Generating Threat Intelligence based on OSINT and a Cyber Threat Unified Taxonomy

Tese de mestrado em Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020As ameaças cibernéticas atuais utilizam múltiplos meios de propagação, tais como a engenharia social, vulnerabilidades de e-mail e aplicações e, muitas vezes, operam em diferentes fases, tais como o comprometimento de um único dispositivo, o movimento lateral na rede e a exfiltração de dados. Estas ameaças são complexas e dependem de táticas bem avançadas, por forma a passarem despercebidas nas defesas de segurança tradicionais, como por exemplo firewalls. Um tipo de ameaças que tem tido um impacto significativo na ascensão do cibercrime são as ameaças persistentes avançadas (APTs), as quais têm objetivos claros, são altamente organizadas, têm acesso a recursos praticamente ilimitados e tendem a realizar ataques ocultos por longos períodos e com múltiplas tentativas. À medida que as organizações têm tido consciência que os ciberataques estão a aumentar em quantidade e complexidade, a utilização de informação sobre ciberameaças está a ganhar popularidade para combater tais ataques. Esta tendência tem acompanhado a evolução das APTs, uma vez que estas exigem um nível de resposta diferente e mais específico a cada organização. A informação sobre ciberameaças pode ser obtida de diversas fontes e em diferentes formatos, sendo a informação de fonte aberta (OSINT) uma das mais comuns. Também pode ser obtida por plataformas especificas de ameaças (TIPs) que ajudam a consumir, produzir e partilhar informações sobre ciberameaças. As TIPs têm múltiplas vantagens que permitem às organizações explorar facilmente os principais processos de recolha, enriquecimento e partilha de informações relacionadas com ameaças. No entanto, devido ao elevado volume de informação OSINT recebido por dia e às diversas taxonomias existentes para classificação de ciberameaças provenientes do OSINT, as TIPs atuais apresentam limitações de processamento desta, capaz de produzir informação inteligente (threat intelligence, TI) de qualidade que seja útil no combate de ciberataques, impedido assim a sua adoção em massa. Por sua vez, os analistas de segurança desperdiçam um tempo considerável em analisar o OSINT e a classificá-lo com diferentes taxonomias, por vezes, correspondentes a ameaças da mesma categoria. Esta dissertação propõe uma solução, denominada Automated Event Classification and Correlation Platform (AECCP), para algumas das limitações das TIPs mencionadas anteriormente e relacionadas com a gestão do conhecimento de ameaças, a triagem de ameaças, o elevado volume de informação partilhada, a qualidade dos dados, as capacidades de análise avançadas e a automatização de tarefas. Esta solução procura aumentar a qualidade da TI produzidas por TIPs, classificando-a em conformidade com um sistema de classificação comum, removendo a informação irrelevante, ou seja, com baixo valor, enriquecendo-a com dados importantes e relevantes de fontes OSINT, e agregando-a em eventos com informação semelhante. O sistema de classificação comum, denominado de Unified Taxonomy, foi definido no âmbito desta dissertação e teve como base uma análise de outras taxonomias públicas conhecidas e utilizadas na partilha de TI. O AECCP é uma plataforma composta por componentes que podem trabalhar em conjunto ou individualmente. O AECCP compreende um classificador (Classifier), um redutor de informação irrelevante (Trimmer), um enriquecedor de informação baseado em OSINT (Enricher) e um agregador de agregador de eventos sobre a mesma ameaça, ou seja, que contêm informação semelhante (Clusterer). O Classifier analisa eventos e, com base na sua informação, classifica-os na Unified Taxonomy, por forma a catalogar eventos ainda não classificados e a eliminar a duplicação de taxonomias com o mesmo significado de eventos previamente classificados. O Trimmer elimina a informação menos pertinente dos eventos baseando-se na classificação do mesmo. O Enricher enriquece os eventos com dados externos e provenientes de OSINT, os quais poderão conter informação importante e relacionada com a informação já presente no evento, mas não contida no mesmo. Por último, o Clusterer agrega eventos que partilham o mesmo contexto associado à classificação de cada um e à informação que estes contêm, produzindo aglomerados de eventos que serão combinados num único evento. Esta nova informação garantirá aos analistas de segurança o acesso e fácil visibilidade a informação relativa a eventos semelhantes aos que estes analisam. O desenho da arquitetura do AECCP, foi fundamentado numa realizada sobre três fontes públicas de informação que continham mais de 1100 eventos de ameaças de cibersegurança partilhados por 24 entidades externas e colecradas entre os anos de 2016 e 2019. A Unified Taxonomy utilizada pelo Classifier, foi produzida com base na análise detalhada das taxonomias utilizadas por estes eventos e nas taxonomias mais utilizadas na comunidade de partilha de TI sobre ciberameaças. No decorrer desta análise foram também identificados os atributos mais pertinentes e relevantes para cada categoria da Unified Taxonomy, através da agregação da informação em grupos com contexto semelhante e de uma análise minuciosa da informação contida em cada um dos mais de 1100 eventos. A dissertação, também, apresenta os algoritmos utilizados na implementação de cada um dos componentes que compõem o AECCP, bem como a avaliação destes e da plataforma. Na avaliação foram utilizadas as mesmas três fontes de OSINT utilizadas na análise inicial, no entanto, com 64 eventos criados e partilhados mais recentemente que os utilizados nessa análise. Dos resultados, foi possível verificar um aumento de 72% na classificação dos eventos, um aumento médio de 54 atributos por evento, com uma redução nos atributos com pouco valor e aumento superior de atributos com maior valor, após os eventos serem processados pelo AECCP. Foi também possível produzir 24 eventos agregados, enriquecidos e classificados pelos outros componentes do AECCP. Por último, foram processados pelo AECCP 6 eventos com grande volume de informação produzidos por uma plataforma externa, denominada de PURE, onde foi possível verificar que o AECCP é capaz de processar eventos oriundos de outras plataformas e de tamanho elevando. Em suma, a dissertação apresenta quatro contribuições, nomeadamente, um sistema de classificação comum, a Unified Taxonomy, os atributos mais pertinentes para cada uma das categorias da Unified Taxonomy, o desenho da arquitetura do AECCP composto por 4 módulos (Classifier, Trimmer, Enricher e Clusterer) que procura resolver 5 das limitações das atuais TIPs (gestão do conhecimento de ameaças, a triagem de ameaças, o elevado volume de informação partilhada, a qualidade dos dados e as capacidades de análise avançadas e a automatização de tarefas) e a sua implementação e avaliação.Today’s threats use multiple means of propagation, such as social engineering, email, and application vulnerabilities, and often operate in different phases, such as single device compromise, network lateral movement and data exfiltration. These complex threats rely on well-advanced tactics for appearing unknown to traditional security defences. One type that had a major impact in the rise of cybercrime are the advanced persistent threats (APTs), which have clear objectives, are highly organized and well-resourced and tend to perform long term stealthy campaigns with repeated attempts. As organizations realize that attacks are increasing in size and complexity, threat intelligence (TI) is growing in popularity and use amongst them. This trend followed the evolution of the APTs as they require a different level of response that is more specific to the organization. TI can be obtained via many formats, being open source intelligence (OSINT) one of the most common; and using threat intelligence platforms (TIPs) that aid organization consuming, producing and sharing TI. TIPs have multiple advantages that enable organisations to easily bootstrap the core processes of collecting, normalising, enriching, correlating, analysing, disseminating and sharing of threat related information. However, current TIPs have some limitations that prevents theirs mass adoption. This dissertation proposes a solution to some of these limitations related with threat knowledge management, limited technology enablement in threat triage, high volume of shared threat information, data quality and limited advanced analytics capabilities and tasks automation. Overall, our solution improves the quality of TI by classifying it accordingly a common taxonomy, removing the information with low value, enriching it with valuable information from OSINT sources, and aggregating it into clusters of events with similar information. This dissertation offers a complete data analysis of three OSINT feeds and the results that made us to design our solution, a detailed description of the architecture of our solution, its implementations and its validation, including the processing of events from other academic solutions

“Lame things thirst for their perfection”: (Re)Articulations of Queerness in the Poetry of Shakespeare, Donne and Wroth

This project aims to apply and present a literary analysis based on the skills acquired during the Masters in Literature and Culture in order to fulfil the requirements to earn the respective degree. The goal of this dissertation is to present an analysis of a selected body of poetry by Donne and Wroth – two authors usually not suspected of queerness – in direct comparison to Shakespeare. The analytical framework of this dissertation is based on Lee Edelman’s queer negativity and Dianne Mitchell’s recent studies on the material transmission of verse and letter writing and its influence on poetical articulation. Furthermore, the triangulating comparison drawn to Shakespeare oftentimes expands to other authors of this time period, thereby presenting a dialogue between different counterdiscourses relating similar modes of non-normative relationality.Este projeto tenciona aplicar e apresentar uma análise literária com base nas capacidades adquiridas aquando do Mestrado em Literatura e Cultura, cumprindo assim com os requerimentos para obtenção do respetivo grau. O objetivo esta dissertação é apresentar uma análise de um corpo seleto de poesia de dois autores tipicamente insuspeitos de queerness, Donne e Wroth, em comparação direta com Shakespeare. O enquadramento analítico desta dissertação tem bases na negatividade queer de Lee Edelman e nos recentes estudos de Dianne Mitchell relativos à transmissão material da escrita de versos e cartas. Aliada a isto, uma comparação triangular com Shakespeare expande frequentemente a análise para obras de outros autores da época, apresentando-se assim um diálogo entre diferentes contra-discursos

Disney - the metamorphosis of an empire

This report aims to reach a final valuation on The Walt Disney Company. In this report, the Park, Experiences & Products and Studio Entertainment segments will be analyzed in detail. As well as a Macroeconomics analysis, a breakdown of company's capital structure, perform a relative valuation and present our final conclusions

Desenvolvimento de uma nova linha de pastelaria salgada pré-frita congelada e posteriormente regenerada no forno em embalagem de cartão

Com o passar do tempo tem-se verificado que cada vez mais a população se preocupa em consumir alimentos seguros, com qualidade, saudáveis, nutricionalmente equilibrados e rápidos de confecionar. Com isto, as empresas são obrigadas a desenvolver novos produtos que satisfaçam as necessidades dos consumidores. A empresa Faster – Produtos Alimentares, Lda viu aqui uma oportunidade de lançar um novo produto no mercado sendo que este estudo teve como objetivo avaliar os efeitos que os processos de confeção e de regeneração têm nas características físico-químicas e sensoriais de salgados pré-fritos congelados. Para tal, estudaram-se as propriedades nutricionais e sensoriais de croquetes de alheira sujeitos a regeneração em forno, em diferentes condições de tempo e de temperatura. Foi simultaneamente estudada e desenvolvida uma embalagem de cartão que pudesse ser usada durante regeneração do produto no forno. A análise sensorial revelou uma boa aceitação do produto, do conceito de apresentação e uma boa intenção de compra. Tendo em conta os resultados alcançados, pode concluir-se que este novo produto tem potencial e pode ser introduzido no mercado. Palavras-chave: pré-fritura, regeneração, embalagem, croquetes de alheira.During the last few decades the population is increasingly concerned about consumption of safe, quality, healthy, nutritionally balanced and fast to cook foods. In this context, the companies must innovate by developing new products that meet the consumers’ needs and expectations. Faster saw here an opportunity to launch a new product in the market and this study aimed to evaluate the effects of confection processes and regeneration on the physical- chemical and sensory characteristics of frozen pre-fried croquettes. For this, the nutritional and sensorial properties of croquettes subjected to regeneration in oven were studied in different conditions of time and temperature. It was simultaneously studied and developed a carton package that could be used during regeneration of the product in the oven. The sensory analysis revealed a good acceptance of the products, of the concept and a good intention to buy. In view of the obtained results, it can be concluded that this new product has good potential to be placed on the market. Keywords: pre-frying, regeneration, package, croquette

On the performance of ldpc-coded massive mimo schemes with power-ordered noma techniques

Funding Information: Funding: This work is funded by FCT/MCTES through national funds and, when applicable, co-funded EU funds under the project UIDB/EEA/50008/2020. Publisher Copyright: © 2021 by the authors. Licensee MDPI, Basel, Switzerland.This article studies the power-ordered Non-Orthogonal Multiple Access (NOMA) techniques associated with Low-Density Parity-Check (LDPC) codes, adopted for use in the fifth generation of cellular communications (5G). Both conventional and cooperative NOMA are studied, associated with Single Carrier with Frequency Domain Equalization (SC-FDE) and massive Multiple-Input Multiple-Output (MIMO). Billions of Internet of Things (IoT) devices are aimed to be incorporated by the Fourth Industrial Revolution, requiring more efficient use of the spectrum. NOMA techniques have the potential to support that goal and represent strong candidates for incorporation into future releases of 5G. This article shows that combined schemes associated with both conventional and cooperative LDPC-coded NOMA achieve good performance while keeping the computational complexity at an acceptable level.publishersversionpublishe

Mechanics of Distortional-Global Interaction in Fixed-Ended Lipped Channel Columns

This work reports the results of a numerical investigation concerning the elastic post-buckling behaviour offixed-endedthin-walledlipped channelcolumnsaffected bydistortional-global(D-G)interaction. The columns analysed (i) exhibit cross-section dimensions and lengths ensuring simultaneous distortional and global critical buckling loads, and (ii) contain critical-mode initial geometrical imperfections (linear combinations of D and G buckling modes). For comparison and clarification purposes, the post-buckling behaviour ofcolumnsbucklinginan“isolated” distortional mode and containing “pure” distortional and global (flexural-torsional) initial geometrical imperfections are also analysed. The results presented and discussed are obtained through geometrically non-linear Generalised Beam Theory (GBT) analyses and provide the evolution, along given equilibrium paths, of the column deformed configuration (expressed in GBT modal form),relevantdisplacementprofiles and modal participation diagrams, making it possible to acquire in-depth knowledge on the column D-G interaction mechanics. Finally, particular attention is paid to interpreting the differences exhibited by the several aforementioned column post-buckling behaviours.info:eu-repo/semantics/publishedVersio

The case of prunus network in Beira Interior region

The Triple Helix, as spiral model of innovation that contains multiple relationships in different processes of knowledge enhancement, is a model that, leveraged by the dynamics of interaction between the different institutions and stakeholders, benefits from the role of universities as centers of excellence in education and science, from the private sector as co-creators of knowledge and human capital pickup as well as from the public sector supporting the legal framework and technical support besides the sectoral and territorial political supports. In the business context, especially in rural matrix territories, farmers have developed a crucial role in local development, promoting new development dynamics, not only as producers and employers, but also as investment attractors and stimulating the creation and transfer of knowledge. The reflection on the perspective of the Triple Helix observed in the productive framework of the agricultural sector is not firmly established or settled. In this context, this paper aims to discuss the model of the Triple Helix based on relations between the Academy and R&D-Agricultural Production-Government spheres focused on the sector of stone fruit, using the region of Beira Interior as case study. This region stands out for the many changes that have led to the establishment of interdependencies of the agricultural sector, research and education centers and various economic and social agents with a relevant role in the development of sector of stone fruit. Thus, this work aims to map the regional actors with an active role in sector and, on the other hand, to present the dynamics of institutional interactions that attained the creation of the PRUNUS network - resources and human capital enhancements.info:eu-repo/semantics/publishedVersio

Risco de inundação na área urbana de Águeda

Dissertação de Mestrado em Geografia Física – Ambiente e Ordenamento do Território apresentada à Faculdade de Letras da Universidade de Coimbra.As cheias/inundações são a catástrofe natural que mais pessoas afetam em todo o mundo. Em Portugal, a área urbana de Águeda, atravessada pelo rio com o mesmo nome, é uma das áreas de maior ocorrência deste evento, facilitada pelos declives acentuados da Serra do Caramulo (formada por xistos e granitos), onde nasce o rio Águeda, mas sobretudo pela grande impermeabilização de áreas aluvionares, em toda a bacia. A juntar a estes problemas de escoamento, há ainda a salientar os incêndios florestais, que têm vindo a dizimar a Serra do Caramulo. Após estes, as chuvas têm proporcionado uma forte erosão, ao arrastar material queimado para o rio Águeda, que se vai acumulando e dificultando ainda mais o escoamento, chegando os níveis hidrométricos, com menores quantitativos de precipitação a atingir registos quase históricos. Foi o que aconteceu no ano hidrológico de 2013-2014.The floods are the natural hazard that affect more people around the world. In Portugal, the urban area of Águeda, crossed by the river with the same name, is one of the largest areas of occurrence of this event, facilitated by the steep slopes of Serra do Caramulo (formed by granites and schists), where the river Águeda born, but mainly by large alluvial areas waterproofing, in all basin. In addition to these flow problems, there is still stress the forest fires that have been ravaging the mountains of Caramulo. After these, the precipitation have provided a strong erosion, dragging burned material to the river Águeda, which will accumulate and further hindering the flow reaching the hydrometric levels, with minor quantitative precipitation reaching almost historical records. It happened in the hydrological year 2013- 2014

Não abra este relatório!: a influência das histórias na aprendizagem das crianças

Relatório da Prática Profissional Supervisionada apresentado à Escola Superior de Educação de Lisboa para obtenção de grau de mestre em Educação Pré-EscolarO relatório de estágio aqui apresentado foi elaborado no âmbito do Mestrado em Educação Pré-Escolar no seguimento da prática profissional supervisionada em contexto de Jardim de Infância, com um grupo de 20 crianças com idades compreendidas entre os três e os seis anos. Este é um trabalho ilustrativo e uma reflexão crítica acerca da intervenção desenvolvida nos seis meses de prática. É apresentada uma caracterização do contexto educativo, os seus objetivos e uma reflexão analítica da intervenção bem como os moldes da avaliação do processo interventivo. É também exposta a investigação realizada durante a intervenção suportada pelo conhecimento existente acerca da influência das histórias na aprendizagem das crianças. Tem como objetivo principal avaliar a importância da educação literária no desenvolvimento do léxico das crianças. Neste sentido, foi feita uma avaliação às crianças, implementado um momento específico de leitura e dada voz às famílias, à educadora cooperante e a uma professora bibliotecária. Por último, é ainda reservado um capítulo para a questão da construção da profissionalidade e a progressiva construção de conhecimento e aprendizagens no contexto prático (experiência) no que respeita à intervenção pedagógica. No que concerne à metodologia, esta assume uma natureza qualitativa, tendo-se optado pela investigação-ação e utilizadas variadas técnicas de recolha de dados. A análise e discussão dos dados evidenciaram que existe uma relação entre a Educação Literária e o Léxico e a influência que as histórias têm no desenvolvimento das crianças. Os resultados desta investigação contribuem, assim, para a discussão sobre os conhecimentos e as capacidades metalinguísticas adquiridas antes da entrada formal no Ensino Básico (Mendes, 2015) que estão fortemente relacionadas com a futura aprendizagem da leitura.ABSTRACT The report here presented was elaborated within the scope of the master’s degree in Pre-School Education following the supervised professional practice in the context of kindergarten, with a group of 20 children aged between three and six years old. This is an illustrative paper and a critical reflection on the development of the intervention over six months of practice. It is presented a characterization of the educational context, its objectives, and an analytical reflection of the intervention as well as the molds in which the evaluation of the process was made. It is also exposed in this report the investigation made supported by the previously established knowledge about the influence of stories in children’s learning. Arrogating as the primary objective the evaluation of the importance of literary education in the development of the children’s lexis. An evaluation was made of the children’s knowledge, implemented a specific moment for reading and given voice to the families, the educator in charge and a librarian teacher. Lastly it was also reserved a chapter for the construction of teaching professionalism and the progressive construction of knowledge and the constant learning in the practical context (experience) regarding my pedagogical intervention. Methodologically this investigation assumes a qualitative nature, having opted for an investigation-action and using several data collection techniques. The analysis and discussion of data showed that there is a relation between the Literary Education and the Lexis and the influence that children’s stories have on their development. The results of this investigation, therefore, contribute to the discussion on the knowledge and metalinguistic capabilities acquired before formally entering Basic Education (Mendes, 2015) which are strongly related with the future learning of the reading domain.N/

Avaliação da resposta imunitária a baixas doses de radiação ionizante em peixe zebra

O sistema imune é um dos principais alvos da radiação ionizante. Os efeitos de altas doses de radiação são conhecidos e bem documentados, mas os de baixas doses (LDIR) carecem de estudos aprofundados. O peixe zebra tem sistema imune bem preservado, sendo um modelo atraente para estudar LDIR. Neste contexto, realizou-se uma revisão bibliográfica para criar um esboço inicial da interação LDIR-sistema imune. Em termos experimentais, avaliou-se os efeitos da irradiação com doses de 10 e 35 mGy em peixe zebra, estudando-se o impacto do tempo decorrido pós irradiação na expressão de proteína C-reativa (CRP) e IFN-gama, utilizando ELISA. Na análise teórica, verificou-se que LDIR em irradiações agudas induz resposta pró-inflamatória e LDIR em irradiações crónicas resposta anti-inflamatória. Após irradiação, CRP apresentou aumentos significativos no grupo de 35 mGy, do 1º ao 7º dia, enquanto 10 mGy teve aumento e decréscimo ligeiros ao 1º e 7º dia, respetivamente. Quanto a IFN-gama, verificaram-se ligeiros decréscimos no 1º dia, nas duas doses, mas uma redução significativa para 10 mGy ao 7º dia. Os resultados sugerem que irradiações com dose absorvida de 10 e 35 mGy, com baixa taxa de dose, provocam inflamação inicial, proporcional à dose, e induzem respostas anti-inflamatórias para combatê-la