Técnicas de detecção de Sniffers

A área de Detecção de Intrusão, apesar de muito pesquisada, não responde a alguns problemas reais como níveis de ataques, dim ensão e complexidade de redes, tolerância a falhas, autenticação e privacidade, interoperabilidade e padronização. Uma pesquisa no Instituto de Informática da UFRGS, mais especificamente no Grupo de Segurança (GSEG), visa desenvolver um Sistema de Detecção de Intrusão Distribuído e com características de tolerância a falhas. Este projeto, denominado Asgaard, é a idealização de um sistema cujo objetivo não se restringe apenas a ser mais uma ferramenta de Detecção de Intrusão, mas uma plataforma que possibilite agregar novos módulos e técnicas, sendo um avanço em relação a outros Sistemas de Detecção atualmente em desenvolvimento. Um tópico ainda não abordado neste projeto seria a detecção de sniffers na rede, vindo a ser uma forma de prevenir que um ataque prossiga em outras estações ou redes interconectadas, desde que um intruso normalmente instala um sniffer após um ataque bem sucedido. Este trabalho discute as técnicas de detecção de sniffers, seus cenários, bem como avalia o uso destas técnicas em uma rede local. As técnicas conhecidas são testadas em um ambiente com diferentes sistemas operacionais, como linux e windows, mapeando os resultados sobre a eficiência das mesmas em condições diversas.

Uma Proposta de uso da Arquitetura Trace como um sistema de detecção de intrusão

Este trabalho propõe a utilização da arquitetura Trace como um sistema de detecção de intrusão. A arquitetura Trace oferece suporte ao gerenciamento de protocolos de alto nível, serviços e aplicações através de uma abordagem baseada na observação passiva de interações de protocolos (traços) no tráfego de rede. Para descrever os cenários a serem monitorados, é utilizada uma linguagem baseada em máquinas de estado. Esta linguagem permite caracterizar aspectos observáveis do tráfego capturado com vistas a sua associação com formas de ataque. O trabalho mostra, através de exemplos, que esta linguagem é adequada para a modelagem de assinaturas de ataques e propõe extensões para permitir a especificação de um número maior de cenários ligados ao gerenciamento de segurançaa. Em seguida, é descrita a implementação do agente de monitoração, componente-chave da arquitetura Trace, e sua utilização para detectar intrusões. Esse agente (a) captura o tráfego da rede, (b) observa a ocorrência dos traços programados e (c) armazena estatísticas sobre a sua ocorrência em uma base de informações de gerenciamento (MIB { Management Information Base). O uso de SNMP permite a recuperação destas informações relativas µa ocorrências dos ataques. A solução apresentada mostrou ser apropriada para resolver duas classes de problemas dos sistemas de detecção de intrusão: o excesso de falsos positivos e a dificuldade em se modelar certos ataques.

Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento

A segurança no ambiente de redes de computadores é um elemento essencial para a proteção dos recursos da rede, dos sistemas e das informações. Os mecanismos de segurança normalmente empregados são criptografia de dados, firewalls, mecanismos de controle de acesso e sistemas de detecção de intrusão. Os sistemas de detecção de intrusão têm sido alvo de várias pesquisas, pois é um mecanismo muito importante para monitoração e detecção de eventos suspeitos em um ambiente de redes de computadores. As pesquisas nessa área visam aprimorar os mecanismos de detecção de forma a aumentar a sua eficiência. Este trabalho está focado na área de detecção de anomalias baseada na utilização de métodos estatísticos para identificar desvios de comportamento e controlar o acesso aos recursos da rede. O principal objetivo é criar um mecanismo de controle de usuários da rede, de forma a reconhecer a legitimidade do usuário através de suas ações. O sistema proposto utilizou média e desvio padrão para detecção de desvios no comportamento dos usuários. Os resultados obtidos através da monitoração do comportamento dos usuários e aplicação das medidas estatísticas, permitiram verificar a sua validade para o reconhecimento dos desvios de comportamento dos usuários. Portanto, confirmou-se a hipótese de que estas medidas podem ser utilizadas para determinar a legitimidade de um usuário, bem como detectar anomalias de comportamento. As análises dos resultados de média e desvio padrão permitiram concluir que, além de observar os seus valores estanques, é necessário observar o seu comportamento, ou seja, verificar se os valores de média e desvio crescem ou decrescem. Além da média e do desvio padrão, identificou-se também a necessidade de utilização de outra medida para refletir o quanto não se sabe sobre o comportamento de um usuário. Esta medida é necessária, pois a média e o desvio padrão são calculados com base apenas nas informações conhecidas, ou seja, informações registradas no perfil do usuário. Quando o usuário faz acessos a hosts e serviços desconhecidos, ou seja, não registrados, eles não são representados através destas medidas. Assim sendo, este trabalho propõe a utilização de uma medida denominada de grau de desconhecimento, utilizada para medir quantos acessos diferentes do seu perfil o usuário está realizando. O sistema de detecção de anomalias necessita combinar as medidas acima descritas e decidir se deve tomar uma ação no sistema. Pra este fim, propõe-se a utilização de sistemas de regras de produção e lógica fuzzy, que permitem a análise das medidas resultantes e execução do processo de decisão que irá desencadear uma ação no sistema. O trabalho também discute a integração do sistema de detecção de intrusão proposto à aplicação de gerenciamento SNMP e ao gerenciamento baseado em políticas.

Detecção de fusos de sono em adultos jovens por meio de transformadas wavelet

A análise do sono está baseada na polissonogra a e o sinal de EEG é o mais importante. A necessidade de desenvolver uma análise automática do sono tem dois objetivos básicos: reduzir o tempo gasto na análise visual e explorar novas medidas quantitativas e suas relações com certos tipos de distúrbios do sono. A estrutura do sinal de EEG de sono está relacionada com a chamada microestrutura do sono, que é composta por grafoelementos. Um destes grafoelementos é o fuso de sono (spindles). Foi utilizado um delineamento transversal aplicado a um grupo de indivíduos normais do sexo masculino para testar o desempenho de um conjunto de ferramentas para a detecção automática de fusos. Exploramos a detecção destes fusos de sono através de procura direta, Matching Pursuit e uma rede neural que utiliza como "input"a transformada de Gabor (GT). Em comparação com a análise visual, o método utilizando a transformada de Gabor e redes neurais apresentou uma sensibilidade de 77% e especi cidade de 73%. Já o Matching Pursuit, apesar de mais demorado, se mostrou mais e ciente, apresentando sensibilidade de 81,2% e especi cidade de 85.2%.

Teste da rede de interconexões de field programmable analog arrays

Os dispositivos analógicos programáveis (FPAAs, do inglês, Field Programmable Analog Arrays), apesar de ainda não terem a mesma popularidade de seus pares digitais (FPGAs, do inglês, Field Programmable Gate Arrays), possuem uma gama de aplicações bastante ampla, que vai desde o condicionamento de sinais em sistemas de instrumentação, até o processamento de sinais de radiofreqüência (RF) em telecomunicações. Porém, ao mesmo tempo em que os FPAAs trouxeram um impressionante ganho na agilidade de concepção de circuitos analógicos, também trouxeram um conjunto de novos problemas relativos ao teste deste tipo de dispositivo. Os FPAAs podem ser divididos em duas partes fundamentais: seus blocos programáveis básicos (CABs, do inglês, Configurable Analog Blocks) e sua rede de interconexões. A rede de interconexões, por sua vez, pode ser dividida em duas partes: interconexões internas (locais e globais entre CABs) e interconexões externas (envolvendo células de I/O). Todas estas partes apresentam características estruturais e funcionais distintas, de forma que devem ser testadas separadamente, pois necessitam que se considerem modelos de falhas, configurações e estímulos de teste específicos para assegurar uma boa taxa de detecção de defeitos. Como trabalhos anteriores já estudaram o teste dos CABs, o foco desta dissertação está direcionado ao desenvolvimento de metodologias que se propõem a testar a rede de interconexões de FPAAs. Apesar das várias diferenças entre as redes de interconexões de FPGAs e FPAAs, muitas também são as semelhanças entre elas, sendo, portanto, indiscutível que o ponto de partida deste trabalho tenha que ser o estudo das muitas técnicas propostas para o teste de interconexões em FPGAs, para posterior adaptação ao caso dos FPAAs. Além disto, embora o seu foco não recaia sobre o teste de CABs, pretende-se utilizá-los como recursos internos do dispositivo passíveis de gerar sinais e analisar respostas de teste, propondo uma abordagem de auto-teste integrado de interconexões que reduza o custo relativo ao equipamento externo de teste. Eventualmente, estes mesmos recursos poderão também ser utilizados para diagnóstico das partes defeituosas. Neste trabalho, utiliza-se como veículo de experimentação um dispositivo específico (Anadigm AN10E40), mas pretende-se que as metodologias de teste propostas sejam abrangentes e possam ser facilmente adaptadas a outros FPAAs comerciais que apresentem redes de interconexão semelhantes.

Detecção de Chlamydia trachomatis em amostras cervicais por reação em cadeia da polimerase

Chlamydia trachomatis é o agente causal de uma das infecções sexualmente transmissíveis (IST) mais prevalentes da atualidade. Os maiores problemas no controle desta IST estão no caráter assintomático da infecção e no seu difícil diagnóstico laboratorial. Com o advento dos testes moleculares, grandes avanços ocorreram na área do diagnóstico laboratorial da infecção clamidial. O presente trabalho teve por objetivo desenvolver um método de detecção de C. trachomatis por PCR a partir de amostras cérvico-vaginais. A seqüência alvo escolhida para amplificação consiste de um segmento da ORF 4 do plasmídio críptico de ocorrência natural nesta bactéria. Noventa e duas amostras cérvico-vaginais foram submetidas ao protocolo de PCR in house proposto. Os produtos de PCR foram detectados por visualização direta após eletroforese em gel de agarose com brometo de etídio e por exposição radiográfica após hibridização com sonda homóloga. As amostras foram testadas paralelamente pelo método de captura híbrida para detecção de C. trachomatis. O kit COBAS Amplicor (Roche) foi utilizado para resolver resultados discrepantes. A seqüência do fragmento de 201pb foi confirmada por clivagem enzimática e por seqüenciamento. O teste de especificidade dos primers confirmou especificidade dos mesmos frente ao DNA de diferentes agentes patogênicos e da flora normal feminina. Do total de amostras analisadas, 50 foram positivas por captura híbrida, 51 foram positivas por PCR in house e 67 positivaram após hibridização.O teste de McNemar indicou haver concordância entre os métodos analisados dois a dois (P<0,001). Verificou-se concordância moderada nos comparativos entre captura híbrida e PCR (valor de Kappa: 0,45; DP 0,093), captura híbrida e hibridização (valor de kappa: 0,389; DP 0,091) e, PCR e hibridização (valor de Kappa: 0,634: DP 0,077). O método de PCR in house proposto para a detecção de C. trachomatis é uma técnica rápida e de baixo custo para o diagnóstico, controle e monitoramento dos casos da infecção. Estudos complementares, no entanto, são necessários para implementação deste teste em laboratórios da rede pública.

Análise de rede viária urbana : caso de estudo : a cidade de Campo Bom

O trabalho consiste em efetuar a análise da rede viária urbana, considerando diferentes períodos de desenvolvimento, correlacionando Indicadores de Configuração da Rede (ICR) e indicadores de ocupação do solo. Efetuou-se um estudo de caso na cidade de Campo Bom, situada na Região Metropolitana de Porto Alegre no estado do Rio Grande do Sul. Calculou-se a relação entre as localizações espaciais de locais de trabalho significativas para a cidade, no caso locais de trabalho industrial, e os eixos viários que apresentam os mais altos valores de ICR, quais sejam, a Conectividade, o Controle Local, a Integração e a Escolha Global. O trabalho foi efetuado em dois períodos de desenvolvimento urbano, sendo que para um deles efetuou-se medidas em redes viárias de dois anos diferentes e no outro um ano somente. os valores dos ICR foram efetuados então em três redes correspondentes aos anos de 1963, 1973 e 1988. Obteve-se então, correlações lineares para os dois períodos analisados entre os quatro indicadores e locais de trabalho com valores próximos a um para o conjunto de eixos principais, confirmando assim a validade da hipótese.

Relações interfirmas e emprego : estudo de uma rede de empresas em telecomunicações

Esta dissertação examina o relacionamento interfirmas e o emprego no âmbito da rede de empresas. Para tanto, selecionou-se o caso da rede de empresas liderada pela Companhia Riograndense de Telecomunicações (CRT). Foram investigadas onze empresas, situadas na Região Metropolitana de Porto Alegre e distribuídas em diferentes segmentos (instalação de centrais de comutação telefônica, cabeamento óptico e metálico e instalação de terminais telefônicos) e níveis (empresas “terceiras”, “quartas”, “quintas” e “sextas”) de prestação de serviços. Constata-se, na análise dos dados, primeiro, que a interação entre a estratégia competitiva da empresa contratante e os diferentes tipos de serviços prestados pelas empresas contratadas resulta em três tipos de relacionamento interempresas e, segundo, que as diferentes relações interfirmas e a posição das empresas nos níveis da rede implicam a existência de formas restritivas e virtuosas de uso e de gestão da força de trabalho e de condições de emprego precárias e não-precárias, ao longo da rede. A análise evidencia, pois, que a rede de empresas pode conjugar variados padrões de relacionamento interfirmas e de emprego, refutando abordagens homogeneizantes sobre as relações de trabalho - sejam as que argumentam que a externalização origina arranjos empresariais cooperativos e práticas não-precárias de emprego, sejam as que sustentam que a externalização origina arranjos de subordinação interempresas e práticas precárias de emprego, ao longo de toda a rede.