@inproceedings{2025-jnic-portales,

title = {Experiencias de formación en ciberseguridad usando portales cautivos},

author = {Javier {Muñoz-Calle} and Francisco José {Fernández-Jiménez} and Rafael Estepa and Vicente Mayor and José M. {Garcia-Campos}},

isbn = {78-84-10169-61-6},

year  = {2025},

date = {2025-06-06},

urldate = {2025-06-06},

booktitle = {Actas de las X Jornadas Nacionales de Investigación en Ciberseguridad},

pages = {477-484},

abstract = {Este trabajo describe una experiencia de formación y educación básica en ciberseguridad desarrollada en el marco de las jornadas de puertas abiertas de la Escuela Técnica Superior de Ingenieros de la Universidad de Sevilla para estudiantes de bachillerato. El objetivo es que el alumnado sea consciente de los riesgos asociados al uso de sistemas conectados, especialmente cuando se utilizan infraestructuras de acceso gratuito. Se describe el escenario experimental desplegado, la secuencia de actividades realizada, que incluye acciones de motivación y acceso aparentemente inofensivo, y los resultados obtenidos.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{2025-jnic-smart,

title = {Análisis comparativo de las capacidades de SIDS},

author = { J. {Muñoz-Calle} and J. {Díaz-Verdejo} and R. {Estepa Alonso} and A. {Estepa Alonso} },

isbn = {78-84-10169-61-6},

year  = {2025},

date = {2025-06-06},

urldate = {2025-06-06},

booktitle = {Actas de las X Jornadas Nacionales de Investigación en Ciberseguridad},

pages = {169-176},

abstract = {Cada vez son más los dispositivos desplegados en entornos SmartHome residenciales para conseguir funcionalidades de control relativamente simples. Su bajo coste y facilidad de uso propician una fuerte expansión, lo que a su vez representa un desafío desde el punto de vista de la ciberseguridad, aumentando

significativamente la exposición de las redes residenciales. La utilización de sistemas de detección de intrusiones adaptados al contexto podría mejorar la seguridad. Este trabajo estudia la idoneidad de los IDS para la detección de ciberataques en un escenario tipo SmartHome real, utilizando tanto detectores

de dominio público como comerciales. Para ello se analizan trazas reales disponibles con 3 IDS ampliamente utilizados: Snort, Palo Alto NGFW y FortiGate. Los resultados obtenidos ilustran la imposibilidad de su despliegue en su configuración por defecto, planteando algunas cuestiones relativas al rendimiento

y la dificultad de comparar sus rendimientos debido al punto de operación elegido en los equipos comerciales frente a Snort.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Diaz-Verdejo2024b,

title = {Biblio-US17: A labeled real URL dataset for anomaly-based intrusion detection systems development},

author = {Jesús E. Díaz-Verdejo and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and Javier Muñoz-Calle and Germán Madinabeitia},

doi = {10.1145/3655693.3661319},

isbn = {9798400716515},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

booktitle = {European Interdisciplinary Cybersecurity Conference (EICC 2024)},

pages = {217–218},

abstract = {The development of anomaly-based intrusion detection systems is hindered by the scarcity of adequate datasets. An ideal dataset should contain real traffic, genuine attacks and cover a large time period that may demonstrate time shift. To be useful, the dataset must be labeled to provide accurate ground-truth, This paper presents a dataset of URLs that possesses these qualities. It can therefore be used to effectively train, test, and validate URL-based anomaly detection systems. The dataset is publicly available and contains 47M registers, including 320k attacks, and spans for 6.5 months. It is partitioned acording to two schemes to allow for time dependent and time independent experiments.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{DiazVerdejo2024,

title = {Impacto de la evolución temporal de datasets reales en el rendimiento de un IDS basados en anomalías: estudio experimental sobre HTTP},

author = {J. Díaz-Verdejo and R. Estepa Alonso and A. Estepa Alonso and F. J. Muñoz-Calle},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

booktitle = {XI Jornadas Nacionales de Investigación en Ciberseguridad},

pages = {302–309},

abstract = {El desarrollo y evaluación de sistemas de detección de intrusiones basados en anomalías es de vital importancia en el contexto de la ciberseguridad, especialmente en relación a los ataques de día cero. La naturaleza altamente diamica tanto de los sistemas a proteger como de los ataques hace que la detección de anomalías resulte una tarea compleja, ya que esta evolución temporal puede afectar a las capacidades de los modelos estimados en un escenario y periodo determinados. A pesar de su importancia, este efecto ha sido explorado de forma limitada en la literatura, especialmente por la prática inexistencia de datos reales convenientemente etiquetados con la suficiente extensión temporal. En el presente trabajo evaluamos experimentalmente el impacto de la evolución temporal en un sistema para la detección de ataques basados en URL utilizando datos reales capturados en un escenario real durante un periodo de tiempo relativamente extenso. Nuestros análisis demuestran una degradación de creciente con la distancia temporal entre el entrenamiento y la evaluación. Esta degradación es debida a la combinación de la pérdida de calidad del modelo con el tiempo así como a la propia variación del comportamiento del servicio y/o ataques a lo largo del tiempo.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Diaz-Verdejo2024,

title = {Insights into anomaly-based intrusion detection systems usability. A case study using real http requests},

author = {Jesús Díaz-Verdejo and Rafael Estepa Alonso and Antonio Estepa Alonso and Javier Muñoz-Calle},

doi = {10.1145/3655693.3655745},

isbn = {9798400716515},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

booktitle = {Proc. European Interdisciplinary Cybersecurity Conference (EICC 2024)},

pages = {82–89},

abstract = {Intrusion detection systems based on anomalies (A-IDS) are crucial for detecting cyberattacks, especially zero-day attacks. Numerous A-IDS proposals in the literature report excellent performance according to established metrics and settings in a laboratory. However, finding systems implementing these proposals in real-world scenarios is challenging. This work explores, through a case study, the suitability of performance metrics commonly used in the scientific literature to real-world scenarios. Our case study will consider a Web attack detector based on URIs and a real, large-scale dataset. Our results show significant limitations in the performance metrics commonly used to select the system's operating point and its practical use in real-world scenarios.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Diaz-Verdejo2024a,

title = {InspectorLog : A New Tool for Offline Attack Detection over Web Log},

author = {J. Díaz-Verdejo and J. Muñoz-Calle and R. Estepa Alonso and A. Estepa Alonso},

doi = {10.5220/0012764000003767},

isbn = {9789897587092},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

booktitle = {Proceedings of the 21st International Conference on Security and Cryptography (SECRYPT 2024)},

number = {Secrypt},

pages = {692–697},

abstract = {InspectorLog is a novel tool for offline analysis of HTTP logs. The tool processes web server logs to identify attacks using diverse rule sets, focusing primarily on the URI field. It is compatible with standard rule formats from systems such as Snort, Nemesida, and ModSecurity. This paper describes InspectorLog functionalities, architecture and applications to the scientific community. We also experimentally validate InspectorLog by comparing its detection power with that of the IDS from which rules are taken. Inspector log fills a gap in available tools in cybersecurity practices in forensic analysis, dataset sanitization, and signature tuning. Future enhancements are planned to support additionalWeb Application Firewalls (WAFs), new rule types, and HTTP protocol methods, aiming to broaden its scope and utility in the ever-evolving domain of network security.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{eicc23-attacks,

title = {Multistep Cyberattacks Detection using a Flexible Multilevel System for Alerts and Events Correlation},

author = {Elvira {Castillo Fernández} and Jesús E. {Díaz-Verdejo} and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and Javier {Muñoz-Calle} and Germán Madinabeitia},

doi = {10.1145/3590777.3590778},

year  = {2023},

date = {2023-06-14},

urldate = {2023-06-14},

booktitle = {Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023)},

pages = {6},

abstract = {Current network monitoring systems tend to generate several alerts per attack, especially in multistep attacks. However, Cybersecurity Officers (CSO) would rather receive a single alert summarizing the entire incident. Triggering a single alert per attack is a challenge that requires developing and evaluating advanced event correlation techniques and models to determine the relationships between the different observed events/alerts.



In this work, we propose a flexible architecture oriented toward the correlation and aggregation of events and alerts in a multilevel iterative approach. 

In our scheme, sensors generate events and alerts that are stored in a non-relational database queried by modules that create knowledge structured as meta-alerts that are also stored in the database. These meta-alerts (also called hyperalerts) are, in turn, used iteratively to create new knowledge. This iterative approach can be used to aggregate information at multiple levels or steps in complex attack models. 

Our architecture also allows the incorporation of additional sensors and the evaluation of various correlation techniques and multistage attack models. The capabilities of the system are assessed through three case studies.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Munoz-calle2023,

title = {Evaluación experimental de las capacidades de detección de ciberataques basados en técnicas del modelo ATT & CK mediante Snort},

author = {Javier Muñoz-calle and Javier Fructuoso and Rafael Estepa and Antonio Estepa},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

booktitle = {Actas de las XVI Jornadas de Ingeniería Telemática - JITEL 2023},

pages = {5–8},

abstract = {ATT&CK establece un modelo donde se especifican las fases secuenciales de un ciberataque, as´ı como las t´ecnicas que suelen ser usadas en cada paso del ataque. Ser´ıa interesante incorporar este modelo en el proceso de detecci´on de los ciberataques ya que facilitar´ıa la correlaci´on de las numerosas alertas generadas por los sistemas de monitorizaci´on de red. Sin embargo, la aplicaci´on del modelo en los procesos de correlaci´on de eventos no es inmediata, ya que no est´a formulado en t´erminos de eventos observables y/o detecciones sino de acciones a realizar. En el presente trabajo exploramos y evaluamos los elementos necesarios para incorporar el modelo ATT&CK en el procesamiento de la informaci´on generada por los sistemas de monitorizaci´on de la seguridad en la red.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Castillo-Fernandez2023,

title = {Uso practico del modelo ATT&CK para la detección de ciberataques},

author = {Elvira Castillo-Fernández and Jesús Esteban Díaz-Verdejo and Rafael María Estepa Alonso and Antonio Estepa Alonso and Fco Javier Muñoz-Calle},

isbn = {9783131450715},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

booktitle = {Actas de las XVI Jornadas de Ingeniería Telemática - JITEL 2023},

pages = {1–4},

abstract = {ATT&CK establece un modelo donde se especifican las fases secuenciales de un ciberataque, así como las técnicas que suelen ser usadas en cada paso del ataque. Sería interesante incorporar este modelo en el proceso de detección de los ciberataques ya que facilitaría la correlación de las numerosas alertas generadas por los sistemas de monitorización de red. Sin embargo, la aplicación del modelo en los procesos de correlación de eventos no es inmediata, ya que no está formulado en términos de eventos observables y/o detecciones sino de acciones a realizar. En el presente trabajo exploramos y evaluamos los elementos necesarios para incorporar el modelo ATT&CK en el procesamiento de la información generada por los sistemas de monitorización de la seguridad en la red.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Munoz-jnic22,

title = {Ataques a servidores web: estudio experimental de la capacidad de detección de algunos SIDS gratuitos},

author = {Javier Muñoz and Felipe Bueno and Rafael Estepa and Antonio Estepa and Jesús E. Díaz-Verdejo},

isbn = {9878488734136},

year  = {2022},

date = {2022-01-01},

urldate = {2022-01-01},

booktitle = {Actas de las VII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC'22)},

pages = {22--25},

abstract = {Este trabajo cuantifica de forma experimental la capacidad de detección de ataques a servidores web ofrecida por algunos de los detectores de intrusiones basados en firmas (SIDS) disponibles de forma gratuita. Para ello, se ha realizado una búsqueda y selección de 28 herramientas actuales para la generación de ataques y análisis de seguridad del servicio web. Con ellas, se han realizado casi 150 ataques a dos escenarios de uso de un servidor web (una web estática y una dinámica). Las peticiones HTTP registradas durante los ataques han sido utilizadas para crear un dataset de ataques que será utilizado como entrada a tres SIDS gratuitos seleccionados por su amplio uso, de forma que se podrá determinar la capacidad de detección de los mismos frente a los ataques generados. Este trabajo se encuentra aún en desarrollo, por lo que en esta contribución se muestran los primeros resultados relativos a la recolección y selección de herramientas para la generación de los ataques, la generación del dataset de ataques de forma que sea representativo de los ataques actuales y la evaluación preliminar de las capacidades de detección.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{diaz-verdejo-jnic21,

title = {Sobre las capacidades de detección de los IDS basados en firmas},

author = {J. Diaz-Verdejo and F. J. Muñoz and R. Estepa Alonso and A. Estepa Alonso and G. Madinabeitia},

editor = {Manuel A. Serrano and Eduardo Fernández-Medina and Cristina Alcaraz and Noemí Castro and Guillermo Calvo},

url = {https://ruidera.uclm.es/xmlui/handle/10578/28597},

doi = {10.18239/jornadas_2021.34.00},

isbn = {9788490444634},

year  = {2021},

date = {2021-01-01},

urldate = {2021-01-01},

booktitle = {Actas de las VI Jornadas Nacionales de Investigación en Ciberseguridad},

pages = {55--64},

publisher = {Ediciones de la Universidad de Castilla-La Mancha},

series = {Colección Jornadas y Congresos},

abstract = {Los sistemas de detección de intrusiones (IDS) pueden detectar actividades maliciosas y generar alertas a supervisar, por lo que constituyen el n´ ucleo de los sistemas de monitorización de la seguridad de las redes. Tradicionalmente, se ha asumido que los IDS basados en firmas (SIDS) ofrecen una capacidad de detección y tasa de falsos positivos adecuadas, presentando limitaciones sólo en la detección de ataques 0-day. Sin embargo, estas capacidades están inequívocamente asociadas a la calidad de las firmas disponibles, que varían no sólo en el tiempo sino con la herramienta concreta utilizada. En este trabajo se exploran las capacidades de diversos sistemas SIDS ampliamente utilizados en un escenario real en el contexto de servicios web. Asimismo, se analiza la evolución de sus prestaciones a lo largo del tiempo considerando la actualización de las firmas. Los resultados de nuestras pruebas evidencian una gran variabilidad en las prestaciones en función de la herramienta seleccionada, así como una deficiente cobertura de ataques conocidos, incluso cuando se optimizan las reglas para ajustarse al sistema a proteger. Consecuentemente, es necesario revisar el papel de los SIDS como elementos de protección, ya que pueden proporcionar una falsa sensación de seguridad.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}