Measuring the similarity of PML documents with RFID-based sensors

The Electronic Product Code (EPC) Network is an important part of the Internet of Things. The Physical Mark-Up Language (PML) is to represent and de-scribe data related to objects in EPC Network. The PML documents of each component to exchange data in EPC Network system are XML documents based on PML Core schema. For managing theses huge amount of PML documents of tags captured by Radio frequency identification (RFID) readers, it is inevitable to develop the high-performance technol-ogy, such as filtering and integrating these tag data. So in this paper, we propose an approach for meas-uring the similarity of PML documents based on Bayesian Network of several sensors. With respect to the features of PML, while measuring the similarity, we firstly reduce the redundancy data except information of EPC. On the basis of this, the Bayesian Network model derived from the structure of the PML documents being compared is constructed.Comment: International Journal of Ad Hoc and Ubiquitous Computin

Natural Language Processing (NLP) – A Solution for Knowledge Extraction from Patent Unstructured Data

AbstractPatents are valuable source of knowledge and are extremely important for assisting engineers and decisions makers through the inventive process. This paper describes a new approach of automatic extraction of IDM (Inventive Design Method) related knowledge from patent documents. IDM derives from TRIZ, the theory of Inventive problem solving, which is largely based on patent's observation to theorize the act of inventing. Our method mainly consists in using natural language techniques (NLP) to match and extract knowledge relevant to IDM Ontology. The purpose of this paper is to investigate on the contribution of NLP techniques to effective knowledge extraction from patent documents. We propose in this paper to firstly report on progress made so far in data mining before describing our approach

Bigraphs with sharing

Bigraphical Reactive Systems (BRS) were designed by Milner as a universal formalism for modelling systems that evolve in time, locality, co-locality and connectivity. But the underlying model of location (the place graph) is a forest, which means there is no straightforward representation of locations that can overlap or intersect. This occurs in many domains, for example in wireless signalling, social interactions and audio communications. Here, we define bigraphs with sharing, which solves this problem by an extension of the basic formalism: we define the place graph as a directed acyclic graph, thus allowing a natural representation of overlapping or intersecting locations. We give a complete presentation of the theory of bigraphs with sharing, including a categorical semantics, algebraic properties, and several essential procedures for computation: bigraph with sharing matching, a SAT encoding of matching, and checking a fragment of the logic BiLog. We show that matching is an instance of the NP-complete sub-graph isomorphism problem and our approach based on a SAT encoding is also efficient for standard bigraphs. We give an overview of BigraphER (Bigraph Evaluator & Rewriting), an efficient implementation of bigraphs with sharing that provides manipulation, simulation and visualisation. The matching engine is based on the SAT encoding of the matching algorithm. Examples from the 802.11 CSMA/CA RTS/CTS protocol and a network management support system illustrate the applicability of the new theory

Identity Management in Information Age Government: Exploring Concepts, Definitions, Approaches and Solutions

Our research question is the following: What could be a useful working definition of Identity Management in government at present? a) What are conceptualisations, definitions and approaches of IDM in government according to academic literature? b) Which e-authentication solutions have been developed in other jurisdictions

Resilient event collection in SIEM systems

Tese de mestrado em Segurança Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2013A importância da Segurança da Informação tem crescido rapidamente nos últimos anos, com uma maior consciencialização da sociedade civil e das empresas para o problema. As notícias recorrentes de ataques direcionados e roubo de informação em larga escala que resultam em grandes prejuízos financeiros, por vezes tendo como consequência o encerramento das organizações envolvidas, justificam o investimento em mecanismos de proteção da informação. No âmago da capacidade para monitorização da segurança em tempo-real está o Security Operations Center (SOC), o conjunto de pessoas, processos e sistemas onde se concentram as capacidades de análise e resposta a incidentes de Segurança da Informação. A base tecnológica do SOC é construída sobre o sistema de Gestão de Informação e Eventos de Segurança, vulgo SIEM. Este sistema permite recolher eventos de segurança de diversas fontes e encontrar padrões de ataque analisando relações entre eles. No entanto, tal como acontece com todos os sistemas informáticos, um atacante que tenha conhecimento da sua existência irá procurar ultrapassar as proteções implementadas, prevenindo que a equipa do SOC seja alertada para o ataque em curso. A relevância dos sistemas SIEM tem vindo a aumentar no contexto da maior importância atribuída a questões de segurança da informação. Considerando um número cada vez mais elevado de eventos e as múltiplas origens onde estes são gerados, as equipas de monitorização estão cada vez mais dependentes de consolas únicas onde a informação é centralizada e processada. Como consequência existe também uma maior dependência dos sistemas centrais, tornando-os pontos únicos de falha. Os sistemas SIEM são intrinsecamente complexos devido à necessidade de recolha de eventos de segurança a partir de fontes com tecnologias muito diversas, com localizações dispersas. O facto de desempenharem diversas funções aumenta esta complexidade, necessitando de módulos para recolha, consolidação, processamento e armazenamento de eventos. Para além destes módulos, que podem ou não traduzir-se em componentes fisicamente distintos, os sistemas SIEM estão fortemente dependentes dos sensores colocados junto às fontes de eventos, bem como da rede de comunicações que permite o envio desses eventos entre os diversos componentes, até à consola central. A inexistência de investigação diretamente focada no aumento da resiliência dos sistemas SIEM resulta na implementação de soluções pouco adaptadas aos riscos e desafios associados a infraestruturas de segurança. Estando maioritariamente focada na proteção de segurança ao nível da rede, muitos dos desenvolvimentos recentes centram-se na capacidade de identificar padrões de tráfego maliciosos. Esta abordagem reflete-se em publicações direcionadas aos sistemas de detecção e prevenção de intrusões (IDS/IPS), com menos enfoque na implementação resiliente de sistemas SIEM. A nossa percepção, corroborada por uma pesquisa alargada de trabalhos desenvolvidos nesta área, aponta para um elevado número de implementações padrão, assumindo cenários teóricos e sem tomar em linha de conta o efeito de ataques contra o próprio sistema SIEM. Neste trabalho começamos por efetuar uma análise às falhas de segurança que podem afectar o desempenho do processo de recolha de eventos de segurança, incluindo falhas acidentais mas também possíveis ataques deliberados ao sistema SIEM que possibilitem a uma entidade maliciosa ultrapassar os mecanismos de segurança implementados. Com base nessa análise endereçamos os problemas de fiabilidade que afetam qualquer sistema informático, apontando soluções que permitam lidar com falhas acidentais e, dessa forma, aumentar a disponibilidade do sistema. Ao reduzir a probabilidade de falhas que impeçam a recolha de eventos de segurança, estamos a contribuir diretamente para diminuir a janela de oportunidade disponível para que ataques à infraestrutura não sejam detectados. Focando o risco de falhas maliciosas, propomos soluções que impeçam os atacantes de explorar com sucesso vulnerabilidades no processo de recolha de eventos de segurança. Este processo envolve sistemas heterogéneos, desde a fonte dos eventos até à consola central, passando pela rede de comunicação responsável por interligar toda a infraestrutura. Consideramos fundamental atingir um nível de robustez elevado, mesmo na presença de infraestrutura parcialmente comprometida. O principal objectivo deste trabalho passa por definir um método sistemático de recolha e correlação resiliente de eventos de segurança num sistema SIEM, mesmo na presença de componentes maliciosos sob controlo de atacantes. Para atingir este objectivo centramo-nos na robustez das regras de correlação, desde a sua concepção e desenho até à implementação final no sistema SIEM. Os sistemas SIEM contêm um conjunto alargado de regras padrão que, como demonstramos, partem de premissas demasiado optimistas relativamente ao processo de recolha de eventos. Descrevemos, ao longo do trabalho, de que forma estas regras padrão podem ser melhoradas para lidar com as diversas possibilidades de falhas e ataques maliciosos, aumentando desta forma a resiliência total do sistema SIEM e o nível de confiança que a equipa do SOC pode depositar nesta ferramenta essencial. Utilizando casos de uso reais, demonstramos a metodologia proposta para aumentar a resiliência das regras de correlação. Tendo como ponto de partida uma regra base, aplicamos passo a passo a metodologia, detalhando e avaliando cada evolução da regra, até ser atingido um nível de robustez elevado. Com o propósito de sistematizar a metodologia proposta para o aumento de qualidade das regras de correlação, desenvolvemos uma aplicação denominada AutoRule. Esta ferramenta recebe como entrada uma ou mais regras de correlação e efetua uma análise automática, detectando possíveis lacunas e sugerindo correções. Apesar de não suprir a necessidade de análise com base na experiência prática na definição de regras de correlação, a aplicação AutoRule permite à equipa de configuração do sistema SIEM atuar de forma precisa e direcionada, corrigindo as regras de correlação e, dessa forma, tornando-as mais resilientes. Finalmente, para demonstrar e medir a eficácia da nossa proposta, foi posta em prática a metodologia através de uma implementação em cenário real, recorrendo ao sistema SIEM utilizado para monitorizar os eventos de segurança na rede corporativa da EDP – Energias de Portugal, S.A. Tratando-se de um grupo multinacional com mais de 12000 colaboradores ativos, a rede informática monitorizada por este sistema SIEM fornece a possibilidade de analisar em larga escala os efeitos das melhorias propostas. A metodologia proposta para aumentar a resiliência das regras de correlação traduziu-se num acréscimo da eficácia das mesmas, resultando num sistema mais fiável. A consequência mais direta é uma melhoria operacional do SOC, que passa a dispor de informação mais precisa e mais adequada ao seu contexto de operação. Para além da proposta teórica, a implementação permitiu também validar a operação num cenário real da aplicação AutoRule, desenvolvida para automatizar a análise das regras de correlação. As melhorias introduzidas nas regras de correlação desenvolvidas no contexto da operação do SOC EDP, seguindo os passos da metodologia, foram sendo testadas com recurso à aplicação. Os resultados demonstram que a eficácia medida das regras correspondeu também a um melhor resultado obtido através da análise automática, existindo por isso motivos para confiar nesta análise. A aplicação AutoRule possibilitou ainda uma comparação entre as regras predefinidas, instaladas de forma automática com a solução ArcSight, e as regras que seguiram o processo de melhoria preconizado pela metodologia proposta. As avaliações finais que fazemos da implementação num cenário real são francamente positivas, ratificando a nossa proposta teórica e conferindo-lhe um elevado grau de confiança quanto à possibilidade de aplicação em larga escala, de forma independente da tecnologia de sistema SIEM escolhida.Information Security has become a relevant subject in recent years, with greater awareness to the topic from major companies and general public. The frequent news regarding targeted attacks and large-scale information thefts resulting in major financial losses, sometimes even resulting in company bankruptcy, justify investments in protection mechanisms. At the heart of real-time security monitoring is the Security Information and Event Management system, commonly known as SIEM. These systems allow for security event collection and pattern discovery, by analyzing relationships between those events in real-time. However, as with all computer systems, an attacker who is aware of its existence will seek to overcome the protection mechanisms in place, preventing the security experts from being alerted to the ongoing attacks. We present an analysis of possible attacks to a SIEM system and seek solutions to prevent successful exploitation of those attacks, even if the attackers are able to take control over part of the infrastructure. Instead of suggesting massive changes throughout the multiple systems and network components, we propose an approach based on the capabilities of the SIEM system to collect and correlate security events from multiple sources. We advocate that it is possible to detect faults, malicious or accidental, though real time analysis of the collected events using carefully crafted and resilient correlation rules. Our goal is to define a systematic method to resiliently collect and correlate security events in a SIEM system, despite the presence of components already under the control of attackers. The effectiveness of the proposed methodology is evaluated in a real production environment, simulating attacks and accidental failures and observing their effects in the capability of the SIEM system to identify abnormal behavior. We also develop and demonstrate an application capable of automatically analyzing correlation rules, identifying vulnerabilities and proposing improvements to increase heir overall resilience

Development of Secure Mobile Cloud Computing Using Improved Identity Management Protocol

The convergence of Internet and mobile computing enables personalized access to online services anywhere and anytime. Entities (e.g., users , services) have to authenticate themselves to service providers in order to use their services. An entity provides personally identifiable information that uniquely identifies it to an SP. Due to the rapid spread of smart phones and social network service, the use of Interne applications has increased and their need for bandwidth has begun to exceed the capacity of 3G networks. This has caused a re duction in speed and service quality. The increase in mobile network users has caused identity management probl ems for mobile service providers. Therefore, in this paper, proposed system is designed t o overcome this problem Improved Identity Management protocol is used to breaks up loads, which are allowed by the existing Identity Management 3G protocols mutual authentication via mobile operator process, by sending some parts to an Internet application service provider to enhance mobile and ID management at the service provider and by reducing the network and process loads from information handling and packet trans mission