REA – Laboratorio ciberseguridad del grupo de investigación TIC-154

dirección

Despacho ¿?
Dpto. Ing. Telemática
ETS de Ingeniería
c/ Camino de los descubrimientos s/n
41092 - Sevilla

Contacto

rafaestepa @ us.es

RAFAEL M. ESTEPA ALONSO

PUESTOS

Catedrático de Ingeniería Telemática
Dpto. Ing. Telemática
Universidad de Sevilla

fORMACIÓN académica

Doctor Ingeniero de Telecomunicación - Universidad de Sevilla

Docencia reglada

líneas de investigación

ORCID

0000-0001-8505-1920

Pub. JCR

PUBLICACIONES

PROYECTOS INV.

acciones TRANSF.

ACCIONES INNOVACIÓN DOCENTE

ASIGNATURAS IMPARTIDAS

DIRECCIÓN ALUMNOS

PREMIOS

Resumen

Tras finalizar sus estudios como ingeniero de telecomunicaciones, trabajó durante dos años en empresas privadas del sector de las telecomunicaciones antes de incorporarse a la Universidad de Sevilla, donde actualmente es Catedrático en el Departamento de Ingeniería Telemática. Cuenta con 25 años de experiencia docente en el Departamento de Ingeniería Telemática de la Universidad de Sevilla, con más de 5.000 horas de conferencias impartidas y 53 trabajos de fin de grado o máster tutelados en temas como diseño de aplicaciones y servicios, redes y ciberseguridad. Destaca su participación como investigador en un proyecto ERASMUS+ (ASSETS+) centrado en perfiles de ciberseguridad en la industria europea de defensa (más de 3 millones de euros), así como la creación y dirección del Máster en Seguridad de la Información y las Comunicaciones de la Universidad de Sevilla (actualmente en su 12ª edición). Su actividad investigadora está avalada por tres sexenios reconocidos de investigación (el último en 2020) y un sexenio de transferencia. Ha publicado 33 artículos en revistas indexadas sobre redes y ciberseguridad. Ha participado en nueve proyectos con financiación pública competitiva a nivel regional, nacional e internacional, actuando como Investigador Principal (IP) en un proyecto nacional y otro regional. Además, ha llevado a cabo 16 contratos de investigación y desarrollo (bajo los artículos 68/83) por un total de 800.000 , actuando como Investigador Principal en 11 de ellos con empresas como Persan, Noxium, Isotrol y WhiteBearSolutions. Ha dirigido cuatro tesis doctorales, ha realizado tres estancias de investigación en centros internacionales y ha realizado 23 presentaciones en congresos.

Desde la perspectiva de la gestión universitaria, ha ejercido como Subdirector de Planificación en la Escuela Técnica Superior de Ingeniería de la Universidad de Sevilla y actualmente es el Director del Departamento de Ingeniería Telemática, así como el director de la cátedra corporativa: «BeOneSec Ciberseguridad y Ciberinteligencia».

En cuanto a la temática del proyecto, cuenta con varias contribuciones en el campo de la detección de anomalías y la ciberseguridad. En concreto, podemos destacar tres proyectos de investigación y desarrollo con financiación competitiva y con tres contratos de transferencia en los que actuó como IP.

Desde la perspectiva de los artículos de revistas, destacan varios relacionados con la detección de ciberataques a través del análisis de anomalías de comportamiento en series temporales en diversos entornos IoT (Smart Lighting, Smart Home), la generación automática de firmas basadas en la detección de solicitudes HTTP anómalas, los sistemas de correlación de alertas multinivel para la detección de ataques, y el desarrollo de arquitecturas para el control de acceso y auditoría en entornos sanitarios utilizando blockchain. Además de proyectos, contratos y publicaciones científicas, ha licenciado software y ha publicado varios conjuntos de datos abiertamente para la comunidad científica.

Publicaciones

62 registros « ‹ 1 de 4 › »

2025

Muñoz-Calle, J.; Díaz-Verdejo, J.; Alonso, R. Estepa; Alonso, A. Estepa

Análisis comparativo de las capacidades de SIDS Proceedings Article

En: Actas de las X Jornadas Nacionales de Investigación en Ciberseguridad, pp. 169-176, 2025, ISBN: 78-84-10169-61-6.

Resumen | BibTeX

Muñoz-Calle, Javier; Fernández-Jiménez, Francisco José; Estepa, Rafael; Mayor, Vicente; Garcia-Campos, José M.

Experiencias de formación en ciberseguridad usando portales cautivos Proceedings Article

En: Actas de las X Jornadas Nacionales de Investigación en Ciberseguridad, pp. 477-484, 2025, ISBN: 78-84-10169-61-6.

Resumen | BibTeX

Díaz-Verdejo, Jesús E.; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Muñoz-Calle, F. J.; Madinabeitia, German

Building a large, realistic and labeled HTTP URI dataset for anomaly-based intrusion detection systems: Biblio-US17 Artículo de revista

En: Cybersecurity, vol. 8, no 35, 2025, ISSN: 2523-3246.

Resumen | Enlaces | BibTeX

2024

Díaz-Verdejo, Jesús; Alonso, Rafael Estepa; Alonso, Antonio Estepa; Muñoz-Calle, Javier

Insights into anomaly-based intrusion detection systems usability. A case study using real http requests Proceedings Article

En: Proc. European Interdisciplinary Cybersecurity Conference (EICC 2024), pp. 82–89, 2024, ISBN: 9798400716515.

Resumen | Enlaces | BibTeX

Lara, Agustín; Estepa, Antonio; Estepa, Rafael; Díaz-Verdejo, Jesús E.; Mayor, Vicente

Anomaly-based Intrusion Detection System for smart lighting Artículo de revista

En: Internet of Things, vol. 28, pp. 101427, 2024, ISSN: 2542-6605.

Resumen | Enlaces | BibTeX

@article{LARA2024101427,

title = {Anomaly-based Intrusion Detection System for smart lighting},

author = {Agustín Lara and Antonio Estepa and Rafael Estepa and Jesús E. Díaz-Verdejo and Vicente Mayor},

url = {https://www.sciencedirect.com/science/article/pii/S2542660524003688},

doi = {https://doi.org/10.1016/j.iot.2024.101427},

issn = {2542-6605},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

journal = {Internet of Things},

volume = {28},

pages = {101427},

abstract = {Smart Lighting Systems (SLS) are essential to smart cities, offering enhanced energy efficiency and public safety. However, they are susceptible to security threats, potentially leading to safety risks and service disruptions, making the protection of this infrastructure critical. This paper presents an anomaly-based Intrusion Detection System (IDS) designed for a real-world operational SLS. As commercial deployments vary in components, protocols, and functionalities, IDSs must be tailored to the specific characteristics of each deployment to perform effectively. Our anomaly-based IDS has been defined based on the properties of the available data and the types of attacks we aim to detect, offering both explainability and low complexity. The proposed system identifies anomalies in seven features of network traffic and in the telemetry data received at the central control (O&M) server. For the latter, we designed three customized detectors to identify abnormal data points, persistent deviations in street lamp power consumption, and abnormal power value based on the time of day. Validation with real-world data and simulated attacks demonstrates the effectiveness of our approach. Network attacks (e.g., DoS, scanning) were detected by at least one of the seven flow-related anomaly detectors, while simulated data poisoning attacks and operational technology (OT) issues were detected with nearly 90% accuracy. The datasets used in this work are publicly available and may serve as reference for the design of future IDSs. While our detectors were designed specifically for our dataset, the variables examined and vulnerabilities addressed are common in most commercial SLSs.},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Muñoz-Calle, Javier; Alonso, Rafael Estepa; Alonso, Antonio Estepa; Díaz-Verdejo, Jesús E.; Fernández, Elvira Castillo; Madinabeitia, Germán

A Flexible Multilevel System for Mitre ATT&CK Model-driven Alerts and Events Correlation in Cyberattacks Detection Artículo de revista

En: JUCS – Journal of Universal Computer Science, vol. 30, no 9, pp. 1184-1204, 2024, ISSN: 0948-695X.

Resumen | Enlaces | BibTeX

@article{10.3897/jucs.131686,

title = {A Flexible Multilevel System for Mitre ATT&CK Model-driven Alerts and Events Correlation in Cyberattacks Detection},

author = {Javier Muñoz-Calle and Rafael Estepa Alonso and Antonio Estepa Alonso and Jesús E. Díaz-Verdejo and Elvira Castillo Fernández and Germán Madinabeitia},

url = {https://doi.org/10.3897/jucs.131686},

doi = {10.3897/jucs.131686},

issn = {0948-695X},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

journal = {JUCS - Journal of Universal Computer Science},

volume = {30},

number = {9},

pages = {1184-1204},

publisher = {Journal of Universal Computer Science},

abstract = {Network monitoring systems can struggle to detect the full sequence of actions in a multi-step cyber attack, frequently resulting in multiple alerts (some of which are false positive (FP)) and missed actions. The challenge of easing the job of security analysts by triggering a single and accurate alert per attack requires developing and evaluating advanced event correlation techniques and models that have the potential to devise relationships between the different observed events/alerts.This work introduces a flexible architecture designed for hierarchical and iterative correlation of alerts and events. Its key feature is the sequential correlation of operations targeting specific attack episodes or aspects. This architecture utilizes IDS alerts or similar cybersecurity sensors, storing events and alerts in a non-relational database. Modules designed for knowledge creation then query these stored items to generate meta-alerts, also stored in the database. This approach facilitates creating a more refined knowledge that can be built on top of existing one by creating specialized modules. For illustrative purposes, we make a case study where we use this architectural approach to explore the feasibility of monitoring the progress of attacks of increased complexity by increasing the levels of the hyperalerts defined, including a case of a multi-step attack that adheres to the ATT&CK model. Although the mapping between the observations and the model components (i.e., techniques and tactics) is challenging, we could fully monitor the progress of two attacks and up to 5 out of 6 steps of the most complex attack by building up to three specialized modules. Despite some limitations due to the sensors and attack scenarios tested, the results indicate the architecture’s potential for enhancing the detection of complex cyber attacks, offering a promising direction for future cybersecurity research.},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Díaz-Verdejo, Jesús E.; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Muñoz-Calle, Javier; Madinabeitia, Germán

Biblio-US17: A labeled real URL dataset for anomaly-based intrusion detection systems development Proceedings Article

En: European Interdisciplinary Cybersecurity Conference (EICC 2024), pp. 217–218, 2024, ISBN: 9798400716515.

Resumen | Enlaces | BibTeX

Díaz-Verdejo, J.; Alonso, R. Estepa; Alonso, A. Estepa; Muñoz-Calle, F. J.

Impacto de la evolución temporal de datasets reales en el rendimiento de un IDS basados en anomalías: estudio experimental sobre HTTP Proceedings Article

En: XI Jornadas Nacionales de Investigación en Ciberseguridad, pp. 302–309, 2024.

Resumen | BibTeX

Díaz-Verdejo, J.; Muñoz-Calle, J.; Alonso, R. Estepa; Alonso, A. Estepa

InspectorLog : A New Tool for Offline Attack Detection over Web Log Proceedings Article

En: Proceedings of the 21st International Conference on Security and Cryptography (SECRYPT 2024), pp. 692–697, 2024, ISBN: 9789897587092.

Resumen | Enlaces | BibTeX

2023

Walabonso Lara, Agustín; Mayor, Vicente; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Díaz-Verdejo, Jesús E.

Smart home anomaly-based IDS: Architecture proposal and case study Artículo de revista

En: Internet of Things, vol. 22, pp. 100773, 2023, ISSN: 2542-6605.

Resumen | Enlaces | BibTeX

@article{Lara2023,

title = {Smart home anomaly-based IDS: Architecture proposal and case study},

author = { {Walabonso Lara}, Agustín and Vicente Mayor and {Estepa Alonso}, Rafael and {Estepa Alonso} , Antonio and Jesús E. {Díaz-Verdejo}},

url = {https://linkinghub.elsevier.com/retrieve/pii/S2542660523000963},

doi = {10.1016/J.IOT.2023.100773},

issn = {2542-6605},

year  = {2023},

date = {2023-07-01},

urldate = {2023-07-01},

journal = {Internet of Things},

volume = {22},

pages = {100773},

publisher = {Elsevier},

abstract = {The complexity and diversity of the technologies involved in the Internet of Things (IoT) challenge the generalization of security solutions based on anomaly detection, which should fit the particularities of each context and deployment and allow for performance comparison. In this work, we provide a flexible architecture based on building blocks suited for detecting anomalies in the network traffic and the application-layer data exchanged by IoT devices in the context of Smart Home. Following this architecture, we have defined a particular Intrusion Detector System (IDS) for a case study that uses a public dataset with the electrical consumption of 21 home devices over one year. In particular, we have defined ten Indicators of Compromise (IoC) to detect network attacks and two anomaly detectors to detect false command or data injection attacks. We have also included a signature-based IDS (Snort) to extend the detection range to known attacks. We have reproduced eight network attacks (e.g., DoS, scanning) and four False Command or Data Injection attacks to test our IDS performance. The results show that all attacks were successfully detected by our IoCs and anomaly detectors with a false positive rate lower than 0.3%. Signature detection was able to detect only 4 out of 12 attacks. Our architecture and the IDS developed can be a reference for developing future IDS suited to different contexts or use cases. Given that we use a public dataset, our contribution can also serve as a baseline for comparison with new techniques that improve detection performance.},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Castillo-Fernández, Elvira; Muñoz, Escolástico; Diaz-Verdejo, J.; Estepa Alonso, R; Estepa Alonso, A.

Diseño y despliegue de un laboratorio para formación e investigación en ciberseguridad Proceedings Article

En: Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23) , pp. 445-452, 2023, ISBN: 978-84-8158-970-2.

Resumen | BibTeX

@inproceedings{jnic23-cslab,

title = {Diseño y despliegue de un laboratorio para formación e investigación  en ciberseguridad},

author = {Elvira Castillo-Fernández and Escolástico Muñoz and J. Diaz-Verdejo and {Estepa Alonso}, R and {Estepa Alonso}, A.},

isbn = {978-84-8158-970-2},

year  = {2023},

date = {2023-06-21},

urldate = {2023-06-21},

booktitle = {Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23) },

journal = {Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23) - En revisión},

pages = {445-452},

abstract = {La realización de simulacros y/o experimentos para actividades de formación e investigación en ciberseguridad plantea serias dificultades prácticas por la ejecución de ataques a los sistemas que conforman la propia infraestructura. Se presentan múltiples requisitos, en ocasiones, incompatibles entre sí, como la necesidad de preservar la seguridad de los sistemas externos y de monitorización sin perder la conectividad hacia Internet, la capacidad de monitorización y adquisición de trazas de una forma segura, la flexibilidad que permita múltiples escenarios lo más realistas posible y una fácil reusabilidad del laboratorio. En el presente trabajo se propone e implementa una arquitectura para un laboratorio de ciberseguridad que presenta un equilibrio entre flexibilidad, funcionalidad, usabilidad y seguridad de las operaciones. La propuesta se basa en la división en una red de supervisión y una red de laboratorio sobre la que, mediante virtualización de bajo nivel, se pueden desarrollar los diferentes experimentos y ataques con riesgo mínimo de impacto sobre la red de supervisión. Para ello se establecen diferentes barreras, tanto físicas como lógicas, que permiten filtrar el tráfico entre ambas y la conectividad hacia Internet. Para mostrar la operación y capacidades de la arquitectura propuesta se presenta un caso de uso con un ataque multietapa que involucra diversos sistemas operativos y equipos.},

keywords = {},

pubstate = {published},

tppubtype = {inproceedings}

}

Cerrar

Castillo-Fernández, E.; Diaz-Verdejo, J.; Estepa Alonso, R.; Estepa Alonso, A.

Riesgos en la Smart Home: estudio experimental Proceedings Article

En: Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23), pp. 375-382, 2023, ISBN: 978-84-8158-970-2.

Resumen | BibTeX

Lara, Agustín W.; Ternero, J. A.; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Ruiz-Robles, Fernando; Díaz-Verdejo, Jesús E.

HTTP Cyberattacks Detection through Automatic Signature Generation in multi-site IoT Deployments Proceedings Article

En: Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023) , pp. 6, 2023.

Resumen | Enlaces | BibTeX

Fernández, Elvira Castillo; Díaz-Verdejo, Jesús E.; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Muñoz-Calle, Javier; Madinabeitia, Germán

Multistep Cyberattacks Detection using a Flexible Multilevel System for Alerts and Events Correlation Proceedings Article

En: Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023), pp. 6, 2023.

Resumen | Enlaces | BibTeX

Mayor, V.; Estepa, R.; Estepa, A.

CO-CAC: A new approach to Call Admission Control for VoIP in 5G/WiFi UAV-based relay networks Artículo de revista

En: Computer Communications, vol. 197, pp. 284-293, 2023, ISSN: 01403664, (cited By 0).

Resumen | Enlaces | BibTeX

@article{Mayor2023284,

title = {CO-CAC: A new approach to Call Admission Control for VoIP in 5G/WiFi UAV-based relay networks},

author = {V. Mayor and R. Estepa and A. Estepa},

url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-85145556975&doi=10.1016%2fj.comcom.2022.11.006&partnerID=40&md5=8185edfcb26bb2d34ddc5fbccf38f0cb},

doi = {10.1016/j.comcom.2022.11.006},

issn = {01403664},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

journal = {Computer Communications},

volume = {197},

pages = {284-293},

publisher = {Elsevier B.V.},

abstract = {Voice over IP (VoIP) requires a Call Admission Control (CAC) mechanism in WiFi networks to preserve VoIP packet flows from excessive network delay or packet loss. Ideally, this mechanism should be integrated with the operational scenario, guarantee the quality of service of active calls, and maximize the number of concurrent calls. This paper presents a novel CAC scheme for VoIP in the context of a WiFi access network deployed with Unmanned Aerial Vehicles (UAVs) that relay to a backhaul 5G network. Our system, named Codec-Optimization CAC (CO-CAC), is integrated into each drone. It intercepts VoIP call control messages and decides on the admission of every new call based on a prediction of the WiFi network's congestion level and the minimum quality of service desired for VoIP calls. To maximize the number of concurrent calls, CO-CAC proactively optimizes the codec settings of active calls by exchanging signaling with VoIP users. We have simulated CO-CAC in a 50m × 50m scenario with four UAVs providing VoIP service to up to 200 ground users with IEEE 802.11ac WiFi terminals. Our results show that without CAC, the number of calls that did not meet a minimum quality level during the simulation was 10% and 90%, for 50 and 200 users, respectively. However, when CO-CAC was in place, all calls achieved minimum quality for up to 90 users without rejecting any call. For 200 users, only 25% of call attempts were rejected by the admission control scheme. These results were narrowly worse when the ground users moved randomly in the scenario. © 2022 Elsevier B.V.},

note = {cited By 0},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Castillo-Fernández, Elvira; Díaz-Verdejo, Jesús Esteban; Alonso, Rafael María Estepa; Alonso, Antonio Estepa; Muñoz-Calle, Fco Javier

Uso practico del modelo ATT&CK para la detección de ciberataques Proceedings Article

En: Actas de las XVI Jornadas de Ingeniería Telemática – JITEL 2023, pp. 1–4, 2023, ISBN: 9783131450715.

Resumen | BibTeX

Román-Martínez, Isabel; Calvillo-Arbizu, Jorge; Mayor-Gallego, Vicente J.; Madinabeitia-Luque, Germán; Estepa-Alonso, Antonio J.; Estepa-Alonso, Rafael M.

Blockchain-Based Service-Oriented Architecture for Consent Management, Access Control, and Auditing Artículo de revista

En: IEEE Access, vol. 11, pp. 12727-12741, 2023, ISSN: 2169-3536.

Resumen | Enlaces | BibTeX

@article{10036374,

title = {Blockchain-Based Service-Oriented Architecture for Consent Management, Access Control, and Auditing},

author = {Isabel Román-Martínez and Jorge Calvillo-Arbizu and Vicente J. Mayor-Gallego and Germán Madinabeitia-Luque and Antonio J. Estepa-Alonso and Rafael M. Estepa-Alonso},

doi = {10.1109/ACCESS.2023.3242605},

issn = {2169-3536},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

journal = {IEEE Access},

volume = {11},

pages = {12727-12741},

abstract = {Continuity of care requires the exchange of health information among organizations and care teams. The EU General Data Protection Regulation (GDPR) establishes that subject of care should give explicit consent to the treatment of her personal data, and organizations must obey the individual’s will. Nevertheless, few solutions focus on guaranteeing the proper execution of consents. We propose a service-oriented architecture, backed by blockchain technology, that enables: (1) tamper-proof and immutable storage of subject of care consents; (2) a fine-grained access control for protecting health data according to consents; and (3) auditing tasks for supervisory authorities (or subjects of care themselves) to assess that healthcare organizations comply with GDPR and granted consents. Standards for health information exchange and access control are adopted to guarantee interoperability. Access control events and the subject of care consents are maintained on a blockchain, providing a trusted collaboration between organizations, supervisory authorities, and individuals. A prototype of the architecture has been implemented as a proof of concept to evaluate the performance of critical components. The application of subject of care consent to control the treatment of personal health data in federated and distributed environments is a pressing concern. The experimental results show that blockchain can effectively support sharing consent and audit events among healthcare organizations, supervisory authorities, and individuals.},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Díaz-Verdejo, Jesús E.; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Madinabeitia, German

A critical review of the techniques used for anomaly detection of HTTP-based attacks: taxonomy, limitations and open challenges Artículo de revista

En: Computers and Security, vol. 124, pp. 102997, 2023, ISSN: 01674048.

Resumen | Enlaces | BibTeX

@article{Diaz-Verdejo2023,

title = {A critical review of the techniques used for anomaly detection of HTTP-based attacks: taxonomy, limitations and open challenges},

author = {Jesús E. Díaz-Verdejo and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and German Madinabeitia},

doi = {10.1016/j.cose.2022.102997},

issn = {01674048},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

journal = {Computers and Security},

volume = {124},

pages = {102997},

abstract = {Intrusion Detection Systems (IDSs) and Web Application Firewalls (WAFs) offer a crucial layer of defense that allows organizations to detect cyberattacks on their web servers. Academic research overwhelmingly suggests using anomaly detection techniques to improve the performance of these defensive systems. However, analyzing and comparing the wide range of solutions in the scientific literature is challenging since they are typically presented as isolated (unrelated) contributions, and their results cannot be generalized. We believe that this impairs the industry's adoption of academic results and the advancement of research in this field. This paper aims to shed light on the literature on anomaly-based detection of attacks that use HTTP request messages. We define a novel framework for anomaly detection based on six data processing steps grouped into two sequential phases: preprocessing and classification. Based on this framework, we provide a taxonomy and critical review of the techniques surveyed, emphasizing their limitations and applicability. Future approaches should take advantage of the syntax and semantics of the Uniform Resource Locator (URL), be scalable, and address their obsolescence. These aspects are frequently overlooked in the literature and pose a significant challenge in the current era of web services. For better comparability, authors should use adequate public datasets, follow a thorough methodology, and use appropriate metrics that fully show the pros and cons of the approach.},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Muñoz-calle, Javier; Fructuoso, Javier; Estepa, Rafael; Estepa, Antonio

Evaluación experimental de las capacidades de detección de ciberataques basados en técnicas del modelo ATT & CK mediante Snort Proceedings Article

En: Actas de las XVI Jornadas de Ingeniería Telemática – JITEL 2023, pp. 5–8, 2023.

Resumen | BibTeX

2022

Alonso, Antonio Estepa; Alonso, Rafael Estepa; Wideberg, Johan; Díaz-Verdejo, Jesús; Marquez, Adolfo Crespo

Smart Detection of Cyberattacks in IoT servers: Application to smart lighting and other smart city applications Proceedings Article

En: Leva, Maria Chiara; Petelli, Edoardo; Podofillini, Luca; Wilson, Simon (Ed.): European Conference on Safety and Reliability (ESREL 2022), pp. 3-4, 2022.

BibTeX

62 registros « ‹ 1 de 4 › »

NOTA: La paginación afecta a todos los apartados. Vuelva a la página 1 para ver los elementos de otras categorías.

Proyectos de investigación (ciberseguridad)

A-TIC-224-UGR20 – Modelado de Ataques y Detección de Incidentes de Ciberseguridad (MADINCI)

Entidad financiadora: Universidad de Granada – Junta de Andalucía – Proyectos I+D+i del Programa Operativo FEDER 2020

Entidad/es participantes: Univ. Granada y Univ. Sevilla – N. invest.: 6

Periodo: 01/01/2022 a 30/06/2023

Enlaces | BibTeX

PID2020-115199RB-I00 – Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)

Entidad financiadora: Ministerio de Ciencia e Innovación – MICIN/AEI/10.13039/50110 0 011033

Entidad/es participantes: Universidad de Granada / Universidad de Sevilla – N. invest.: 8

Periodo: 01/09/2021 a 31/08/2024

Resumen | Enlaces | BibTeX

@online{coincyde,

title = {Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)},

author = { Jesús E. {Díaz Verdejo} and Juan Carlos {Cubero Talavera} and Francisco {Cortijo Bon} and Antonio {Estepa Alonso} and Rafael {Estepa Alonso} and Germán {Madinabeitia Luque} and Olga {Pons Capote} and Amparo {Vila Miranda}



},

url = {/neus-cslab/proyectos-idi/coincyde},

year  = {2021},

date = {2021-09-01},

urldate = {2021-09-01},

booktitle = {Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)},

issuetitle = {MICIN/AEI/10.13039/50110 0 011033},

number = {PID2020-115199RB-I00 },

pages = {8},

institution = {Universidad de Granada / Universidad de Sevilla},

organization = {Ministerio de Ciencia e Innovación },

series = {01/09/2021 a 31/08/2024},

abstract = {Los sistemas de monitorización de la seguridad en red (NSM) se encuentran hoy en día entre los componentes más relevantes para la detección y respuesta a los ciberataques. Sin embargo, sus capacidades de detección se limitan en su mayoría a ataques conocidos y tienden a generar una gran cantidad de alertas, muchas de las cuales son falsos positivos. Así, los operadores de ciberseguridad (CSO) deben supervisar una gran cantidad de alertas para determinar la ocurrencia real de incidentes, mientras que algunos de ellos permanecen sin ser detectados. Este proyecto tiene como objetivo desarrollar nuevas técnicas para mejorar las capacidades de detección mediante la adición de nuevos métodos basados en anomalías combinados con la correlación y priorización de alertas incorporando información contextual de la red. Esto mejorará la calidad de las alertas y reducirá la tasa de falsos positivos.



En esta propuesta se plantea el desarrollo de un NSM específico para plantas industriales con elementos del Internet of Things (IoT) y, más concretamente en uno de sus usos verticales: las SmartCity. Las instalaciones que pueden beneficiarse de la solución objeto de este proyecto son aquellas que permiten el control y monitorización de parques de dispositivos inteligentes (IoT, SmartCity), desde una aplicación o servicio web que se utiliza como interfaz de usuario para la gestión de servicios inteligentes. La elección del escenario tiene

una triple motivación. Primero, por la gran relevancia y expansión de este tipo de redes en la actualidad. Segundo, el escenario plantea una serie dificultades y requisitos específicos que no han sido convenientemente abordados en los SIEM actuales. Y tercero, la selección del escenario permite acotar el contexto, lo que posibilita un abordaje adecuado de la incorporación de información contextual.



El sistema a desarrollar incorporará múltiples detectores, incluyendo los usados habitualmente, considerando nuevos detectores específicos para el escenario que están orientados a las diversas amenazas existentes. Así, se desarrollarán detectores basados en anomalías a nivel del tráfico observado (flujos), a nivel de aplicación (sensorización) y a nivel de los servicios web usados para la operación remota. Adicionalmente, se hará uso de técnicas de inteligencia artificial para la correlación y priorización de las alertas incorporando información relativa al estado e historia previa de la red. Esto permitirá identificar falsos positivos, reducir el número de alertas finalmente enviadas al CSO y mejorar la información en las mismas.



Un elemento relevante y novedoso es el uso de una matriz de tráfico generada a partir de flujos en diferentes escalas de tiempo. Esta matriz contiene información sobre las conexiones de red que pueden explotarse para múltiples usos. Así, se pueden establecer algunos indicadores de compromiso para identificar ataques. También se puede utilizar para aplicar varios tipos de análisis de minería de datos, como la búsqueda de patrones comunes entre flujos, realizar perfiles de tráfico de servicios, evaluar la importancia y encontrar relaciones entre activos. La información extraída de esta matriz se utilizará como información contextual en la correlación y priorización de alertas.



Finalmente, la arquitectura propuesta incluye realimentación a partir de las acciones del CSO, lo que permite evaluar la calidad de detección y priorización y ajustar el rendimiento del sistema.},

note = {47795 €},

keywords = {},

pubstate = {published},

tppubtype = {online}

}

Cerrar

Los sistemas de monitorización de la seguridad en red (NSM) se encuentran hoy en día entre los componentes más relevantes para la detección y respuesta a los ciberataques. Sin embargo, sus capacidades de detección se limitan en su mayoría a ataques conocidos y tienden a generar una gran cantidad de alertas, muchas de las cuales son falsos positivos. Así, los operadores de ciberseguridad (CSO) deben supervisar una gran cantidad de alertas para determinar la ocurrencia real de incidentes, mientras que algunos de ellos permanecen sin ser detectados. Este proyecto tiene como objetivo desarrollar nuevas técnicas para mejorar las capacidades de detección mediante la adición de nuevos métodos basados en anomalías combinados con la correlación y priorización de alertas incorporando información contextual de la red. Esto mejorará la calidad de las alertas y reducirá la tasa de falsos positivos.

En esta propuesta se plantea el desarrollo de un NSM específico para plantas industriales con elementos del Internet of Things (IoT) y, más concretamente en uno de sus usos verticales: las SmartCity. Las instalaciones que pueden beneficiarse de la solución objeto de este proyecto son aquellas que permiten el control y monitorización de parques de dispositivos inteligentes (IoT, SmartCity), desde una aplicación o servicio web que se utiliza como interfaz de usuario para la gestión de servicios inteligentes. La elección del escenario tiene
una triple motivación. Primero, por la gran relevancia y expansión de este tipo de redes en la actualidad. Segundo, el escenario plantea una serie dificultades y requisitos específicos que no han sido convenientemente abordados en los SIEM actuales. Y tercero, la selección del escenario permite acotar el contexto, lo que posibilita un abordaje adecuado de la incorporación de información contextual.

El sistema a desarrollar incorporará múltiples detectores, incluyendo los usados habitualmente, considerando nuevos detectores específicos para el escenario que están orientados a las diversas amenazas existentes. Así, se desarrollarán detectores basados en anomalías a nivel del tráfico observado (flujos), a nivel de aplicación (sensorización) y a nivel de los servicios web usados para la operación remota. Adicionalmente, se hará uso de técnicas de inteligencia artificial para la correlación y priorización de las alertas incorporando información relativa al estado e historia previa de la red. Esto permitirá identificar falsos positivos, reducir el número de alertas finalmente enviadas al CSO y mejorar la información en las mismas.

Un elemento relevante y novedoso es el uso de una matriz de tráfico generada a partir de flujos en diferentes escalas de tiempo. Esta matriz contiene información sobre las conexiones de red que pueden explotarse para múltiples usos. Así, se pueden establecer algunos indicadores de compromiso para identificar ataques. También se puede utilizar para aplicar varios tipos de análisis de minería de datos, como la búsqueda de patrones comunes entre flujos, realizar perfiles de tráfico de servicios, evaluar la importancia y encontrar relaciones entre activos. La información extraída de esta matriz se utilizará como información contextual en la correlación y priorización de alertas.

Finalmente, la arquitectura propuesta incluye realimentación a partir de las acciones del CSO, lo que permite evaluar la calidad de detección y priorización y ajustar el rendimiento del sistema.

Cerrar

PYC20-RE-087-USE – Sistema para la detección temprana de ciberataques en industria conectada e IoT mediante detección de anomalías multiplanta

Entidad financiadora: Universidad de Sevilla – Junta de Andalucía – Proyectos singulares de actuaciones de transferencia en los CEI en las áreas RIS3 (CEI20)

Entidad/es participantes: Universidad de Sevilla, Wellness TechGroup como agente agregado – N. invest.: 5

Periodo: 01/01/2021 a 31/12/2022

Enlaces | BibTeX

2020/00000172 – Detección Inteligente de Incidentes de Ciberseguridad en redes IoT en base a n-gramáticas adaptativas

Entidad financiadora: US – Junta de Andalucía – Proyectos singulares de actuaciones de transferencia en los CEI en las áreas RIS3

Entidad/es participantes: Universidad de Sevilla, Wellness TechGroup como agente agregado

Periodo: 01/03/2020 a 30/09/2021

BibTeX

NOTA: La paginación afecta a todos los apartados. Vuelva a la página 1 para ver los elementos de otras categorías.

Acciones de transferencia (ciberseguridad)

Proyectos transf.

PI-2437/22/2023 – OREOS ("Solución integral de Gestión de Identidades de Nueva Generación")

Entidad financiadora: WHITEBEARSOLUTIONS S.L

Entidad/es participantes: AICIA – Universidad de Sevilla – N. invest.: 5

Periodo: 02/06/2023 a 29/11/2025

Enlaces | BibTeX

PI-2132/22/2021 – Detección de ciberamenazas en los sistemas de monitorización y control de instalaciones de Generación Renovables (RENSHIELD)

Entidad financiadora: Isotrol / Ministerio Ciencia y Tecnología

Entidad/es participantes: AICIA – N. invest.: 6

Periodo: 01/06/2021 a 31/12/2023

Enlaces | BibTeX

PI-2040/22/2020 – Diseño de un Sistema de Bastionado Híbrido en Aplicaciones Web frente a las Amenazas OWASP

Entidad financiadora: Universidad de Sevilla

Entidad/es participantes: Universidad de Sevilla – N. invest.: 4

Periodo: 15/10/2020 a 15/07/2021

BibTeX

PI-1921/22/2019 – Protección de Servidores de Investigación Mediante Detección de Estadíos Iniciales de Ataques Multi-etapa mediante Indicadores de Compromiso (IoC)

Entidad financiadora: Univ. de Sevilla

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 15/06/2019 a 15/06/2020

BibTeX

PI-1872/22/2018 – Análisis de Seguridad mediante Monitorización de Sesiones de Usuario en la Red de la Biblioteca de la Universidad de Sevilla

Entidad financiadora: Univ. de Sevilla

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 01/12/2018 a 01/12/2019

BibTeX

PI-1814/26/2018 – Red Eléctrica cibersegura 1

Entidad financiadora: Isotrol / Ministerio Ciencia y Tecnología (Programa CIEN)

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 01/01/2018 a 31/12/2021

BibTeX

PI-1786/22/2018 – Sistema de ciberportección para servidores web de la Universidad de Sevilla (CiberwebUS)

Entidad financiadora: Univ. de Sevilla

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 01/03/2018 a 31/08/2018

BibTeX

PI-1736/22/2017 – Detección temprana de ataques de ciberseguridad para servidores web de la biblioteca de la US

Entidad financiadora: Univ. de Sevilla

Entidad/es participantes: AICIA – N. invest.: 5

Periodo: 01/10/2017 a 30/09/2018

BibTeX

CTA 16/909 – Sistema integral para vigilancia y auditoría de ciberseguridad corporativa

Entidad financiadora: WELLNESS TELECOM, S.L. / Junta de Andalucía (Corporación Tecnológica de Andalucía)

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 01/02/2017 a 15/01/2019

BibTeX

NOTA: La paginación afecta a todos los apartados. Vuelva a la página 1 para ver los elementos de otras categorías.

Patentes y propiedad intelectual

Inventores (p.o. de firma): Rafael Estepa Alonso, Antonio Estepa Alonso, Jesús Díaz Verdejo, Germán Madinabeitia Luque, Agustín Lara Romero
Título: Demostrador de anomalías en aplicaciones de iluminación inteligente
N. de solicitud: SE-59-23
Fecha de prioridad: 2023
Entidad titular: Universidad de Sevilla – Universidad de Granada

Otros

Tesis doctorales dirigidas

Juan

Innovación docente

Ha participado en numerosas acciones de innovación docente,

Docencia previa

Ha impartido docencia en los diferentes títulos relacionados con Ing. de Telecomunicación desde el año XX. Las asignaturas impartidas son:

Grados: Titulaciones extintas
- Elec

Posgrados: Titulaciones extintas
- Diseño de

Posgrados: Titulaciones en vigor
- Planificación y explotación de redes y servicios – Máster en Ing. Telecomunicación

Gestión universitaria

Ha sido

Premios

Best paper: Diseño y despliegue de un laboratorio para formación e investigación en ciberseguridad , VIII Jornadas Nacionales de Investigación en Ciberseguridad, 2023
Best paper: Aplicacion de control de acceso y técnicas de Blockchain para el control de datos genéticos, VI Jornadas Nacionales de Investigación en Ciberseguridad

dirección

Contacto

RAFAEL M. ESTEPA ALONSO

PUESTOS

fORMACIÓN académica

Docencia reglada

líneas de investigación

ORCID

Resumen

Publicaciones

2025

2024

2023

2022

Proyectos de investigación (ciberseguridad)

Acciones de transferencia (ciberseguridad)

Proyectos transf.

Patentes y propiedad intelectual

Otros

Tesis doctorales dirigidas

Innovación docente

Docencia previa

Grados: Titulaciones extintas

Posgrados: Titulaciones extintas

Posgrados: Titulaciones en vigor

Gestión universitaria

Premios