Proyectos I+D+i – Laboratorio ciberseguridad del grupo de investigación TIC-154

PROYECTOS
INVEST.
destacados

PROYECTOS
TRANSFER.
destacados

Proyectos de investigación

A-TIC-224-UGR20 – Modelado de Ataques y Detección de Incidentes de Ciberseguridad (MADINCI)

Entidad financiadora: Universidad de Granada – Junta de Andalucía – Proyectos I+D+i del Programa Operativo FEDER 2020

Entidad/es participantes: Univ. Granada y Univ. Sevilla – N. invest.: 6

Periodo: 01/01/2022 a 30/06/2023

PID2020-115199RB-I00 – Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)

Entidad financiadora: Ministerio de Ciencia e Innovación – MICIN/AEI/10.13039/50110 0 011033

Entidad/es participantes: Universidad de Granada / Universidad de Sevilla – N. invest.: 8

Periodo: 01/09/2021 a 31/08/2024

Resumen | Enlaces

@online{coincyde,

title = {Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)},

author = { Jesús E. Díaz Verdejo and Juan Carlos Cubero Talavera and Francisco Cortijo Bon and Antonio Estepa Alonso and Rafael Estepa Alonso and Germán Madinabeitia Luque and Olga Pons Capote and

 Amparo Vila Miranda



},

url = {/neus-cslab/proyectos-idi/coincyde},

year  = {2021},

date = {2021-09-01},

urldate = {2021-09-01},

booktitle = {Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)},

issuetitle = {MICIN/AEI/10.13039/50110 0 011033},

number = {PID2020-115199RB-I00 },

pages = {8},

institution = {Universidad de Granada / Universidad de Sevilla},

organization = {Ministerio de Ciencia e Innovación },

series = {01/09/2021 a 31/08/2024},

abstract = {Los sistemas de monitorización de la seguridad en red (NSM) se encuentran hoy en día entre los componentes más relevantes para la detección y respuesta a los ciberataques. Sin embargo, sus capacidades de detección se limitan en su mayoría a ataques conocidos y tienden a generar una gran cantidad de alertas, muchas de las cuales son falsos positivos. Así, los operadores de ciberseguridad (CSO) deben supervisar una gran cantidad de alertas para determinar la ocurrencia real de incidentes, mientras que algunos de ellos permanecen sin ser detectados. Este proyecto tiene como objetivo desarrollar nuevas técnicas para mejorar las capacidades de detección mediante la adición de nuevos métodos basados en anomalías combinados con la correlación y priorización de alertas incorporando información contextual de la red. Esto mejorará la calidad de las alertas y reducirá la tasa de falsos positivos.



En esta propuesta se plantea el desarrollo de un NSM específico para plantas industriales con elementos del Internet of Things (IoT) y, más concretamente en uno de sus usos verticales: las SmartCity. Las instalaciones que pueden beneficiarse de la solución objeto de este proyecto son aquellas que permiten el control y monitorización de parques de dispositivos inteligentes (IoT, SmartCity), desde una aplicación o servicio web que se utiliza como interfaz de usuario para la gestión de servicios inteligentes. La elección del escenario tiene

una triple motivación. Primero, por la gran relevancia y expansión de este tipo de redes en la actualidad. Segundo, el escenario plantea una serie dificultades y requisitos específicos que no han sido convenientemente abordados en los SIEM actuales. Y tercero, la selección del escenario permite acotar el contexto, lo que posibilita un abordaje adecuado de la incorporación de información contextual.



El sistema a desarrollar incorporará múltiples detectores, incluyendo los usados habitualmente, considerando nuevos detectores específicos para el escenario que están orientados a las diversas amenazas existentes. Así, se desarrollarán detectores basados en anomalías a nivel del tráfico observado (flujos), a nivel de aplicación (sensorización) y a nivel de los servicios web usados para la operación remota. Adicionalmente, se hará uso de técnicas de inteligencia artificial para la correlación y priorización de las alertas incorporando información relativa al estado e historia previa de la red. Esto permitirá identificar falsos positivos, reducir el número de alertas finalmente enviadas al CSO y mejorar la información en las mismas.



Un elemento relevante y novedoso es el uso de una matriz de tráfico generada a partir de flujos en diferentes escalas de tiempo. Esta matriz contiene información sobre las conexiones de red que pueden explotarse para múltiples usos. Así, se pueden establecer algunos indicadores de compromiso para identificar ataques. También se puede utilizar para aplicar varios tipos de análisis de minería de datos, como la búsqueda de patrones comunes entre flujos, realizar perfiles de tráfico de servicios, evaluar la importancia y encontrar relaciones entre activos. La información extraída de esta matriz se utilizará como información contextual en la correlación y priorización de alertas.



Finalmente, la arquitectura propuesta incluye realimentación a partir de las acciones del CSO, lo que permite evaluar la calidad de detección y priorización y ajustar el rendimiento del sistema.},

note = {47795 €},

keywords = {},

pubstate = {published},

tppubtype = {online}

}

Cerrar

Los sistemas de monitorización de la seguridad en red (NSM) se encuentran hoy en día entre los componentes más relevantes para la detección y respuesta a los ciberataques. Sin embargo, sus capacidades de detección se limitan en su mayoría a ataques conocidos y tienden a generar una gran cantidad de alertas, muchas de las cuales son falsos positivos. Así, los operadores de ciberseguridad (CSO) deben supervisar una gran cantidad de alertas para determinar la ocurrencia real de incidentes, mientras que algunos de ellos permanecen sin ser detectados. Este proyecto tiene como objetivo desarrollar nuevas técnicas para mejorar las capacidades de detección mediante la adición de nuevos métodos basados en anomalías combinados con la correlación y priorización de alertas incorporando información contextual de la red. Esto mejorará la calidad de las alertas y reducirá la tasa de falsos positivos.

En esta propuesta se plantea el desarrollo de un NSM específico para plantas industriales con elementos del Internet of Things (IoT) y, más concretamente en uno de sus usos verticales: las SmartCity. Las instalaciones que pueden beneficiarse de la solución objeto de este proyecto son aquellas que permiten el control y monitorización de parques de dispositivos inteligentes (IoT, SmartCity), desde una aplicación o servicio web que se utiliza como interfaz de usuario para la gestión de servicios inteligentes. La elección del escenario tiene
una triple motivación. Primero, por la gran relevancia y expansión de este tipo de redes en la actualidad. Segundo, el escenario plantea una serie dificultades y requisitos específicos que no han sido convenientemente abordados en los SIEM actuales. Y tercero, la selección del escenario permite acotar el contexto, lo que posibilita un abordaje adecuado de la incorporación de información contextual.

El sistema a desarrollar incorporará múltiples detectores, incluyendo los usados habitualmente, considerando nuevos detectores específicos para el escenario que están orientados a las diversas amenazas existentes. Así, se desarrollarán detectores basados en anomalías a nivel del tráfico observado (flujos), a nivel de aplicación (sensorización) y a nivel de los servicios web usados para la operación remota. Adicionalmente, se hará uso de técnicas de inteligencia artificial para la correlación y priorización de las alertas incorporando información relativa al estado e historia previa de la red. Esto permitirá identificar falsos positivos, reducir el número de alertas finalmente enviadas al CSO y mejorar la información en las mismas.

Un elemento relevante y novedoso es el uso de una matriz de tráfico generada a partir de flujos en diferentes escalas de tiempo. Esta matriz contiene información sobre las conexiones de red que pueden explotarse para múltiples usos. Así, se pueden establecer algunos indicadores de compromiso para identificar ataques. También se puede utilizar para aplicar varios tipos de análisis de minería de datos, como la búsqueda de patrones comunes entre flujos, realizar perfiles de tráfico de servicios, evaluar la importancia y encontrar relaciones entre activos. La información extraída de esta matriz se utilizará como información contextual en la correlación y priorización de alertas.

Finalmente, la arquitectura propuesta incluye realimentación a partir de las acciones del CSO, lo que permite evaluar la calidad de detección y priorización y ajustar el rendimiento del sistema.

Cerrar

PYC20-RE-087-USE – Sistema para la detección temprana de ciberataques en industria conectada e IoT mediante detección de anomalías multiplanta

Entidad financiadora: Universidad de Sevilla – Junta de Andalucía – Proyectos singulares de actuaciones de transferencia en los CEI en las áreas RIS3 (CEI20)

Entidad/es participantes: Universidad de Sevilla, Wellness TechGroup como agente agregado – N. invest.: 5

Periodo: 01/01/2021 a 31/12/2022

Enlaces

2020/00000172 – Detección Inteligente de Incidentes de Ciberseguridad en redes IoT en base a n-gramáticas adaptativas

Entidad financiadora: US – Junta de Andalucía – Proyectos singulares de actuaciones de transferencia en los CEI en las áreas RIS3

Entidad/es participantes: Universidad de Sevilla, Wellness TechGroup como agente agregado

Periodo: 01/03/2020 a 30/09/2021

TEC2011-22579 – SuMA: Supervivencia de Redes MANET ante Incidentes de Seguridad

Entidad financiadora: MICINN

Entidad/es participantes: Universidad de Granada – N. invest.: 7

Periodo: 01/01/2012 a 31/12/2014

TEC2008-06663-C03-02 – Seguridad del entorno en redes Peer-to-Peer

Entidad financiadora: MCI

Entidad/es participantes: Universidad de Granada y Universidad Politécnica de Cataluña – N. invest.: 5

Periodo: 01/01/2009 a 31/12/2011

TIC 91-1488-C06-05 – ALBAYZIN

Entidad financiadora: CICYT

Entidad/es participantes: Universidad de Granada, Univ. Politécnica de Valencia, Univ. Politécnica de Madrid, Univ. Autónoma de Barcelona y Univ. Politécnica de Cataluña – N. invest.: 3

Periodo: 06/08/1991 a 06/08/1993

TIC2002-11450-E – Ayuda del VI Programa Marco: MAVERICK: Multicast-voice over IP Secure Services in Active Networks

Entidad financiadora: MCYT

Entidad/es participantes: Univ. Granada – N. invest.: 5

Periodo: 12/09/2003 a 11/09/2004

AYA2002-0802 – BOOTES-IT: El Descubrimiento y Estudio de los Objetos más Lejanos del Universo con Instrumentación Robótica en el IR Cercano

Entidad financiadora: MCYT

Entidad/es participantes: Instituto de Astrofísica de Andalucía (IAA), Univ. de Granada, Obs. Astronómico de Brera (Italia), Obs. Astronómico de Ondřejov (R.Checa), Inst. de Astrofísica de Canarias, Univ. de Valencia, INTA-LAEFF, Univ. de Alicante, Hubble Space Telescope Science Institute (Baltimore, EEUU), Univ. Técnica Checa, Institute of Geophysics & Planetary Physics, Univ. California (Los Ángeles, EEUU), Obs. Astronómico de Roma (Italia), Obs. Astronómico de la Univ. Estatal de Nikolaev (Ucrania) – N. invest.: 24

Periodo: 01/10/2002 s 30/09/2004

TIC 88-0774 – Desarrollo de sistemas para codificación y reconocimiento de la voz

Entidad financiadora: CICYT

Entidad/es participantes: Univ. Granada – N. invest.: 9

Periodo: 01/01/1989 a 31/12/1991

TIC 96-0956-C04-04 – Interfaces Multimodales en Comunicaciones Hombre-Máquina

Entidad financiadora: CICYT

Entidad/es participantes: Universidad de Granada y Univ. de Vigo – N. invest.: 11

Periodo: 01/08/1996 a 31/07/1999

TSI2005-08145-C02-02 – Modelo de Arquitectura por Capas para la Detección Ubicua de Ataques y Respuesta

Entidad financiadora: MCYT

Entidad/es participantes: Universidad de Granada y esCERT (UPC) – N. invest.: 5

Periodo: 31/12/2005 a 31/12/2008

TEL1999-0619 – NoVo: Sistema Automático Basado en Reconocimiento de Voz para el Acceso Remoto a Noticias

Entidad financiadora: CICYT

Entidad/es participantes: Univ. Granada – N. invest.: 5

Periodo: 01/01/2000 a 31/12/2001

TIC 92-0662 – Reconocimiento de Voz Continua Mediante Técnicas MVQHMM y RNN

Entidad financiadora: CICYT

Entidad/es participantes: Univ. Granada – N. invest.: 9

Periodo: 05/06/1992 a 05/06/1995

EUREKA-CELTIC (CP3-011) – RED (“Reaction Acter Detection” (colaboración/subcontratación UPM )

Entidad financiadora: EUREKA-CELTIC (CP3-011)

Entidad/es participantes: EADS, Thales, Alcatel-Lucent, France Telecom, Exaproyect, GET/ENST, TelIndus, GMV-SGI, UPM, UPV, Innovae, Telefónica I+D, Centre de Reserche Public Henri Tudor

Periodo: 01/01/2007 a 31/12/2007

TIC2002-02798 – Servicios Seguros de Multidifusión de Voz sobre IP en Redes Activas

Entidad financiadora: MCYT

Entidad/es participantes: Univ. Granada – N. invest.: 6

Periodo: 01/12/2002 a 30/12/2005

Proyectos de transferencia

PI-2437/22/2023 – OREOS ("Solución integral de Gestión de Identidades de Nueva Generación")

Entidad financiadora: WHITEBEARSOLUTIONS S.L

Entidad/es participantes: AICIA – Universidad de Sevilla – N. invest.: 5

Periodo: 02/06/2023 a 29/11/2025

Enlaces

PI-2132/22/2021 – Detección de ciberamenazas en los sistemas de monitorización y control de instalaciones de Generación Renovables (RENSHIELD)

Entidad financiadora: Isotrol / Ministerio Ciencia y Tecnología

Entidad/es participantes: AICIA – N. invest.: 6

Periodo: 01/06/2021 a 31/12/2023

Enlaces

PI-2040/22/2020 – Diseño de un Sistema de Bastionado Híbrido en Aplicaciones Web frente a las Amenazas OWASP

Entidad financiadora: Universidad de Sevilla

Entidad/es participantes: Universidad de Sevilla – N. invest.: 4

Periodo: 15/10/2020 a 15/07/2021

PI-1921/22/2019 – Protección de Servidores de Investigación Mediante Detección de Estadíos Iniciales de Ataques Multi-etapa mediante Indicadores de Compromiso (IoC)

Entidad financiadora: Univ. de Sevilla

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 15/06/2019 a 15/06/2020

PI-1872/22/2018 – Análisis de Seguridad mediante Monitorización de Sesiones de Usuario en la Red de la Biblioteca de la Universidad de Sevilla

Entidad financiadora: Univ. de Sevilla

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 01/12/2018 a 01/12/2019

PI-1814/26/2018 – Red Eléctrica cibersegura 1

Entidad financiadora: Isotrol / Ministerio Ciencia y Tecnología (Programa CIEN)

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 01/01/2018 a 31/12/2021

PI-1786/22/2018 – Sistema de ciberportección para servidores web de la Universidad de Sevilla (CiberwebUS)

Entidad financiadora: Univ. de Sevilla

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 01/03/2018 a 31/08/2018

PI-1736/22/2017 – Detección temprana de ataques de ciberseguridad para servidores web de la biblioteca de la US

Entidad financiadora: Univ. de Sevilla

Entidad/es participantes: AICIA – N. invest.: 5

Periodo: 01/10/2017 a 30/09/2018

CTA 16/909 – Sistema integral para vigilancia y auditoría de ciberseguridad corporativa

Entidad financiadora: WELLNESS TELECOM, S.L. / Junta de Andalucía (Corporación Tecnológica de Andalucía)

Entidad/es participantes: AICIA – N. invest.: 4

Periodo: 01/02/2017 a 15/01/2019

– Data exploration on a network security data

Entidad financiadora: Protectwise Inc.

Entidad/es participantes: Univ. Granada – N. invest.: 3

Periodo: 01/08/2014 a 31/10/2014

– Investigación sobre fraude en telecomunicaciones. El fraude en roaming

Entidad financiadora: KPN Mobile International Network Spain S.L.

Entidad/es participantes: Univ. Granada – N. invest.: 7

Periodo: 15/04/2013 a 15/04/2014

– Mejora de la gestión de red mediante análisis y caracterización del tráfico en redes corporativas

Entidad financiadora: SADESI (Junta de Andalucía)

Entidad/es participantes: Univ. Granada – N. invest.: 5

Periodo: 01/07/2010 a 30/06/2011

– Asesoramiento, análisis y desarrollo en redes, seguridad y comunicaciones

Entidad financiadora: Universitat Politécnica de Catalunya

Entidad/es participantes: Univ. Granada – N. invest.: 4

Periodo: 01/02/2009 a 31/10/2009

– Tele-rehabilitación efectiva en el hogar: investigación y desarrollo de sistemas, técnicas, métodos y mecanismos (TeleREHAB)

Entidad financiadora: Fundación Robotiker

Entidad/es participantes: Univ. Granada, Robotiker – N. invest.: 4

Periodo: 2009 a 2011

– Análisis de viabilidad y soluciones para un sistema de videófono para cajeros automáticos

Entidad financiadora: Patrimonial Andaluza, S.A.

Entidad/es participantes: Univ. Granada – N. invest.: 3

Periodo: 01/11/2001 a 31/12/2001

– Sistema automatizado de gestión y realización de llamadas con reconocimiento de voz (Fase A)

Entidad financiadora: Plásticos Genil, S.L.

Entidad/es participantes: Univ. Granada – N. invest.: 3

Periodo: 01/06/2001 a 30/09/2001

– Asesoría y consultoría técnica en instalaciones y aplicaciones telemáticas

Entidad financiadora: INDICO, Telemática y Telecomunicaciones, S.L.

Entidad/es participantes: Univ. Granada – N. invest.: 1

Periodo: 01/05/2000 a 30/11/2000

– Máster en redes y comunicaciones

Entidad financiadora: INTAS

Entidad/es participantes: Univ. Granada – N. invest.: 1

Periodo: 13/05/1994 a 25/08/1994

– Desarrollo de un conversor texto-a-voz en castellano

Entidad financiadora: ENA Telecomunicaciones, S.A.

Entidad/es participantes: Univ. Granada – N. invest.: 9

Periodo: 01/01/1992 a 31/12/1993

	Dpt. Ingeniería Telemática Entreplanta 2 - Noroeste ETSI (Escuela Técnica Superior de Ingeniería) C/ Camino de los descubrimientos s/n 41092 - Sevilla
	+34 954 48 73 84
	rafaestepa @ us.es
	Mapa

	Dpt. Ingeniería Telemática ETSI (Escuela Técnica Superior de Ingeniería) C/ Camino de los descubrimientos s/n 41092 - Sevilla
	Dpt. Teoría de la Señal, Telemática y Comunicaciones ETS Ing. Informática y Telecomunicaciones C/ Daniel Saucedo Aranda s/n 18071 - Granada

PROYECTOSINVEST.destacados

PROYECTOSTRANSFER.destacados

Proyectos de investigación

Proyectos de transferencia

PROYECTOS
INVEST.
destacados

PROYECTOS
TRANSFER.
destacados