégia de alocação proposta, que oferece maior proteção aos recursos de rede com baixo custo extra. Em particular, a segurança aumenta logaritmicamente de acordo com o número de VIs, enquanto a fragmentação de recursos cresce linearmente de acordo com o aumento do número de VIs oferecidas pelo provedor. / Cloud computing can offer virtually unlimited resources without any upfront capital investment through a pay-per-use pricing model. However, the shared nature of multi-tenant cloud datacenter networks enables unfair or malicious use of the intra-cloud network by tenants, allowing attacks against the privacy and integrity of data and the availability of resources. Recent research has proposed resource allocation algorithms that cannot protect tenants against attacks in the network or result in underutilization of resources. In this thesis, we introduce a resource allocation strategy that increases the security of network resource sharing among tenant applications. This is achieved by grouping applications from mutually trusting users into logically isolated domains composed of a set of virtual machines as well as the virtual network interconnecting them (virtual infrastructures - VIs), while considering the amount of traffic generated by the communication between VMs from the same application. Due to the hardness of the cloud resource allocation problem, we decompose the strategy in two steps. The first one allocates a given set of VIs onto the physical substrate, while the second distributes and maps applications into the set of virtual infrastructures. The use of VIs provides some level of isolation and higher security. However, groups may lead to fragmentation and negatively affect resource utilization. Therefore, we study the associated trade-off and feasibility of the proposed approach. Evaluation results show the benefits of our strategy, which is able to offer better network resource protection against attacks with low additional cost. In particular, the security can be logarithmically increased according to the number of VIs, while internal resource fragmentation linearly grows as the number of VIs offered by the provider increases.

Redes : Computadores

Seguranca : Redes : Comunicacao : Dados

Computação em nuvem

Cloud computing

Resource allocation

Intra-cloud network sharing

Security

Performance interference

Denial of service

Metodologia simplificada para análise de aspectos hidráulicos em rompimento de barragens

Ferla, Rute

January 2018

O início da construção de estruturas para reserva de água no mundo é conhecido há milhares de anos, e, desde então, as barragens são consideradas alternativas viáveis não apenas para reserva de água para consumo, mas também para as finalidades de geração de energia hidrelétrica, contenção de rejeitos, entre outras. Entretanto, mesmo com os contínuos avanços nas técnicas construtivas e na fiscalização da segurança destas estruturas, a possibilidade de rompimento de barragens é uma realidade constante. Nesta perspectiva, o presente texto objetiva analisar os aspectos hidráulicos de metodologias simplificadas para estimativa de parâmetros de inundação proveniente do rompimento de barragens, a saber, as vazões e respectivas profundidades atingidas no vale a jusante, em um evento de rompimento hipotético. Para tal, analisaram-se os resultados de três metodologias simplificadas existentes, aplicadas em três barragens estudo de caso, com características estruturais e geometria do vale a jusante distintas. Os resultados das metodologias simplificadas foram comparados com os estudos de Dam Break das três barragens estudo de caso, obtidos com o uso do software HEC-RAS unidimensional e cedidos por empreendedores. O presente texto também sugere uma nova equação empírica para previsão da vazão máxima resultante do rompimento de barragens por galgamento, e propõe uma nova metodologia simplificada para análise preliminar de rompimento de barragens, com base nos métodos analisados e nas respectivas conclusões obtidas. Os resultados indicam que o uso de metodologias simplificadas na análise preliminar de rompimento de barragens é uma alternativa viável em vales cuja declividade do talvegue é acentuada e cujas características geométricas são aproximadamente constantes. Identificou-se que pequenas alterações no coeficiente de rugosidade do terreno e na declividade da linha de energia refletiram em diferenças nos resultados de profundidades e larguras máximas de 20%, em média. A proposta de nova equação empírica para previsão de vazão máxima na seção da barragem baseou-se na análise de 39 casos reais envolvendo ruptura de barragens por galgamento e resultou em um coeficiente de determinação (R²) de 0,79. Quando comparada com as principais equações semelhantes indicadas na bibliografia, a equação proposta obteve vazões máximas próximas ou superiores às dos demais pesquisadores analisados sempre que a altura da barragem foi inferior a 30 m. Evidencia-se a importância na estimativa cautelosa da vazão máxima na seção da barragem, uma vez que essa reflete em diferenças significativas nas vazões e respectivas profundidades alcançadas ao longo do vale a jusante da estrutura. Nos casos analisados, diferentes vazões máximas na seção da barragem refletiram em distinções de até 50%, em média, nas profundidades e larguras máximas a jusante. A nova metodologia proposta para definição de características de inundação provenientes do rompimento de barragens pode contribuir em estudos preliminares para tal, especialmente aos empreendedores que possuem número expressivo de barragens. Nesses casos, a metodologia poderá nortear a prioridade a ser dada em estudos detalhados de Dam Break. / For thousands of years, water reservoir structures have been built worldwide. Since then, dams have been considered viable alternatives not only for reserving water for consumption but also for the purposes of hydroelectric power generation and sediment retention, among others. Despite the continuous advances in the construction techniques and in the safety inspection of these structures, the possibility of breaking of dams remains a constant reality. Hence, this paper aims to analyze the hydraulic aspects of simplified methodologies for estimating flood parameters on dam ruptures, namely, the flows and respective depths reached in the downstream valley in a hypothetical breach event. Results of three existing simplified methodologies were studied applied in three dams with different structural characteristics and downstream valley geometry. The results of simplified methodologies were compared with dam break studies of three study case dams, obtained with one-dimensional HEC-RAS and provided by entrepreneurs. The present paper suggests also a new empirical equation for predicting the maximum flow resulting from the overtopping dam failure and proposes a new simplified methodology for preliminary analysis of dam rupture, based on the analyzed methods and respective obtained conclusions. The results indicate that the use of simplified methodologies in the preliminary dam break analysis is a viable alternative in valleys with high thalweg declivities and close to constant geometric characteristics. It was identified that small changes in the coefficient of rough terrain and in the energy line slope reflected in differences in the results of depths and maximum widths of 20%, on average. The proposed new empirical equation for maximum flow prediction in the dam section was based on the analysis of 39 actual cases involving overtopping dam failure and resulted in a coefficient of determination (R²) of 0.79. When compared to similar main equations indicated in the bibliography, the proposed equation obtained maximum flows near or higher than those of other researchers analyzed whenever the height of the dam did not exceed 30 m. The importance of a cautious estimation of the maximum flow rate in the dam section is to be highlighted, since it results in significant variations of flow and respective depths along the valley and downstream of the structure. Different maximum flows were found in the dam section, which reflected in distinctions of up to 50%, in average, in the maximum depths and widths downstream. The new proposed methodology for defining dam break characteristics caused by dam rupture may contribute to preliminary studies, especially to entrepreneurs who own a significant number of dams. In these cases, the methodology may guide the priority to be given in detailed studies of dam break.

Ruptura de barragens

Seguranca de barragens

Vazão máxima

Hidrograma

Propagação de vazões

Modelos hidrodinâmicos

Propagacao de ondas

Modelos hidráulicos

Modelos matemáticos

Modelo HEC-RAS

Dam safety

Dam break

Wave propagation

Slowing down to speed up : protecting users against massive attacks in content distribution systems / Atrasar para aprimorar : protegendo usuários contra ataques massivos em sistemas de distribuição de conteúdo

Santos, Flávio Roberto

January 2013

A Internet tem se tornado uma plataforma importante para interação e compartilhamento de arquivos, o que motivou uma crescente demanda por serviços eficientes. Sistemas de distribuição de conteúdo (CDS) precisaram ser criados visando modernidade e robustez. No contexto desta tese, CDS são definidos como sistemas usados para compartilhar qualquer tipo de conteúdo na Internet. Duas categorias de CDS se destacam como as mais populares: compartilhamento de arquivos e sistemas de mídia contínua. Arquiteturas par-a-par (P2P) surgiram como potenciais soluções para o aprimoramento da disseminação de conteúdo nos CDS. Nesse contexto, a popularização das arquiteturas P2P motivou a comunidade científica a investigar alguns aspectos de pesquisa desafiadores, e.g., otimização de topologias de redes, mecanismos de inicialização de sistemas e serviços de descoberta de recursos. Um desafio com interesse especial a esta tese diz respeito a mecanismos para conciliar a preferência dos usuários aos conteúdos publicados. Esse aspecto é importante para garantir uma boa qualidade de experiência (QoE) aos usuários dos sistemas, uma vez que podem existir divergências entre opiniões na descrição dos conteúdos e ações maliciosas. Esforços de pesquisa constantes têm sido feitos para combater poluição de conteúdo em CDS. Abordagens buscam construir uma base de conhecimento sobre poluidores e conteúdos poluídos para identificar e isolar conteúdos suspeitos depois que eles são publicados. Entretanto, o tempo de reação dessas abordagens até considerar um conteúdo poluído é consideravelmente longo, permitindo uma ampla disseminação de poluição. Além disso, algumas abordagens anteriores buscam polarizar conteúdos entre poluídos ou não, desconsiderando a intrínseca subjetividade acerca da classificação dos conteúdos compartilhados. O objetivo principal desta tese é propor um mecanismo para prover uma boa QoE aos usuários – agindo proativamente durante as fases iniciais da publicação dos conteúdos – e reduzir os efeitos de interferências maliciosas. Para alcançar tal objetivo, três passos principais guiaram o trabalho de pesquisa apresentado nesta tese. Primeiro, propusemos uma estratégia inovadora que opera de forma conservadora para conter a disseminação de poluição. Segundo, estendemos nossa solução para lidar com a subjetividade acerca das descrições dos conteúdos. Terceiro, tratamos o ataque de poluição como um ataque massivo. Para avaliar a solução, experimentos foram executados utilizando testes reais e simulações. Resultados ressaltaram a importância de adotar medidas de segurança para combater comportamentosmaliciosos em CDS. Na ausência de mecanismos de contramedida, pequenas proporções (10%) de atacantes foram capazes de comprometer o sistema. A instanciação da estratégia conservadora proposta nesta tese demonstrou a eficácia em atrasar usuários para contornar ataques massivos. / The Internet has become a large platform where users can interact and share personal files or third-party productions. Considering the increasing demand for efficient content sharing, modern and robust content distribution systems (CDS) need to be deployed and maintained. In the context of this thesis, CDS are defined as systems used for sharing any kind of content on the Internet. Two categories of CDS are underscored as the most popular ones: file sharing and streaming systems. Peer-to-peer (P2P) architectures have emerged as a potential solution to improve content dissemination in CDS. The popularization of P2P architectures, in the context of CDS,motivated the scientific community to investigate some challenging problems, namely network topology optimization, bootstrap mechanisms, and service discovery. One particular interesting challenge, in the context of this thesis, is related to mechanisms to approximate users to their personal interests. This is important to guarantee good quality of experience (QoE) to users when searching for content. Imprecise descriptions are likely to happen due to different users’ opinion or malicious behavior. Substantial research has been carried out to fight content pollution in CDS. Proposed approaches try to identify and isolate suspicious content after publication. The rationale is to build a base of knowledge about polluters and fake content. However, the reaction time until a content is considered polluted is considerably long, which allows pollution to get widely disseminated. Furthermore, some previous approaches attempt to polarize contents in either polluted or not, not taking into account the inherent subjectivity behind the evaluation of shared contents. The main objective of this thesis is to devise a mechanism to provide users a good QoE – by acting proactively in the early stages of content distribution life cycle – and reduce the effect of malicious interferences. To achieve that, three main steps guided the research work presented in this thesis. First, we proposed a novel strategy that operates conservatively to avoid wide pollution dissemination. Second, we extended our previous solution to cope with the subjectivity regarding content descriptions. Third, and last, we address the pollution attack as a massive attack. To evaluate our solution, a set of experiments was carried out using both real tests and simulations. Results showed the importance of adopting security measures to mitigate malicious behavior in CDS. In the absence of countermeasure mechanisms, even a small proportion (10%) of attackers was able to subvert the system. The introduction of a conservative strategy in this thesis demonstrated the efficacy of delaying users in circumventing massive attacks.

Redes : Computadores

Seguranca : Redes : Computadores

Redes P2P

Content distribution systems

Peer-to-peer systems

File sharing

Streaming systems

Tagging systems

Conservative strategies

Delaying mechanisms

Content pollution

Massive attacks

Trust-based application grouping for cloud datacenters : improving security in shared infrastructures / Agrupamento de aplicações baseado em relações de confiança para datacenters de nuvens : aumentando a segurança em infraestruturas compartilhadas

Marcon, Daniel Stefani

January 2013

A computação em nuvem é um paradigma que tem atraído uma grande quantidade de clientes por meio do oferecimento de recursos computacionais através de um modelo de pagamento pelo uso. Entretanto, o compartilhamento da rede interna da nuvem por todos os locatários possibilita que usuários utilizem de forma egoísta ou maliciosa os recursos da rede, ocasionando ataques contra a privacidade e a integridade dos dados e a disponibilidade dos recursos. Os algoritmos de alocação atuais não impedem que a disponibilidade dos recursos de rede seja afetada por ataques ou resultam em subutilização de recursos. Nessa dissertação, é proposta uma estratégia para a alocação de recursos que aumenta a segurança no compartilhamento da rede da nuvem entre as aplicações de locatários. Esse objetivo é alcançado por meio do agrupamento de aplicações provenientes de usuários mutuamente confiáveis em domínios logicamente isolados, compostos por um conjunto de máquinas virtuais interconectadas por uma rede virtual (infraestruturas virtuais – VIs), além de considerar-se a quantidade de tráfego gerada pela comunicação entre VMs da mesma aplicação. Devido à complexidade do problema de alocação de recursos em nuvens computacionais, a estratégia é decomposta em duas etapas. Na primeira, dado um conjunto pre-estabelecido de VIs, alocam-se as mesmas no substrato físico, enquanto a segunda distribui e mapeia as aplicações no conjunto de infraestruturas virtuais. O uso de VIs provê um maior nível de isolamento entre locatários e, consequentemente, maior segurança. Contudo, o agrupamento pode resultar em fragmentação e afetar negativamente o grau de utilização dos recursos. Dessa forma, estuda-se esse compromisso e a factibilidade da abordagem proposta. Os resultados mostram os benefícios da estratégia de alocação proposta, que oferece maior proteção aos recursos de rede com baixo custo extra. Em particular, a segurança aumenta logaritmicamente de acordo com o número de VIs, enquanto a fragmentação de recursos cresce linearmente de acordo com o aumento do número de VIs oferecidas pelo provedor. / Cloud computing can offer virtually unlimited resources without any upfront capital investment through a pay-per-use pricing model. However, the shared nature of multi-tenant cloud datacenter networks enables unfair or malicious use of the intra-cloud network by tenants, allowing attacks against the privacy and integrity of data and the availability of resources. Recent research has proposed resource allocation algorithms that cannot protect tenants against attacks in the network or result in underutilization of resources. In this thesis, we introduce a resource allocation strategy that increases the security of network resource sharing among tenant applications. This is achieved by grouping applications from mutually trusting users into logically isolated domains composed of a set of virtual machines as well as the virtual network interconnecting them (virtual infrastructures - VIs), while considering the amount of traffic generated by the communication between VMs from the same application. Due to the hardness of the cloud resource allocation problem, we decompose the strategy in two steps. The first one allocates a given set of VIs onto the physical substrate, while the second distributes and maps applications into the set of virtual infrastructures. The use of VIs provides some level of isolation and higher security. However, groups may lead to fragmentation and negatively affect resource utilization. Therefore, we study the associated trade-off and feasibility of the proposed approach. Evaluation results show the benefits of our strategy, which is able to offer better network resource protection against attacks with low additional cost. In particular, the security can be logarithmically increased according to the number of VIs, while internal resource fragmentation linearly grows as the number of VIs offered by the provider increases.

Redes : Computadores

Seguranca : Redes : Comunicacao : Dados

Computação em nuvem

Cloud computing

Resource allocation

Intra-cloud network sharing

Security

Performance interference

Denial of service

Mecanismo de autenticação baseado na localização de estações sem fios padrão IEEE 802.11 / IEEE 802.11 authentication mechanism based on wireless station location

Peres, Andre

January 2010

A vantagem das redes locais sem fios, as quais permitem que uma estação móvel possa deslocar-se livremente dentro da área de abrangência da rede, possui uma contrapartida em termos de segurança. A possibilidade dos sinais de microondas atravessarem paredes e sofrerem atenuação, reflexão, refração, difração e dispersão, dependendo dos obstáculos, torna a definição dos limites da área de abrangência da rede sem fios uma tarefa difícil. Sem o conhecimento dos limites de abrangência, o administrador não tem como delimitar fisicamente o acesso à rede. Além disso, o padrão IEEE 802.11 não define um mecanismo capaz de localizar a posição física de estações móveis. Sem a possibilidade de localização de estações, é impossível restringir o acesso à rede baseando-se em limitações físicas definidas pelo administrador. Quando a rede sem fios é utilizada em ambientes internos, os diversos obstáculos e seu comportamento dinâmico (como pessoas em movimento, por exemplo), fazem com que os sinais de microondas alterem as características da área de abrangência da rede. Este trabalho propõe uma nova abordagem para localização de estações sem fios em ambientes internos, baseada no comportamento dinâmico dos obstáculos e conseqüentes alterações na rede, e, de acordo com este comportamento, tenta ampliar a eficiência da localização de estações. Por fim, é proposto um novo sistema de autenticação de estações baseado na sua localização. / The advantage of wireless local area networks, giving the mobile stations the possibility of moving free inside the network access range comes with a security drawback. The fact that microwave signals can cross walls and behave with attenuation, reflections, refraction, diffraction and dispersion, depending of the obstacles, makes very difficult to define the network access range. Without the knowledge of the network boundaries, the network administrator cannot define a physical delimiter to network access. Besides this issue, there is no default user-location mechanism in the IEEE 802.11 standard. Without the user-location, it is impossible to restrict the network access based on the physical access boundaries defined by the administrator. When the wireless network operates indoor the many obstacles and the dynamic behavior of these obstacles (some people moving around, for instance) make the microwave signal behavior change the range and aspect of the network. This work proposes a new approach to indoor user-location mechanism, based on the dynamic behavior of the obstacles and consequent changes on network range. This approach focus on the dynamic obstacles behavior analysis and according to this behavior tries to increase the user-location system efficiency. Finally a new authentication system based on the user location is proposed.

Redes : Computadores

Redes locais : Computadores

IEEE 802.11

Seguranca : Redes : Computadores

Wireless local area networks IEEE 802.11

Wireless location

Network security

Network authentication

Segurança em sistemas de comunicação pessoal : um modelo de arquitetura de protocolos para a interconexão de sistemas heterogêneos / Security in personal communications systems. one model of protocol architecture for the interworking of heterogeneous systems

Luna Galiano, Herbert

January 1997

A evolução dos sistemas de comunicação sem fio ou wireless apresentam até agora três gerações em menos de duas décadas. Fazendo parte desta evolução estão os sistemas de telefonia celular e os emergentes Sistemas de Comunicação Pessoal ou PCS (Personal Communications Systems). Este trabalho visa apresentar duas questões importantes na evolução destes sistemas, primeiro a questão da segurança e segundo a questão da interconexão com redes heterogêneas. No trabalho, abordando a questão de segurança, são estudados, analisados e comparados os mecanismos de autenticação e privacidade implementados nos atuais padrões de telefonia celular digital e analógico, como sistemas AMPS (celular analógico americano), USCD (celular digital americano) e GSM (celular digital europeu). São identificadas a vulnerabilidade e os fraudes mais comuns nestes sistemas. Também são analisados as propostas das recentes pesquisas e o state of art em termos de segurança, para os sistemas PCS emergentes. Como conclusão apresentado um quadro comparativo resumindo as principais características de segurança adotados pelos sistemas abordados neste estudo. Uma vez apresentado os aspectos de segurança em forma isolada para cada um dos sistemas acima mencionados, é apresentado a questão segurança no contexto da interconexão com redes heterogêneas. A interconexão com redes heterogêneas é outro problema a ser resolvido na implementação da terceira geração de sistemas wireless, para fornecer o roaming automático e a mobilidade pessoal e de terminal. Neste trabalho são revisados os protocolos de sinalização SS7 (Signaling System Number 7) e MAP (Mobile Application Part), como requisitos importantes na solução da interconexão e interoperabilidade entre as redes fixas atuais com as futuras redes móveis. Como conclusão deste estudo é apresentado a proposta de uma arquitetura de protocolos de sinalização, representando a interconexão de um sistema PCS baseado no padrão J-STD-007, com a rede de telefonia celular IS-95. Esta interconexão é realizada através de uma interface de rede denominada IIF (Interworking and Interoperability Function) usando protocolos de sinalização por canal comum SS7 e MAP. Finalmente são apresentados as conclusões quanto aos objetivos alcançados, e é proposto um trabalho futuro, tomando como base o desenvolvido neste trabalho. / The evolution of wireless communications systems has developed into the third generation which is mainly represented by the Telephone Cellular Systems and PCS (Personal Communication systems). This work presents an overview about two importante issues in the evolution of the Wireless Communication Systems: Security and Interworking. Initially we carry out our study on the wireless communication security issue by analyzing and comparing some major authentication features and privacy characteristics implemented in the currently standardized cellular phone systems such as AMPS (American Analog Cellular), USCD (American Digital Cellular) and GSM (Euroupean Digital Cellular). For this end. we tentatively determine how vulnerable to the fraudulent attacks these systems are and what are those frauds commonly occurring in these systems. Also we analyze the state of art and some proposals for security problems in PCS systems found in the literature. We conclude our preliminary study with a table summarizing some principal systems' characteristics in the security issue. Next, we extend our discussion to the case of heterogeneous networks. In fact, the interconnection of heterogeneous networks is another important issue that needs to be deeply investigated in order to develop a rebust third generation of wireless communication systems, special those capable of providing automatic "roaming" and personal as well as terminal mobility. In this work we particularly discuss the protocols employed in the signaling system SS7 ( Signaling Systems Number 7) and MAP ( Mobile Application Part) which are important issues in terms of the interworking and interoperability of wireless and wireline networks. As a conclusion of this discussion, we propose a protocol architecture based on the RM-OSI model relating to the interconnection of a PCS system, J-STD-007, with the IS-95 cellular phone networks. Note that the proposed model uses the signaling systems SS7 and MAP. Finally we present some importante conclusion with respect to the objetives achieved in this work, and propose some future research activities based on this work.

Telefonia celular

Seguranca : Comunicacao sem fio

Cellular systems

Wireless communications

Slowing down to speed up : protecting users against massive attacks in content distribution systems / Atrasar para aprimorar : protegendo usuários contra ataques massivos em sistemas de distribuição de conteúdo

Santos, Flávio Roberto

January 2013

A Internet tem se tornado uma plataforma importante para interação e compartilhamento de arquivos, o que motivou uma crescente demanda por serviços eficientes. Sistemas de distribuição de conteúdo (CDS) precisaram ser criados visando modernidade e robustez. No contexto desta tese, CDS são definidos como sistemas usados para compartilhar qualquer tipo de conteúdo na Internet. Duas categorias de CDS se destacam como as mais populares: compartilhamento de arquivos e sistemas de mídia contínua. Arquiteturas par-a-par (P2P) surgiram como potenciais soluções para o aprimoramento da disseminação de conteúdo nos CDS. Nesse contexto, a popularização das arquiteturas P2P motivou a comunidade científica a investigar alguns aspectos de pesquisa desafiadores, e.g., otimização de topologias de redes, mecanismos de inicialização de sistemas e serviços de descoberta de recursos. Um desafio com interesse especial a esta tese diz respeito a mecanismos para conciliar a preferência dos usuários aos conteúdos publicados. Esse aspecto é importante para garantir uma boa qualidade de experiência (QoE) aos usuários dos sistemas, uma vez que podem existir divergências entre opiniões na descrição dos conteúdos e ações maliciosas. Esforços de pesquisa constantes têm sido feitos para combater poluição de conteúdo em CDS. Abordagens buscam construir uma base de conhecimento sobre poluidores e conteúdos poluídos para identificar e isolar conteúdos suspeitos depois que eles são publicados. Entretanto, o tempo de reação dessas abordagens até considerar um conteúdo poluído é consideravelmente longo, permitindo uma ampla disseminação de poluição. Além disso, algumas abordagens anteriores buscam polarizar conteúdos entre poluídos ou não, desconsiderando a intrínseca subjetividade acerca da classificação dos conteúdos compartilhados. O objetivo principal desta tese é propor um mecanismo para prover uma boa QoE aos usuários – agindo proativamente durante as fases iniciais da publicação dos conteúdos – e reduzir os efeitos de interferências maliciosas. Para alcançar tal objetivo, três passos principais guiaram o trabalho de pesquisa apresentado nesta tese. Primeiro, propusemos uma estratégia inovadora que opera de forma conservadora para conter a disseminação de poluição. Segundo, estendemos nossa solução para lidar com a subjetividade acerca das descrições dos conteúdos. Terceiro, tratamos o ataque de poluição como um ataque massivo. Para avaliar a solução, experimentos foram executados utilizando testes reais e simulações. Resultados ressaltaram a importância de adotar medidas de segurança para combater comportamentosmaliciosos em CDS. Na ausência de mecanismos de contramedida, pequenas proporções (10%) de atacantes foram capazes de comprometer o sistema. A instanciação da estratégia conservadora proposta nesta tese demonstrou a eficácia em atrasar usuários para contornar ataques massivos. / The Internet has become a large platform where users can interact and share personal files or third-party productions. Considering the increasing demand for efficient content sharing, modern and robust content distribution systems (CDS) need to be deployed and maintained. In the context of this thesis, CDS are defined as systems used for sharing any kind of content on the Internet. Two categories of CDS are underscored as the most popular ones: file sharing and streaming systems. Peer-to-peer (P2P) architectures have emerged as a potential solution to improve content dissemination in CDS. The popularization of P2P architectures, in the context of CDS,motivated the scientific community to investigate some challenging problems, namely network topology optimization, bootstrap mechanisms, and service discovery. One particular interesting challenge, in the context of this thesis, is related to mechanisms to approximate users to their personal interests. This is important to guarantee good quality of experience (QoE) to users when searching for content. Imprecise descriptions are likely to happen due to different users’ opinion or malicious behavior. Substantial research has been carried out to fight content pollution in CDS. Proposed approaches try to identify and isolate suspicious content after publication. The rationale is to build a base of knowledge about polluters and fake content. However, the reaction time until a content is considered polluted is considerably long, which allows pollution to get widely disseminated. Furthermore, some previous approaches attempt to polarize contents in either polluted or not, not taking into account the inherent subjectivity behind the evaluation of shared contents. The main objective of this thesis is to devise a mechanism to provide users a good QoE – by acting proactively in the early stages of content distribution life cycle – and reduce the effect of malicious interferences. To achieve that, three main steps guided the research work presented in this thesis. First, we proposed a novel strategy that operates conservatively to avoid wide pollution dissemination. Second, we extended our previous solution to cope with the subjectivity regarding content descriptions. Third, and last, we address the pollution attack as a massive attack. To evaluate our solution, a set of experiments was carried out using both real tests and simulations. Results showed the importance of adopting security measures to mitigate malicious behavior in CDS. In the absence of countermeasure mechanisms, even a small proportion (10%) of attackers was able to subvert the system. The introduction of a conservative strategy in this thesis demonstrated the efficacy of delaying users in circumventing massive attacks.

Redes : Computadores

Seguranca : Redes : Computadores

Redes P2P

Content distribution systems

Peer-to-peer systems

File sharing

Streaming systems

Tagging systems

Conservative strategies

Delaying mechanisms

Content pollution

Massive attacks