@inproceedings{2025-jnic-smart,

title = {Análisis comparativo de las capacidades de SIDS},

author = { J. {Muñoz-Calle} and J. {Díaz-Verdejo} and R. {Estepa Alonso} and A. {Estepa Alonso} },

isbn = {78-84-10169-61-6},

year  = {2025},

date = {2025-06-06},

urldate = {2025-06-06},

booktitle = {Actas de las X Jornadas Nacionales de Investigación en Ciberseguridad},

pages = {169-176},

abstract = {Cada vez son más los dispositivos desplegados en entornos SmartHome residenciales para conseguir funcionalidades de control relativamente simples. Su bajo coste y facilidad de uso propician una fuerte expansión, lo que a su vez representa un desafío desde el punto de vista de la ciberseguridad, aumentando

significativamente la exposición de las redes residenciales. La utilización de sistemas de detección de intrusiones adaptados al contexto podría mejorar la seguridad. Este trabajo estudia la idoneidad de los IDS para la detección de ciberataques en un escenario tipo SmartHome real, utilizando tanto detectores

de dominio público como comerciales. Para ello se analizan trazas reales disponibles con 3 IDS ampliamente utilizados: Snort, Palo Alto NGFW y FortiGate. Los resultados obtenidos ilustran la imposibilidad de su despliegue en su configuración por defecto, planteando algunas cuestiones relativas al rendimiento

y la dificultad de comparar sus rendimientos debido al punto de operación elegido en los equipos comerciales frente a Snort.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Diaz-Verdejo2024,

title = {Insights into anomaly-based intrusion detection systems usability. A case study using real http requests},

author = {Jesús Díaz-Verdejo and Rafael Estepa Alonso and Antonio Estepa Alonso and Javier Muñoz-Calle},

doi = {10.1145/3655693.3655745},

isbn = {9798400716515},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

booktitle = {Proc. European Interdisciplinary Cybersecurity Conference (EICC 2024)},

pages = {82–89},

abstract = {Intrusion detection systems based on anomalies (A-IDS) are crucial for detecting cyberattacks, especially zero-day attacks. Numerous A-IDS proposals in the literature report excellent performance according to established metrics and settings in a laboratory. However, finding systems implementing these proposals in real-world scenarios is challenging. This work explores, through a case study, the suitability of performance metrics commonly used in the scientific literature to real-world scenarios. Our case study will consider a Web attack detector based on URIs and a real, large-scale dataset. Our results show significant limitations in the performance metrics commonly used to select the system's operating point and its practical use in real-world scenarios.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Diaz-Verdejo2024a,

title = {InspectorLog : A New Tool for Offline Attack Detection over Web Log},

author = {J. Díaz-Verdejo and J. Muñoz-Calle and R. Estepa Alonso and A. Estepa Alonso},

doi = {10.5220/0012764000003767},

isbn = {9789897587092},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

booktitle = {Proceedings of the 21st International Conference on Security and Cryptography (SECRYPT 2024)},

number = {Secrypt},

pages = {692–697},

abstract = {InspectorLog is a novel tool for offline analysis of HTTP logs. The tool processes web server logs to identify attacks using diverse rule sets, focusing primarily on the URI field. It is compatible with standard rule formats from systems such as Snort, Nemesida, and ModSecurity. This paper describes InspectorLog functionalities, architecture and applications to the scientific community. We also experimentally validate InspectorLog by comparing its detection power with that of the IDS from which rules are taken. Inspector log fills a gap in available tools in cybersecurity practices in forensic analysis, dataset sanitization, and signature tuning. Future enhancements are planned to support additionalWeb Application Firewalls (WAFs), new rule types, and HTTP protocol methods, aiming to broaden its scope and utility in the ever-evolving domain of network security.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{DiazVerdejo2024,

title = {Impacto de la evolución temporal de datasets reales en el rendimiento de un IDS basados en anomalías: estudio experimental sobre HTTP},

author = {J. Díaz-Verdejo and R. Estepa Alonso and A. Estepa Alonso and F. J. Muñoz-Calle},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

booktitle = {XI Jornadas Nacionales de Investigación en Ciberseguridad},

pages = {302–309},

abstract = {El desarrollo y evaluación de sistemas de detección de intrusiones basados en anomalías es de vital importancia en el contexto de la ciberseguridad, especialmente en relación a los ataques de día cero. La naturaleza altamente diamica tanto de los sistemas a proteger como de los ataques hace que la detección de anomalías resulte una tarea compleja, ya que esta evolución temporal puede afectar a las capacidades de los modelos estimados en un escenario y periodo determinados. A pesar de su importancia, este efecto ha sido explorado de forma limitada en la literatura, especialmente por la prática inexistencia de datos reales convenientemente etiquetados con la suficiente extensión temporal. En el presente trabajo evaluamos experimentalmente el impacto de la evolución temporal en un sistema para la detección de ataques basados en URL utilizando datos reales capturados en un escenario real durante un periodo de tiempo relativamente extenso. Nuestros análisis demuestran una degradación de creciente con la distancia temporal entre el entrenamiento y la evaluación. Esta degradación es debida a la combinación de la pérdida de calidad del modelo con el tiempo así como a la propia variación del comportamiento del servicio y/o ataques a lo largo del tiempo.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Diaz-Verdejo2024b,

title = {Biblio-US17: A labeled real URL dataset for anomaly-based intrusion detection systems development},

author = {Jesús E. Díaz-Verdejo and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and Javier Muñoz-Calle and Germán Madinabeitia},

doi = {10.1145/3655693.3661319},

isbn = {9798400716515},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

booktitle = {European Interdisciplinary Cybersecurity Conference (EICC 2024)},

pages = {217–218},

abstract = {The development of anomaly-based intrusion detection systems is hindered by the scarcity of adequate datasets. An ideal dataset should contain real traffic, genuine attacks and cover a large time period that may demonstrate time shift. To be useful, the dataset must be labeled to provide accurate ground-truth, This paper presents a dataset of URLs that possesses these qualities. It can therefore be used to effectively train, test, and validate URL-based anomaly detection systems. The dataset is publicly available and contains 47M registers, including 320k attacks, and spans for 6.5 months. It is partitioned acording to two schemes to allow for time dependent and time independent experiments.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{jnic23-iot,

title = {Riesgos en la Smart Home: estudio experimental},

author = {E. Castillo-Fernández and J. Diaz-Verdejo and {Estepa Alonso}, R. and {Estepa Alonso}, A.},

isbn = {978-84-8158-970-2},

year  = {2023},

date = {2023-06-21},

urldate = {2023-06-21},

booktitle = {Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23)},

pages = {375-382},

abstract = {En este trabajo realizamos una evaluación preliminar de los riesgos de ciberseguridad en un escenario de aplicación típico de SmartHome: una vivienda unifamiliar. Para ello se han desplegado varias tecnologías comúnmente utilizadas en este contexto y se ha monitorizado el tráfico asociado a los dispositivos y servidores SmartHome. A partir del análisis realizado se ha constatado la existencia de ataques, patrones de comunicación anómalos entre dispositivos y con servidores externos, así como vulnerabilidades asociadas a debilidades en las configuraciones de los dispositivos y los protocolos desplegados, algunos de ellos propietarios. Adicionalmente, para algunos dispositivos se ha constatado una gran dependencia de la nube, lo que facilita la indisponibilidad de  algunos servicios en caso de fallos en la conexión con nube. El resultado evidencia un pobre tratamiento de la ciberseguridad por la mayoría de los operadores del sector y un riesgo en este tipo de instalaciones que puede pasar inadvertido al usuario.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{jnic23-cslab,

title = {Diseño y despliegue de un laboratorio para formación e investigación  en ciberseguridad},

author = {Elvira Castillo-Fernández and Escolástico Muñoz and J. Diaz-Verdejo and {Estepa Alonso}, R and {Estepa Alonso}, A.},

isbn = {978-84-8158-970-2},

year  = {2023},

date = {2023-06-21},

urldate = {2023-06-21},

booktitle = {Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23) },

journal = {Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23) - En revisión},

pages = {445-452},

abstract = {La realización de simulacros y/o experimentos para actividades de formación e investigación en ciberseguridad plantea serias dificultades prácticas por la ejecución de ataques a los sistemas que conforman la propia infraestructura. Se presentan múltiples requisitos, en ocasiones, incompatibles entre sí, como la necesidad de preservar la seguridad de los sistemas externos y de monitorización sin perder la conectividad hacia Internet, la capacidad de monitorización y adquisición de trazas de una forma segura, la flexibilidad que permita múltiples escenarios lo más realistas posible y una fácil reusabilidad del laboratorio. En el presente trabajo se propone e implementa una arquitectura para un laboratorio de ciberseguridad que presenta un equilibrio entre flexibilidad, funcionalidad, usabilidad y seguridad de las operaciones. La propuesta se basa en la división en una red de supervisión y una red de laboratorio sobre la que, mediante virtualización de bajo nivel, se pueden desarrollar los diferentes experimentos y ataques con riesgo mínimo de impacto sobre la red de supervisión. Para ello se establecen diferentes barreras, tanto físicas como lógicas, que permiten filtrar el tráfico entre ambas y la conectividad hacia Internet. Para mostrar la operación y capacidades de la arquitectura propuesta se presenta un caso de uso con un ataque multietapa que involucra diversos sistemas operativos y equipos.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{eicc23-attacks,

title = {Multistep Cyberattacks Detection using a Flexible Multilevel System for Alerts and Events Correlation},

author = {Elvira {Castillo Fernández} and Jesús E. {Díaz-Verdejo} and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and Javier {Muñoz-Calle} and Germán Madinabeitia},

doi = {10.1145/3590777.3590778},

year  = {2023},

date = {2023-06-14},

urldate = {2023-06-14},

booktitle = {Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023)},

pages = {6},

abstract = {Current network monitoring systems tend to generate several alerts per attack, especially in multistep attacks. However, Cybersecurity Officers (CSO) would rather receive a single alert summarizing the entire incident. Triggering a single alert per attack is a challenge that requires developing and evaluating advanced event correlation techniques and models to determine the relationships between the different observed events/alerts.



In this work, we propose a flexible architecture oriented toward the correlation and aggregation of events and alerts in a multilevel iterative approach. 

In our scheme, sensors generate events and alerts that are stored in a non-relational database queried by modules that create knowledge structured as meta-alerts that are also stored in the database. These meta-alerts (also called hyperalerts) are, in turn, used iteratively to create new knowledge. This iterative approach can be used to aggregate information at multiple levels or steps in complex attack models. 

Our architecture also allows the incorporation of additional sensors and the evaluation of various correlation techniques and multistage attack models. The capabilities of the system are assessed through three case studies.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{eicc2-firmas,

title = {HTTP Cyberattacks Detection through Automatic Signature Generation in multi-site IoT Deployments},

author = {Agustín W. Lara and J.A. Ternero and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and Fernando Ruiz-Robles and Jesús E. Díaz-Verdejo

},

doi = {10.1145/3590777.3590788},

year  = {2023},

date = {2023-06-14},

urldate = {2023-06-14},

booktitle = {Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023)

},

pages = {6},

abstract = { IoT deployments often include a web-interface server for managerial purposes. Signature-based Intrusion Detection Systems are commonly used to detect HTTP attacks on these web servers. The standard signature repositories used by these defensive systems can be enhanced with new signatures generated automatically from attacks detected with anomaly detection techniques. 

  This work presents a scheme for generating such anomaly-based signatures from HTTP attacks in a way that avoids excessive false positives. The signatures generated are distributed to peer sites in a multi-site environment. We also present a case study based on an IoT real-life dataset collected at four different SmartLight deployments from the same organization. Our results show a notable performance improvement (from $24.1%$ to $66.7%$) when anomaly-based signatures are added to the standard default Snort ruleset and distributed to the other three sites.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Munoz-calle2023,

title = {Evaluación experimental de las capacidades de detección de ciberataques basados en técnicas del modelo ATT & CK mediante Snort},

author = {Javier Muñoz-calle and Javier Fructuoso and Rafael Estepa and Antonio Estepa},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

booktitle = {Actas de las XVI Jornadas de Ingeniería Telemática - JITEL 2023},

pages = {5–8},

abstract = {ATT&CK establece un modelo donde se especifican las fases secuenciales de un ciberataque, as´ı como las t´ecnicas que suelen ser usadas en cada paso del ataque. Ser´ıa interesante incorporar este modelo en el proceso de detecci´on de los ciberataques ya que facilitar´ıa la correlaci´on de las numerosas alertas generadas por los sistemas de monitorizaci´on de red. Sin embargo, la aplicaci´on del modelo en los procesos de correlaci´on de eventos no es inmediata, ya que no est´a formulado en t´erminos de eventos observables y/o detecciones sino de acciones a realizar. En el presente trabajo exploramos y evaluamos los elementos necesarios para incorporar el modelo ATT&CK en el procesamiento de la informaci´on generada por los sistemas de monitorizaci´on de la seguridad en la red.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Castillo-Fernandez2023,

title = {Uso practico del modelo ATT&CK para la detección de ciberataques},

author = {Elvira Castillo-Fernández and Jesús Esteban Díaz-Verdejo and Rafael María Estepa Alonso and Antonio Estepa Alonso and Fco Javier Muñoz-Calle},

isbn = {9783131450715},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

booktitle = {Actas de las XVI Jornadas de Ingeniería Telemática - JITEL 2023},

pages = {1–4},

abstract = {ATT&CK establece un modelo donde se especifican las fases secuenciales de un ciberataque, así como las técnicas que suelen ser usadas en cada paso del ataque. Sería interesante incorporar este modelo en el proceso de detección de los ciberataques ya que facilitaría la correlación de las numerosas alertas generadas por los sistemas de monitorización de red. Sin embargo, la aplicación del modelo en los procesos de correlación de eventos no es inmediata, ya que no está formulado en términos de eventos observables y/o detecciones sino de acciones a realizar. En el presente trabajo exploramos y evaluamos los elementos necesarios para incorporar el modelo ATT&CK en el procesamiento de la información generada por los sistemas de monitorización de la seguridad en la red.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{esrel22,

title = {Smart Detection of Cyberattacks in IoT servers: Application to smart lighting and other smart city applications},

author = {Antonio {Estepa Alonso} and Rafael {Estepa Alonso} and Johan Wideberg and Jesús {Díaz-Verdejo} and Adolfo {Crespo Marquez}},

editor = {Maria {Chiara Leva} and Edoardo Petelli and Luca Podofillini and Simon Wilson},

year  = {2022},

date = {2022-08-31},

urldate = {2022-08-31},

booktitle = {European Conference on Safety and Reliability (ESREL 2022)},

journal = {European Conference on Safety and Reliability (ESREL 2022)},

pages = {3-4},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

@inproceedings{Munoz-jnic22,

title = {Ataques a servidores web: estudio experimental de la capacidad de detección de algunos SIDS gratuitos},

author = {Javier Muñoz and Felipe Bueno and Rafael Estepa and Antonio Estepa and Jesús E. Díaz-Verdejo},

isbn = {9878488734136},

year  = {2022},

date = {2022-01-01},

urldate = {2022-01-01},

booktitle = {Actas de las VII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC'22)},

pages = {22--25},

abstract = {Este trabajo cuantifica de forma experimental la capacidad de detección de ataques a servidores web ofrecida por algunos de los detectores de intrusiones basados en firmas (SIDS) disponibles de forma gratuita. Para ello, se ha realizado una búsqueda y selección de 28 herramientas actuales para la generación de ataques y análisis de seguridad del servicio web. Con ellas, se han realizado casi 150 ataques a dos escenarios de uso de un servidor web (una web estática y una dinámica). Las peticiones HTTP registradas durante los ataques han sido utilizadas para crear un dataset de ataques que será utilizado como entrada a tres SIDS gratuitos seleccionados por su amplio uso, de forma que se podrá determinar la capacidad de detección de los mismos frente a los ataques generados. Este trabajo se encuentra aún en desarrollo, por lo que en esta contribución se muestran los primeros resultados relativos a la recolección y selección de herramientas para la generación de los ataques, la generación del dataset de ataques de forma que sea representativo de los ataques actuales y la evaluación preliminar de las capacidades de detección.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}