Aplicações do Filtro Bloom em uma Rede Neural Recorrente – Long Short Term Memory para detecção de anomalias

Prévia do material em texto

Aplicações do Filtro Bloom em uma Rede Neural Recorrente
– Long Short Term Memory para detecção de anomalias
Richard Caio Silva Rego
Mestrado em Ciência da Computação – Universidade Federal de Santa Maria
caiorego@protonmail.com
Resumo. Os sistemas de detecção de anomalias têm um papel importante na
segurança de redes. Muitas pesquisas têm sido feitas na tentativa de
encontrar novas técnicas ou adicionar mais precisão aos métodos existentes.
Duas abordagens aplicadas na detecção de anomalias são o fltro de Bloom
que é uma estrutura probabilística bastante leve e a Rede Neural Recorrente
do tipo Long Short Term Memory, muito indicada para grandes quantidade
de dados em série. Neste artigo são apresentadas 3 propostas de modelos de
detecção combinando estas duas técnicas com variações de confguração com
o intuito de alcançar melhores resultados para a detecção de anomalias.
1. Introdução
Em um cenário em que a segurança de rede se mostra fundamental para a continuidade
dos negócios cresce o desafo de se implementar mecanismos de defesa contra ataques,
acessos indevidos ou mal uso da rede de computadores. Os sistemas de detecção de
intrusão (Intrusion Detection System - IDS) são um importante mecanismo de defesa
contra ataques cibernéticos. 
Um IDS é uma ferramenta de vigilância que monitora os eventos e identifca os
comportamentos que possam comprometer a integridade, confdencialidade ou
disponibilidade de um determinado recurso [1]. Anomalias de tráfego, por exemplo,
podem criar um congestionamento de rede e sua rápida e precisa detecção permite aos
administradores da rede uma rápida contra medida evitando maiores danos aos serviços
[2].
Sistemas de detecção de intrusão podem ser baseado em uso incorreto (também
conhecido como detecção baseada em assinatura) na qual tenta identifcar e notifcar
atividades intrusivas a partir da comparação com registros previamente conhecidos e
armazenados em um banco de dados. Este tipo de IDS apresenta altas taxas de detecção
de ataques conhecidos mas não pode detectar ataques novos ou desconhecidos da base
de dados de assinaturas. 
Outro tipo de sistema de detecção é baseado em anomalias. Diferente do IDS
baseado em assinatura este se baseia na observação do que seria o comportamento
normal do sistema para assim poder detectar comportamentos anômalos. Sua principal
vantagem em relação aos sistemas baseados em assinaturas está em poder detectar
ataques ainda desconhecidos. A efcácia de um sistema de detecção de intrusão passa
pela sua capacidade de reduzir as taxas de falsos positivos ao mesmo tempo em que
precisa ter uma alta taxa de detecção, além de, apresentar um bom tempo de detecção
sem sobrecarga computacional do sistema [1].
Existem atualmente muitas abordagens que procuram alcançar uma melhor
efcácia para os Sistemas de Detecção de Intrusão. Em [3] os autores apresentam um
grande estudo sobre métodos, sistemas e ferramentas de detecção de anomalias e
defnem 6 categoriasa baseadas em métodos estatíssticos, baseados em classifcação,
clustering e baseados em dados discrepantes, soft computing, conhecimento e
combinação de aprendizes. Nas últimas décadas, o aprendizado de máquina começou a
desempenhar um papel signifcativo na detecção de anomalias [3]. 
A aprendizagem profunda tem potencial para extrair melhores representações
dos dados para criar modelos muito melhores, especialmente aqueles inspirados por
redes neurais recorrentes como proposto em [4]. Redes Neurais Recorrentes tem a
vantagem de poderem trabalhar com grandes quantidades de dados e sua variação
conhecida como Long Short Term Memory (LSTM) adiciona uma célula de memória
que resolve o problema de gradiente de desaparecimento. Quando aplicado a detecção
de anomalias as Redes Neurais – LSTM apresentam boas taxas de detecção mas com
altas taxas de falsos positivos [5].
O fltro Bloom é uma estrutura de dados aleatória simples e efciente em termos
de memória e tempo, para representar um conjunto de elementos e suportar consultas de
associação e tem sido amplamente utilizado no campo da segurança em bancos de
dados, corretores ortográfcos, roteamento de recursos e web cache, entre outros [6]. O
resultados de uma consulta a um fltro Bloom é uma caracterísstica importante desta
tecnologia, pois, a consulta retorna que um elemento provavelmente faz parte do
conjunto ou defnitivamente não faz parte do conjunto. Isso implica em possísveis falsos
positivos mas jamais em falsos negativos. 
Apesar de receber bastante atenção no campo de pesquisa ao longo de décadas,
ainda é altamente desafador identifcar eventos mal-intencionados da rede e o uso de
técnicas convencionais de aprendizado de máquina tem sido amplamente limitado sem
melhora signifcativa da precisão da detecção [7]. Este cenário nos permite prever que a
combinação de técnicas pode ser extremamente positivo para a detecção e anomalias.
Em [8] é proposta uma estrutura de detecção de anomalias em dois nísveis com uso de
uma Rede Neural Recorrente precedido de um Filtro Bloom e aplicado a um sistema de
controle industrial. 
A análise dos trabalhos de pesquisas que apresentam bons resultados envolvendo
a utilização de fltro Bloom e das Redes Neurais Recorrentes nos permite acreditar que
é possísvel explorar a combinação destas duas técnicas para alcançar melhores resultados
na detecção de comportamentos anômalos. Neste artigo são apresentadas e discutidas
propostas de implementação envolvendo um fltro Bloom e uma Rede Neural
Recorrente do tipo LSTM atuando em sequência e paralelamente, além de, uma
abordagem comparativa entre elas.
Este artigo está organizado da seguinte forma. Na seção 2 é apresentado um
aprofundamento sobre os sistemas de detecção de intrusão, as Redes Neurais
Recorrentes do tipo LSTM e o Filtro de Bloom. Na seção 3 são apresentados os
trabalhos relacionados para na seção 4 apresentar as propostas de aplicação combinada
das técnicas de fltro Bloom com Redes Neurais Recorrentes – LSTM.
2. Sistemas de Detecção de Intrusão
Os sistemas de detecção de intrusões (do inglês, Intrusion Detection System - IDS) são
ferramentas de segurança que, como outras medidas, como software antivísrus, frewalls
e esquemas de controle de acesso, têm por objetivo fortalecer a segurança dos sistemas
de informação e comunicação [9]. A detecção de anomalias tem extensas aplicações em
áreas como como detecção de fraude para cartões de crédito, detecção de intrusão para
cyber segurança e vigilância militar para atividades inimigas [3]. 
Os sistemas de detecção de intrusão podem ser baseados em uso indevido
quando buscam por padrões defnidos ou assinaturas nos dados analisados. IDSs
baseados em assinatura fornecem bons resultados de detecção para ataques previamente
conhecidos. No entanto, não são capazes de detectar ataques ainda desconhecidos.
Outro tipo de IDS é o baseado em anomalias que tenta detectar comportamentos
anormais a partir de um comportamento normal estimado. O diferencial deste está em
conseguir detectar novos ataques. Esta abordagem é atualmente o principal foco de
pesquisa e desenvolvimento no campo da detecção de intrusões em grande parte pelo
fato dela apresentar altas taxas de falsos positivos [9].
2.1. Redes Neurais Recorrentes
A teoria da aprendizagem profunda tem apresentado avanços signifcativos,
especialmente em áreas como reconhecimento da fala, de imagens e de ações, devido
aos avanços em recursos computacionais. Tal fato signifca que uma nova era de
inteligência artifcial se abriu e ofereceu uma maneira completamente nova de
desenvolver a tecnologia inteligente de detecção de intrusão [4]. Uma das classes
responsáveis por esse avanço são as RedesNeurais Recorrentes(RNN). 
A RNN é a extensão de uma rede neural feed-forward convencional. Ao
contrário das redes neurais feed-forward, as RNNs têm conexões císclicas, tornando-as
poderosas para sequências de modelagem [5] que as torna mais indicadas para o treino
de dados em sequência. Por permitir a adição de um grande número de camadas ocultas
as redes neurais tendem a aprender funções mais complexas o que, consequentemente,
resulta em melhores resultados. Como as redes neurais recorrentes propagam para
frente e para trás e, conforme ela avança para frente, os neurônios das camadas
anteriores mais distantes tendem a aprendem muito lentamente. Este é um problema
conhecido como Gradiente de Desaparecimento. Este problema pode ser resolvido por
uma variação das redes neurais recorrentes chamadas de LSTM(Long Short Term
Memory).
As redes LSTM são redes neurais recorrentes com unidade especiais chamadas
células de memória e foram aplicadas com sucesso em muitas tarefas de aprendizado de
sequência. Elas possuem uma estrutura bastante complexa que lhes permite memorizar
informações para prever o comportamento dos próximo intervalo de tempo(timestep).
Em [8] uma rede LSTM foi aplicada em uma estrutura de detecção multinísvel para
analisar dados em série temporal provenientes de um fltro de Bloom.
2.2. Filtros Bloom
Os fltro Bloom é uma estrutura de dados simples e com espaço efciente para
representar um conjunto para oferecer suporte a consultas de associação [10]. Eles
permitem testar se um determinado elemento pertence a um conjunto de forma
probabilísstica. O resultados possísveis para uma consulta ao fltro de Bloom é que
determinado elemento consultado pode pertencer ao conjunto ou defnitivamente não
pertence ao conjunto. Ou seja, no fltro de Bloom, falsos positivos são possísveis de
acontecer mas os falsos negativos não.
Os fltros de Bloom possuem como principal vantagem a economia de espaço
por causa de sua estrutura compacta para armazenamento de dados. Portanto, os fltros
Bloom possuem caracteríssticas que os tornam extremamente úteis para trabalhar com
listas e conjuntos. Por tais caracteríssticas o fltro Bloom vem sendo usado na detecção
de anomalias. 
3. Trabalhos Relacionados
A pesquisa em torno de métodos de detecção de anomalias é ampla abrange vários
domísnios. No campo das redes de computadores, as Redes Neurais Recorrentes do tipo
LSTM e o fltro de Bloom foram utilizados em trabalhos recentes. Kim et al. [5]
implementaram um classifcador IDS baseado em Redes Neurais Recorrentes LSTM e
testaram através do conjunto de dados KDD Cup 1999 que apresentou uma boa taxa de
detecção mas com uma alta proporção de instâncias normais classifcadas como
anomalia. Já em [8] Feng et al. descrevem um método de detecção de anomalias de
múltiplos nísveis para Sistemas de Controle Industrial utilizando o fltro de Bloom para
armazenar um banco de dados de assinaturas utilizado para detectar anomalias no nísvel
de conteúdo do pacote e posteriormente aplicando uma rede neural recorrente do tipo
Long Short Term Memory (LSTM). Neste modelo os autores focaram especifcamente
na detecção de anomalias utilizaram protocolos especísfcos de um sistema de controle
industrial.
Fan et al. [11] propuseram um sistema de detecção de ataques de Inundação de
Link em tempo real baseado no Filtro Bloom e recursos de Software Defned
Networking (SDN) mas focam seus experimentos principalmente nas métricas de
desempenho do fltro bloom para o modelo proposto e não apresentam dados de
detecção. Já em [12] Byeong-hee et al. propõem um nova estrutura de dados e
algoritmos para detecção de anomalias de rede utilizando uma matriz de fltro Bloom
para extrair recursos de correspondência bidirecional que são mostrados como
indicadores efetivos de anomalias de redes em roteadores de alta velocidade. No
entanto, o foco principal do trabalho está na extração de caracteríssticas e não na
detecção de anomalias. Parthasarathy e Kundur [13] fazem uso do fltro de Bloom em
uma arquitetura onde um preprocessador de três componentes é colocado a frente de um
servidor SIP. Fazem da parte da estrutura um Detector de Ataques (AD), um
gerenciador de WhiteList (MD) e um fltro. Para construir a whitelist, uma abordagem
de fltro Bloom foi usada para reduzir os requisitos de memória e a complexidade
computacional. 
Por fm, em [14] Staudemeyer propõe uma abordagem de detecção de invasão,
leve e rápida voltada para Sistemas de controle de supervisão e aquisição de dados
(SCADA). O fltro Bloom é usado durante uma fase de treinamento ofine inicial e no
modo de detecção online para detecção baseada em anomalia. No treino o código de
função e os parâmetros de dados são extraísdos dos dados of-line e armazenados em
dois fltros Bloom diferentes. Já na detecção os mesmos parâmetros são extraísdos para
realizar a consulta aos dois fltros Bloom que atribuem uma pontuação ao padrão
testado e indica a probabilidade de comportamento anômalo.
Neste artigo são apresentadas propostas de implementação com uso de Redes
Neurais Recorrentes do tipo LSTM e Filtro de Bloom visando aumentar os resultados
de detecção e redução das taxas de falsos positivos.
4. Modelos Propostos
Os modelos propostos neste artigo levam em consideração trabalhos bem sucedidos
utilizando Redes Neurais Recorrentes – LSTM e fltro de Bloom e aplicadas tanto em
modelos de detecção em série como em paralelas. Consideramos o trabalho realizado
em [5] como o modelo base de classifcação através de uma Rede Neural Recorrente
Long Short Term Memory (RNN-LSTM) e o fltro de Bloom sendo aplicado em 2
casos como antecessor e como sucessor no modelo de classifcação. Uma terceira
proposta é apresentada onde a rede neural recorrente e o fltro de Bloom são executados
paralelamente.
Antes do detalhamento dos modelos são apresentados os tratamentos necessários
aos dados e as métricas que podem ser utilizadas para medir o desempenho dos
modelos. 
4.1. Pré-processamento dos dados
O conjunto de dados NSL-KDD é um uma versão melhorada do conjunto de dados
KDD Cup99 [15]. Os dados do conjunto de dados NSL-KDD possuem 38 recursos dos
quais 3 não são numéricos. As redes neurais recorrentes trabalham com matrizes
numéricas como valores de entrada, portanto, se faz necessário a normalização e
numerização dos dados. 
A numerização é a transformação de dados textuais para valores numéricos que
posteriormente são codifcados como vetores binários. A normalização aplica um
método de escalonamento logarístmico para reduzir o intervalos de atributos. Tais
tratamentos de dados foram aplicados em [4].
Para treinar as redes LSTM é preciso encontrar os valores ideais para os
hiperparâmetros que podem impactar no desempenho do modelo. Em [5] Kim et al.
encontraram os valores dos hiperparâmetros ideais para a taxa de aprendizado (0.01) e o
número de camadas ocultas (80) da rede neural. Portanto, utilizaremos este valores para
a rede LSTM nos modelos propostos.
4.2. Métricas de desempenho
As métricas utilizadas em trabalhos de detecção de anomalias em geral são bastante
semelhantes. Neste trabalho utiliza-se por base as métricas de [4][5] onde são
calculadas a precisão do modelo (P), a taxa de detecção (TD) e a taxa de falsos alarmes
(FA) com base em uma matriz de confusão onde VPa verdadeiro positivo, VNa
verdadeiro negativo, FPa falso positivo, FNa falso negativoa
A precisão do modelo calcula a porcentagem do número de registros
classifcados corretamente em relação ao total de registros verifcados como mostrado
em (1)a
P= VP+VN
VP+VN+FP+FN
(1)
A taxade detecção apresenta o percentual de números de registros classifcados
corretamente em relação ao número total de registros anômalos, como mostrado em (2)a
TD= VP
VP+FN
(2)
A taxa de falsos alertas é uma importante métrica pois, sabendo que o modelo
LSTM já foi testado isoladamente em [5] tendo apresentado taxas de falsos alertas
acima de 10%, espera-se que a aplicação do fltro Bloom reduza estes valores. A taxa de
falsos alertas mede o número de registros classifcados incorretamente dividida pelo
número total de registros normais, como mostrado em (3)a
FA= FP
FP+VN
(3)
4.3. Preenchimento do Filtro de Bloom
O desempenho do fltro de Bloom está muito ligado a quantidade de elementos que o
preenchem, a quantidade de funções hash utilizadas e o tamanho do vetor de bits. O
tratamento dos dados deve defnir especifcamente a quantidade de elementos que será
utilizada no fltro. Neste artigo é proposto que o fltro de Bloom seja preenchido com
dados normais. 
Se conhecermos a quantidade de elementos (n) que se pretende usar para
preencher o fltro de Bloom é possísvel calcular o tamanho do vetor (m) de bits do fltro,
inclusive, determinando a taxa de probabilidade de falsos positivos desejada (P) através
de (4)a
m= n lnP
( ln 2)2
(4)
Conhecendo o tamanho do vetor (m) e a quantidade de elementos (n) é possísvel
calcular o número ideal de funções hash utilizadas para as operações de inserção e
consulta de elementos do fltro, como mostrado em (5)a
K=m
n
ln2 (5)
4.4. Modelo Seriado – Precedido por Filtro Bloom
O modelo seriado procura incrementar as taxas de detecção combinando duas técnicas,
neste caso, com o fltro de Bloom e a Rede Neural Recorrente do tipo LSTM. A
utilização do fltro de Bloom foi aplicado em [8] como um detector de anomalias de
nísvel de pacote rápido e leve antecedendo um classifcador LSTM. A fgura 1 mostra a
arquitetura proposta para o modelo seriado precedido por um fltro de Bloom
preenchido com um conjunto de todos os dados considerados normais do dataset de
treino que também é usado para treinar a rede neural LSTM. 
Neste modelo os dados de teste são verifcados primeiramente no fltro de
Bloom e as anomalias detectadas nesta primeira fase são logo classifcadas como
anomalia certa. Somente os dados considerados como normais prováveis (visto que os
fltro de Bloom pode apresentar falsos positivos) são encaminhados para o segundo
nísvel onde o classifcador de RNN-LSTM. 
A aplicação das métricas de avaliação neste caso devem considerar (i) os pacotes
detectados como normais na saísda do classifcador RNN-LSTM e (ii) os pacotes
considerados anômalos nos dois nísveis.
4.5. Modelo Seriado – Sucedido por Filtro Bloom
Neste modelo a rede neural LSTM é o primeiro nísvel de detecção. Da mesma forma que
o modelo anterior, os mesmos dados de treino são utilizados nos dois nísveis e um
dataset de testes é aplicado ao modelo para detecção de anomalias. 
Neste modelo a dinâmica muda para que se possa reduzir as altas taxas de falsos
positivos do classifcador RNN-LSTM [5]. Na saísda do primeiro nísvel são separados os
dados considerados normais e apenas o que for detectado como anormal é encaminhado
para o fltro de Bloom que faz uma nova verifcação para confrmar a anomalia, como
mostra a fgura 2.
Para este modelo a aplicação das métricas de avaliação devem considerar (i) os
Figura 1: Modelo seriado precedido pelo Filtro Bloom
pacotes detectados como anomalia na saísda do fltro de Bloom e (ii) os pacotes
considerados normais nos dois nísveis.
4.6. Modelo Paralelo e Comparativo
Com este modelo pretende-se testar o desempenho das técnicas aplicadas paralelamente
aproveitando para comparar as taxas de detecção dos modelos individualmente. O
preenchimento do fltro de Bloom e o treino da RNN-LSTM ocorrem da mesma forma
dos modelos anteriores. Já os dados de teste são verifcados pelas duas técnicas. Após a
classifcação é possísvel aplicar as métricas para comparar as duas técnicas verifcando a
taxa de detecção, a taxa de falsos alertas e a precisão de cada uma delas. 
Para avaliar o desempenho do uso combinado das técnicas é proposta a inserção
de um componente de correlação na saísda tanto do fltro de Bloom como da RNN-
LSTM para verifcar as detecções das duas técnicas. O componente de correlação tem
Figura 2: Modelo Seriado sucedido por Filtro Bloom
Figura 3: Modelo paralelo e comparativo
como objetivo a verifcação de tudo que foi detectado como anormal nas duas técnicas,
compará-las e emitir alerta somente para as anomalias registradas em ambas.
5. Conclusão e Discussão
A aplicação combinada de técnicas de detecção de anomalias tem grande potencial e
deve ser cada vez mais alvo de pesquisas. Especifcamente, neste artigo, é explorada a
combinação de duas técnicas que possuem caracteríssticas complementares aliando a
leveza do fltro de Bloom com a profundidade das Redes Neurais Recorrentes LSTM e
são apresentados modelos com variações de suas confgurações, baseadas em trabalhos
recentes. 
Para os trabalhos futuros é sugerida, obviamente, a implementação dos modelos
para testar os seus comportamentos e, a partir de então, testar mais confgurações de
detecção com a população do fltro Bloom com dados anormais para testar suas efcácia,
por exemplo.
Referências
[1] Kevric, J., Jukic, S. e Subasi, An effective combining classifier approach 
using tree algorithms for network intrusion detection, A. Neural Comput 
& Applic (2017) 28(Suppl 1): 1051. 
[2] Alba P. Vela, Marc Ruiz, Luis Velasco, Distributing data analytics for 
efficient multiple traffic anomalies detection, Computer Communications,
Volume 107, 2017, Pages 1-12, ISSN 0140-3664.
[3] M. H. Bhuyan, D. K. Bhattacharyya and J. K. Kalita, Network Anomaly 
Detection: Methods, Systems and Tools," in IEEE Communications 
Surveys & Tutorials, vol. 16, no. 1, pp. 303-336, First Quarter 2014.
[4] C. Yin, Y. Zhu, J. Fei and X. He, A Deep Learning Approach for Intrusion
Detection Using Recurrent Neural Networks, in IEEE Access, vol. 5, pp. 
21954-21961, 2017.
[5] J. Kim, J. Kim, H. L. T. Thu and H. Kim, Long Short Term Memory 
Recurrent Neural Network Classifier for Intrusion Detection, 2016 
International Conference on Platform Technology and Service 
(PlatCon), Jeju, 2016, pp. 1-5.
[6] Shahabeddin Geravand, Mahmood Ahmadi, Bloom filter applications in 
network security: A state-of-the-art survey, Computer Networks, Volume 
57, Issue 18, 2013, Pages 4047-4064, ISSN 1389-1286. 
[7] R. K. Malaiya, D. Kwon, J. Kim, S. C. Suh, H. Kim and I. Kim, An 
Empirical Evaluation of Deep Learning for Network Anomaly Detection, 
2018 International Conference on Computing, Networking and 
Communications (ICNC), Maui, HI, USA, 2018, pp. 893-898.
[8] C. Feng, T. Li and D. Chana, Multi-level Anomaly Detection in Industrial 
Control Systems via Package Signatures and LSTM Networks, 2017 
47th Annual IEEE/IFIP International Conference on Dependable 
Systems and Networks (DSN), Denver, CO, 2017, pp. 261-272.
[9] P. García-Teodoro, J. Díaz-Verdejo, G. Maciá-Fernández, E. Vázquez, 
Anomaly-based network intrusion detection: Techniques, systems and 
challenges, Computers & Security, Volume 28, Issues 1–2, 2009, Pages 
18-28, ISSN 0167-4048
[10] Andrei Broder & Michael Mitzenmacher (2011), Network Applications of 
Bloom Filters: A Survey, Internet Mathematics, 1:4, 485-509
[11] P. Xiao, Z. Li, H. Qi, W. Qu and H. Yu, An Efficient DDoS Detection with 
Bloom Filter in SDN, 2016 IEEE Trustcom/BigDataSE/ISPA, Tianjin, 
2016, pp. 1-6.
[12] J. Fan, D. Wu, K. Lu and A. Nucci, NIS04-3: Design of Bloom Filter Array
for Network Anomaly Detection, IEEE Globecom 2006, San Francisco, 
CA, 2006, pp.1-5.
[13] Byeong-hee Roh, Ju Wan Kim, Ki-Yeol Ryu, Jea-Tek Ryu, A whitelist-
based countermeasure scheme using a Bloom filter against SIP flooding 
attacks, Computers & Security, Volume 37, 2013, Pages 46-61, ISSN 
0167-4048.
[14] S. Parthasarathy and D. Kundur, Bloom filter based intrusion detection 
for smart grid SCADA, 2012 25th IEEE Canadian Conference on 
Electrical and Computer Engineering (CCECE), Montreal, QC, 2012, pp.
1-6.
[15] Dhanabal, L. and Dr. S. P. Shantharajah, A Study on NSL-KDD Dataset 
for Intrusion Detection System Based on Classification Algorithms, 2015
	1. Introdução
	2. Sistemas de Detecção de Intrusão
	2.1. Redes Neurais Recorrentes
	2.2. Filtros Bloom
	3. Trabalhos Relacionados
	4. Modelos Propostos
	4.1. Pré-processamento dos dados
	4.2. Métricas de desempenho
	4.3. Preenchimento do Filtro de Bloom
	4.4. Modelo Seriado – Precedido por Filtro Bloom
	4.5. Modelo Seriado – Sucedido por Filtro Bloom
	4.6. Modelo Paralelo e Comparativo
	5. Conclusão e Discussão