2024
Díaz-Verdejo, J.; Alonso, R. Estepa; Alonso, A. Estepa; Muñoz-Calle, F. J.
Impacto de la evolución temporal de datasets reales en el rendimiento de un IDS basados en anomalías: estudio experimental sobre HTTP Proceedings Article
En: XI Jornadas Nacionales de Investigación en Ciberseguridad, pp. 302–309, 2024.
@inproceedings{DiazVerdejo2024,
title = {Impacto de la evolución temporal de datasets reales en el rendimiento de un IDS basados en anomalías: estudio experimental sobre HTTP},
author = {J. Díaz-Verdejo and R. Estepa Alonso and A. Estepa Alonso and F. J. Muñoz-Calle},
year = {2024},
date = {2024-01-01},
urldate = {2024-01-01},
booktitle = {XI Jornadas Nacionales de Investigación en Ciberseguridad},
pages = {302–309},
abstract = {El desarrollo y evaluación de sistemas de detección de intrusiones basados en anomalías es de vital importancia en el contexto de la ciberseguridad, especialmente en relación a los ataques de día cero. La naturaleza altamente diamica tanto de los sistemas a proteger como de los ataques hace que la detección de anomalías resulte una tarea compleja, ya que esta evolución temporal puede afectar a las capacidades de los modelos estimados en un escenario y periodo determinados. A pesar de su importancia, este efecto ha sido explorado de forma limitada en la literatura, especialmente por la prática inexistencia de datos reales convenientemente etiquetados con la suficiente extensión temporal. En el presente trabajo evaluamos experimentalmente el impacto de la evolución temporal en un sistema para la detección de ataques basados en URL utilizando datos reales capturados en un escenario real durante un periodo de tiempo relativamente extenso. Nuestros análisis demuestran una degradación de creciente con la distancia temporal entre el entrenamiento y la evaluación. Esta degradación es debida a la combinación de la pérdida de calidad del modelo con el tiempo así como a la propia variación del comportamiento del servicio y/o ataques a lo largo del tiempo.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
El desarrollo y evaluación de sistemas de detección de intrusiones basados en anomalías es de vital importancia en el contexto de la ciberseguridad, especialmente en relación a los ataques de día cero. La naturaleza altamente diamica tanto de los sistemas a proteger como de los ataques hace que la detección de anomalías resulte una tarea compleja, ya que esta evolución temporal puede afectar a las capacidades de los modelos estimados en un escenario y periodo determinados. A pesar de su importancia, este efecto ha sido explorado de forma limitada en la literatura, especialmente por la prática inexistencia de datos reales convenientemente etiquetados con la suficiente extensión temporal. En el presente trabajo evaluamos experimentalmente el impacto de la evolución temporal en un sistema para la detección de ataques basados en URL utilizando datos reales capturados en un escenario real durante un periodo de tiempo relativamente extenso. Nuestros análisis demuestran una degradación de creciente con la distancia temporal entre el entrenamiento y la evaluación. Esta degradación es debida a la combinación de la pérdida de calidad del modelo con el tiempo así como a la propia variación del comportamiento del servicio y/o ataques a lo largo del tiempo.
Díaz-Verdejo, Jesús E.; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Muñoz-Calle, Javier; Madinabeitia, Germán
Biblio-US17: A labeled real URL dataset for anomaly-based intrusion detection systems development Proceedings Article
En: European Interdisciplinary Cybersecurity Conference (EICC 2024), pp. 217–218, 2024, ISBN: 9798400716515.
@inproceedings{Diaz-Verdejo2024b,
title = {Biblio-US17: A labeled real URL dataset for anomaly-based intrusion detection systems development},
author = {Jesús E. Díaz-Verdejo and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and Javier Muñoz-Calle and Germán Madinabeitia},
doi = {10.1145/3655693.3661319},
isbn = {9798400716515},
year = {2024},
date = {2024-01-01},
urldate = {2024-01-01},
booktitle = {European Interdisciplinary Cybersecurity Conference (EICC 2024)},
pages = {217–218},
abstract = {The development of anomaly-based intrusion detection systems is hindered by the scarcity of adequate datasets. An ideal dataset should contain real traffic, genuine attacks and cover a large time period that may demonstrate time shift. To be useful, the dataset must be labeled to provide accurate ground-truth, This paper presents a dataset of URLs that possesses these qualities. It can therefore be used to effectively train, test, and validate URL-based anomaly detection systems. The dataset is publicly available and contains 47M registers, including 320k attacks, and spans for 6.5 months. It is partitioned acording to two schemes to allow for time dependent and time independent experiments.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
The development of anomaly-based intrusion detection systems is hindered by the scarcity of adequate datasets. An ideal dataset should contain real traffic, genuine attacks and cover a large time period that may demonstrate time shift. To be useful, the dataset must be labeled to provide accurate ground-truth, This paper presents a dataset of URLs that possesses these qualities. It can therefore be used to effectively train, test, and validate URL-based anomaly detection systems. The dataset is publicly available and contains 47M registers, including 320k attacks, and spans for 6.5 months. It is partitioned acording to two schemes to allow for time dependent and time independent experiments.
Díaz-Verdejo, J.; Muñoz-Calle, J.; Alonso, R. Estepa; Alonso, A. Estepa
InspectorLog : A New Tool for Offline Attack Detection over Web Log Proceedings Article
En: Proceedings of the 21st International Conference on Security and Cryptography (SECRYPT 2024), pp. 692–697, 2024, ISBN: 9789897587092.
@inproceedings{Diaz-Verdejo2024a,
title = {InspectorLog : A New Tool for Offline Attack Detection over Web Log},
author = {J. Díaz-Verdejo and J. Muñoz-Calle and R. Estepa Alonso and A. Estepa Alonso},
doi = {10.5220/0012764000003767},
isbn = {9789897587092},
year = {2024},
date = {2024-01-01},
urldate = {2024-01-01},
booktitle = {Proceedings of the 21st International Conference on Security and Cryptography (SECRYPT 2024)},
number = {Secrypt},
pages = {692–697},
abstract = {InspectorLog is a novel tool for offline analysis of HTTP logs. The tool processes web server logs to identify attacks using diverse rule sets, focusing primarily on the URI field. It is compatible with standard rule formats from systems such as Snort, Nemesida, and ModSecurity. This paper describes InspectorLog functionalities, architecture and applications to the scientific community. We also experimentally validate InspectorLog by comparing its detection power with that of the IDS from which rules are taken. Inspector log fills a gap in available tools in cybersecurity practices in forensic analysis, dataset sanitization, and signature tuning. Future enhancements are planned to support additionalWeb Application Firewalls (WAFs), new rule types, and HTTP protocol methods, aiming to broaden its scope and utility in the ever-evolving domain of network security.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
InspectorLog is a novel tool for offline analysis of HTTP logs. The tool processes web server logs to identify attacks using diverse rule sets, focusing primarily on the URI field. It is compatible with standard rule formats from systems such as Snort, Nemesida, and ModSecurity. This paper describes InspectorLog functionalities, architecture and applications to the scientific community. We also experimentally validate InspectorLog by comparing its detection power with that of the IDS from which rules are taken. Inspector log fills a gap in available tools in cybersecurity practices in forensic analysis, dataset sanitization, and signature tuning. Future enhancements are planned to support additionalWeb Application Firewalls (WAFs), new rule types, and HTTP protocol methods, aiming to broaden its scope and utility in the ever-evolving domain of network security.
Díaz-Verdejo, Jesús; Alonso, Rafael Estepa; Alonso, Antonio Estepa; Muñoz-Calle, Javier
Insights into anomaly-based intrusion detection systems usability. A case study using real http requests Proceedings Article
En: Proc. European Interdisciplinary Cybersecurity Conference (EICC 2024), pp. 82–89, 2024, ISBN: 9798400716515.
@inproceedings{Diaz-Verdejo2024,
title = {Insights into anomaly-based intrusion detection systems usability. A case study using real http requests},
author = {Jesús Díaz-Verdejo and Rafael Estepa Alonso and Antonio Estepa Alonso and Javier Muñoz-Calle},
doi = {10.1145/3655693.3655745},
isbn = {9798400716515},
year = {2024},
date = {2024-01-01},
urldate = {2024-01-01},
booktitle = {Proc. European Interdisciplinary Cybersecurity Conference (EICC 2024)},
pages = {82–89},
abstract = {Intrusion detection systems based on anomalies (A-IDS) are crucial for detecting cyberattacks, especially zero-day attacks. Numerous A-IDS proposals in the literature report excellent performance according to established metrics and settings in a laboratory. However, finding systems implementing these proposals in real-world scenarios is challenging. This work explores, through a case study, the suitability of performance metrics commonly used in the scientific literature to real-world scenarios. Our case study will consider a Web attack detector based on URIs and a real, large-scale dataset. Our results show significant limitations in the performance metrics commonly used to select the system's operating point and its practical use in real-world scenarios.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Intrusion detection systems based on anomalies (A-IDS) are crucial for detecting cyberattacks, especially zero-day attacks. Numerous A-IDS proposals in the literature report excellent performance according to established metrics and settings in a laboratory. However, finding systems implementing these proposals in real-world scenarios is challenging. This work explores, through a case study, the suitability of performance metrics commonly used in the scientific literature to real-world scenarios. Our case study will consider a Web attack detector based on URIs and a real, large-scale dataset. Our results show significant limitations in the performance metrics commonly used to select the system's operating point and its practical use in real-world scenarios.
2023
Castillo-Fernández, Elvira; Muñoz, Escolástico; Diaz-Verdejo, J.; Estepa Alonso, R; Estepa Alonso, A.
Diseño y despliegue de un laboratorio para formación e investigación en ciberseguridad Proceedings Article
En: Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23) , pp. 445-452, 2023, ISBN: 978-84-8158-970-2.
@inproceedings{jnic23-cslab,
title = {Diseño y despliegue de un laboratorio para formación e investigación en ciberseguridad},
author = {Elvira Castillo-Fernández and Escolástico Muñoz and J. Diaz-Verdejo and {Estepa Alonso}, R and {Estepa Alonso}, A.},
isbn = {978-84-8158-970-2},
year = {2023},
date = {2023-06-21},
urldate = {2023-06-21},
booktitle = {Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23) },
journal = {Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23) - En revisión},
pages = {445-452},
abstract = {La realización de simulacros y/o experimentos para actividades de formación e investigación en ciberseguridad plantea serias dificultades prácticas por la ejecución de ataques a los sistemas que conforman la propia infraestructura. Se presentan múltiples requisitos, en ocasiones, incompatibles entre sí, como la necesidad de preservar la seguridad de los sistemas externos y de monitorización sin perder la conectividad hacia Internet, la capacidad de monitorización y adquisición de trazas de una forma segura, la flexibilidad que permita múltiples escenarios lo más realistas posible y una fácil reusabilidad del laboratorio. En el presente trabajo se propone e implementa una arquitectura para un laboratorio de ciberseguridad que presenta un equilibrio entre flexibilidad, funcionalidad, usabilidad y seguridad de las operaciones. La propuesta se basa en la división en una red de supervisión y una red de laboratorio sobre la que, mediante virtualización de bajo nivel, se pueden desarrollar los diferentes experimentos y ataques con riesgo mínimo de impacto sobre la red de supervisión. Para ello se establecen diferentes barreras, tanto físicas como lógicas, que permiten filtrar el tráfico entre ambas y la conectividad hacia Internet. Para mostrar la operación y capacidades de la arquitectura propuesta se presenta un caso de uso con un ataque multietapa que involucra diversos sistemas operativos y equipos.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
La realización de simulacros y/o experimentos para actividades de formación e investigación en ciberseguridad plantea serias dificultades prácticas por la ejecución de ataques a los sistemas que conforman la propia infraestructura. Se presentan múltiples requisitos, en ocasiones, incompatibles entre sí, como la necesidad de preservar la seguridad de los sistemas externos y de monitorización sin perder la conectividad hacia Internet, la capacidad de monitorización y adquisición de trazas de una forma segura, la flexibilidad que permita múltiples escenarios lo más realistas posible y una fácil reusabilidad del laboratorio. En el presente trabajo se propone e implementa una arquitectura para un laboratorio de ciberseguridad que presenta un equilibrio entre flexibilidad, funcionalidad, usabilidad y seguridad de las operaciones. La propuesta se basa en la división en una red de supervisión y una red de laboratorio sobre la que, mediante virtualización de bajo nivel, se pueden desarrollar los diferentes experimentos y ataques con riesgo mínimo de impacto sobre la red de supervisión. Para ello se establecen diferentes barreras, tanto físicas como lógicas, que permiten filtrar el tráfico entre ambas y la conectividad hacia Internet. Para mostrar la operación y capacidades de la arquitectura propuesta se presenta un caso de uso con un ataque multietapa que involucra diversos sistemas operativos y equipos.
Castillo-Fernández, E.; Diaz-Verdejo, J.; Estepa Alonso, R.; Estepa Alonso, A.
Riesgos en la Smart Home: estudio experimental Proceedings Article
En: Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23), pp. 375-382, 2023, ISBN: 978-84-8158-970-2.
@inproceedings{jnic23-iot,
title = {Riesgos en la Smart Home: estudio experimental},
author = {E. Castillo-Fernández and J. Diaz-Verdejo and {Estepa Alonso}, R. and {Estepa Alonso}, A.},
isbn = {978-84-8158-970-2},
year = {2023},
date = {2023-06-21},
urldate = {2023-06-21},
booktitle = {Actas de las VIII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC23)},
pages = {375-382},
abstract = {En este trabajo realizamos una evaluación preliminar de los riesgos de ciberseguridad en un escenario de aplicación típico de SmartHome: una vivienda unifamiliar. Para ello se han desplegado varias tecnologías comúnmente utilizadas en este contexto y se ha monitorizado el tráfico asociado a los dispositivos y servidores SmartHome. A partir del análisis realizado se ha constatado la existencia de ataques, patrones de comunicación anómalos entre dispositivos y con servidores externos, así como vulnerabilidades asociadas a debilidades en las configuraciones de los dispositivos y los protocolos desplegados, algunos de ellos propietarios. Adicionalmente, para algunos dispositivos se ha constatado una gran dependencia de la nube, lo que facilita la indisponibilidad de algunos servicios en caso de fallos en la conexión con nube. El resultado evidencia un pobre tratamiento de la ciberseguridad por la mayoría de los operadores del sector y un riesgo en este tipo de instalaciones que puede pasar inadvertido al usuario.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
En este trabajo realizamos una evaluación preliminar de los riesgos de ciberseguridad en un escenario de aplicación típico de SmartHome: una vivienda unifamiliar. Para ello se han desplegado varias tecnologías comúnmente utilizadas en este contexto y se ha monitorizado el tráfico asociado a los dispositivos y servidores SmartHome. A partir del análisis realizado se ha constatado la existencia de ataques, patrones de comunicación anómalos entre dispositivos y con servidores externos, así como vulnerabilidades asociadas a debilidades en las configuraciones de los dispositivos y los protocolos desplegados, algunos de ellos propietarios. Adicionalmente, para algunos dispositivos se ha constatado una gran dependencia de la nube, lo que facilita la indisponibilidad de algunos servicios en caso de fallos en la conexión con nube. El resultado evidencia un pobre tratamiento de la ciberseguridad por la mayoría de los operadores del sector y un riesgo en este tipo de instalaciones que puede pasar inadvertido al usuario.
Lara, Agustín W.; Ternero, J. A.; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Ruiz-Robles, Fernando; Díaz-Verdejo, Jesús E.
HTTP Cyberattacks Detection through Automatic Signature Generation in multi-site IoT Deployments Proceedings Article
En: Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023) , pp. 6, 2023.
@inproceedings{eicc2-firmas,
title = {HTTP Cyberattacks Detection through Automatic Signature Generation in multi-site IoT Deployments},
author = {Agustín W. Lara and J.A. Ternero and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and Fernando Ruiz-Robles and Jesús E. Díaz-Verdejo
},
doi = {10.1145/3590777.3590788},
year = {2023},
date = {2023-06-14},
urldate = {2023-06-14},
booktitle = {Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023)
},
pages = {6},
abstract = { IoT deployments often include a web-interface server for managerial purposes. Signature-based Intrusion Detection Systems are commonly used to detect HTTP attacks on these web servers. The standard signature repositories used by these defensive systems can be enhanced with new signatures generated automatically from attacks detected with anomaly detection techniques.
This work presents a scheme for generating such anomaly-based signatures from HTTP attacks in a way that avoids excessive false positives. The signatures generated are distributed to peer sites in a multi-site environment. We also present a case study based on an IoT real-life dataset collected at four different SmartLight deployments from the same organization. Our results show a notable performance improvement (from $24.1%$ to $66.7%$) when anomaly-based signatures are added to the standard default Snort ruleset and distributed to the other three sites.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
IoT deployments often include a web-interface server for managerial purposes. Signature-based Intrusion Detection Systems are commonly used to detect HTTP attacks on these web servers. The standard signature repositories used by these defensive systems can be enhanced with new signatures generated automatically from attacks detected with anomaly detection techniques.
This work presents a scheme for generating such anomaly-based signatures from HTTP attacks in a way that avoids excessive false positives. The signatures generated are distributed to peer sites in a multi-site environment. We also present a case study based on an IoT real-life dataset collected at four different SmartLight deployments from the same organization. Our results show a notable performance improvement (from $24.1%$ to $66.7%$) when anomaly-based signatures are added to the standard default Snort ruleset and distributed to the other three sites.
This work presents a scheme for generating such anomaly-based signatures from HTTP attacks in a way that avoids excessive false positives. The signatures generated are distributed to peer sites in a multi-site environment. We also present a case study based on an IoT real-life dataset collected at four different SmartLight deployments from the same organization. Our results show a notable performance improvement (from $24.1%$ to $66.7%$) when anomaly-based signatures are added to the standard default Snort ruleset and distributed to the other three sites.
Fernández, Elvira Castillo; Díaz-Verdejo, Jesús E.; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Muñoz-Calle, Javier; Madinabeitia, Germán
Multistep Cyberattacks Detection using a Flexible Multilevel System for Alerts and Events Correlation Proceedings Article
En: Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023), pp. 6, 2023.
@inproceedings{eicc23-attacks,
title = {Multistep Cyberattacks Detection using a Flexible Multilevel System for Alerts and Events Correlation},
author = {Elvira {Castillo Fernández} and Jesús E. {Díaz-Verdejo} and {Estepa Alonso}, Rafael and {Estepa Alonso}, Antonio and Javier {Muñoz-Calle} and Germán Madinabeitia},
doi = {10.1145/3590777.3590778},
year = {2023},
date = {2023-06-14},
urldate = {2023-06-14},
booktitle = {Proc. European Interdisciplinary Cybersecurity Conference (EICC 2023)},
pages = {6},
abstract = {Current network monitoring systems tend to generate several alerts per attack, especially in multistep attacks. However, Cybersecurity Officers (CSO) would rather receive a single alert summarizing the entire incident. Triggering a single alert per attack is a challenge that requires developing and evaluating advanced event correlation techniques and models to determine the relationships between the different observed events/alerts.
In this work, we propose a flexible architecture oriented toward the correlation and aggregation of events and alerts in a multilevel iterative approach.
In our scheme, sensors generate events and alerts that are stored in a non-relational database queried by modules that create knowledge structured as meta-alerts that are also stored in the database. These meta-alerts (also called hyperalerts) are, in turn, used iteratively to create new knowledge. This iterative approach can be used to aggregate information at multiple levels or steps in complex attack models.
Our architecture also allows the incorporation of additional sensors and the evaluation of various correlation techniques and multistage attack models. The capabilities of the system are assessed through three case studies.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Current network monitoring systems tend to generate several alerts per attack, especially in multistep attacks. However, Cybersecurity Officers (CSO) would rather receive a single alert summarizing the entire incident. Triggering a single alert per attack is a challenge that requires developing and evaluating advanced event correlation techniques and models to determine the relationships between the different observed events/alerts.
In this work, we propose a flexible architecture oriented toward the correlation and aggregation of events and alerts in a multilevel iterative approach.
In our scheme, sensors generate events and alerts that are stored in a non-relational database queried by modules that create knowledge structured as meta-alerts that are also stored in the database. These meta-alerts (also called hyperalerts) are, in turn, used iteratively to create new knowledge. This iterative approach can be used to aggregate information at multiple levels or steps in complex attack models.
Our architecture also allows the incorporation of additional sensors and the evaluation of various correlation techniques and multistage attack models. The capabilities of the system are assessed through three case studies.
In this work, we propose a flexible architecture oriented toward the correlation and aggregation of events and alerts in a multilevel iterative approach.
In our scheme, sensors generate events and alerts that are stored in a non-relational database queried by modules that create knowledge structured as meta-alerts that are also stored in the database. These meta-alerts (also called hyperalerts) are, in turn, used iteratively to create new knowledge. This iterative approach can be used to aggregate information at multiple levels or steps in complex attack models.
Our architecture also allows the incorporation of additional sensors and the evaluation of various correlation techniques and multistage attack models. The capabilities of the system are assessed through three case studies.
Muñoz-calle, Javier; Fructuoso, Javier; Estepa, Rafael; Estepa, Antonio
Evaluación experimental de las capacidades de detección de ciberataques basados en técnicas del modelo ATT & CK mediante Snort Proceedings Article
En: Actas de las XVI Jornadas de Ingeniería Telemática - JITEL 2023, pp. 5–8, 2023.
@inproceedings{Munoz-calle2023,
title = {Evaluación experimental de las capacidades de detección de ciberataques basados en técnicas del modelo ATT & CK mediante Snort},
author = {Javier Muñoz-calle and Javier Fructuoso and Rafael Estepa and Antonio Estepa},
year = {2023},
date = {2023-01-01},
urldate = {2023-01-01},
booktitle = {Actas de las XVI Jornadas de Ingeniería Telemática - JITEL 2023},
pages = {5–8},
abstract = {ATT&CK establece un modelo donde se especifican las fases secuenciales de un ciberataque, as´ı como las t´ecnicas que suelen ser usadas en cada paso del ataque. Ser´ıa interesante incorporar este modelo en el proceso de detecci´on de los ciberataques ya que facilitar´ıa la correlaci´on de las numerosas alertas generadas por los sistemas de monitorizaci´on de red. Sin embargo, la aplicaci´on del modelo en los procesos de correlaci´on de eventos no es inmediata, ya que no est´a formulado en t´erminos de eventos observables y/o detecciones sino de acciones a realizar. En el presente trabajo exploramos y evaluamos los elementos necesarios para incorporar el modelo ATT&CK en el procesamiento de la informaci´on generada por los sistemas de monitorizaci´on de la seguridad en la red.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
ATT&CK establece un modelo donde se especifican las fases secuenciales de un ciberataque, as´ı como las t´ecnicas que suelen ser usadas en cada paso del ataque. Ser´ıa interesante incorporar este modelo en el proceso de detecci´on de los ciberataques ya que facilitar´ıa la correlaci´on de las numerosas alertas generadas por los sistemas de monitorizaci´on de red. Sin embargo, la aplicaci´on del modelo en los procesos de correlaci´on de eventos no es inmediata, ya que no est´a formulado en t´erminos de eventos observables y/o detecciones sino de acciones a realizar. En el presente trabajo exploramos y evaluamos los elementos necesarios para incorporar el modelo ATT&CK en el procesamiento de la informaci´on generada por los sistemas de monitorizaci´on de la seguridad en la red.
Castillo-Fernández, Elvira; Díaz-Verdejo, Jesús Esteban; Alonso, Rafael María Estepa; Alonso, Antonio Estepa; Muñoz-Calle, Fco Javier
Uso practico del modelo ATT&CK para la detección de ciberataques Proceedings Article
En: Actas de las XVI Jornadas de Ingeniería Telemática - JITEL 2023, pp. 1–4, 2023, ISBN: 9783131450715.
@inproceedings{Castillo-Fernandez2023,
title = {Uso practico del modelo ATT&CK para la detección de ciberataques},
author = {Elvira Castillo-Fernández and Jesús Esteban Díaz-Verdejo and Rafael María Estepa Alonso and Antonio Estepa Alonso and Fco Javier Muñoz-Calle},
isbn = {9783131450715},
year = {2023},
date = {2023-01-01},
urldate = {2023-01-01},
booktitle = {Actas de las XVI Jornadas de Ingeniería Telemática - JITEL 2023},
pages = {1–4},
abstract = {ATT&CK establece un modelo donde se especifican las fases secuenciales de un ciberataque, así como las técnicas que suelen ser usadas en cada paso del ataque. Sería interesante incorporar este modelo en el proceso de detección de los ciberataques ya que facilitaría la correlación de las numerosas alertas generadas por los sistemas de monitorización de red. Sin embargo, la aplicación del modelo en los procesos de correlación de eventos no es inmediata, ya que no está formulado en términos de eventos observables y/o detecciones sino de acciones a realizar. En el presente trabajo exploramos y evaluamos los elementos necesarios para incorporar el modelo ATT&CK en el procesamiento de la información generada por los sistemas de monitorización de la seguridad en la red.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
ATT&CK establece un modelo donde se especifican las fases secuenciales de un ciberataque, así como las técnicas que suelen ser usadas en cada paso del ataque. Sería interesante incorporar este modelo en el proceso de detección de los ciberataques ya que facilitaría la correlación de las numerosas alertas generadas por los sistemas de monitorización de red. Sin embargo, la aplicación del modelo en los procesos de correlación de eventos no es inmediata, ya que no está formulado en términos de eventos observables y/o detecciones sino de acciones a realizar. En el presente trabajo exploramos y evaluamos los elementos necesarios para incorporar el modelo ATT&CK en el procesamiento de la información generada por los sistemas de monitorización de la seguridad en la red.
2022
Alonso, Antonio Estepa; Alonso, Rafael Estepa; Wideberg, Johan; Díaz-Verdejo, Jesús; Marquez, Adolfo Crespo
Smart Detection of Cyberattacks in IoT servers: Application to smart lighting and other smart city applications Proceedings Article
En: Leva, Maria Chiara; Petelli, Edoardo; Podofillini, Luca; Wilson, Simon (Ed.): European Conference on Safety and Reliability (ESREL 2022), pp. 3-4, 2022.
@inproceedings{esrel22,
title = {Smart Detection of Cyberattacks in IoT servers: Application to smart lighting and other smart city applications},
author = {Antonio {Estepa Alonso} and Rafael {Estepa Alonso} and Johan Wideberg and Jesús {Díaz-Verdejo} and Adolfo {Crespo Marquez}},
editor = {Maria {Chiara Leva} and Edoardo Petelli and Luca Podofillini and Simon Wilson},
year = {2022},
date = {2022-08-31},
urldate = {2022-08-31},
booktitle = {European Conference on Safety and Reliability (ESREL 2022)},
journal = {European Conference on Safety and Reliability (ESREL 2022)},
pages = {3-4},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Muñoz, Javier; Bueno, Felipe; Estepa, Rafael; Estepa, Antonio; Díaz-Verdejo, Jesús E.
Ataques a servidores web: estudio experimental de la capacidad de detección de algunos SIDS gratuitos Proceedings Article
En: Actas de las VII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC'22), pp. 22–25, 2022, ISBN: 9878488734136.
@inproceedings{Munoz-jnic22,
title = {Ataques a servidores web: estudio experimental de la capacidad de detección de algunos SIDS gratuitos},
author = {Javier Muñoz and Felipe Bueno and Rafael Estepa and Antonio Estepa and Jesús E. Díaz-Verdejo},
isbn = {9878488734136},
year = {2022},
date = {2022-01-01},
urldate = {2022-01-01},
booktitle = {Actas de las VII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC'22)},
pages = {22--25},
abstract = {Este trabajo cuantifica de forma experimental la capacidad de detección de ataques a servidores web ofrecida por algunos de los detectores de intrusiones basados en firmas (SIDS) disponibles de forma gratuita. Para ello, se ha realizado una búsqueda y selección de 28 herramientas actuales para la generación de ataques y análisis de seguridad del servicio web. Con ellas, se han realizado casi 150 ataques a dos escenarios de uso de un servidor web (una web estática y una dinámica). Las peticiones HTTP registradas durante los ataques han sido utilizadas para crear un dataset de ataques que será utilizado como entrada a tres SIDS gratuitos seleccionados por su amplio uso, de forma que se podrá determinar la capacidad de detección de los mismos frente a los ataques generados. Este trabajo se encuentra aún en desarrollo, por lo que en esta contribución se muestran los primeros resultados relativos a la recolección y selección de herramientas para la generación de los ataques, la generación del dataset de ataques de forma que sea representativo de los ataques actuales y la evaluación preliminar de las capacidades de detección.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Este trabajo cuantifica de forma experimental la capacidad de detección de ataques a servidores web ofrecida por algunos de los detectores de intrusiones basados en firmas (SIDS) disponibles de forma gratuita. Para ello, se ha realizado una búsqueda y selección de 28 herramientas actuales para la generación de ataques y análisis de seguridad del servicio web. Con ellas, se han realizado casi 150 ataques a dos escenarios de uso de un servidor web (una web estática y una dinámica). Las peticiones HTTP registradas durante los ataques han sido utilizadas para crear un dataset de ataques que será utilizado como entrada a tres SIDS gratuitos seleccionados por su amplio uso, de forma que se podrá determinar la capacidad de detección de los mismos frente a los ataques generados. Este trabajo se encuentra aún en desarrollo, por lo que en esta contribución se muestran los primeros resultados relativos a la recolección y selección de herramientas para la generación de los ataques, la generación del dataset de ataques de forma que sea representativo de los ataques actuales y la evaluación preliminar de las capacidades de detección.
2021
Estepa, Rafael; Estepa, Antonio; Díaz-Verdejo, Jesús; Lara, Agustín W; Madinabeitia, Germán; Sánchez, José A. Morales
Diseño de un IDS basado en anomalías para IoT: caso de estudio en SmartCities Proceedings Article
En: Actas de las VI Jornadas Nacionales de Investigación en Ciberseguridad, pp. 135–138, 2021.
@inproceedings{Estepa-jnic2021,
title = {Diseño de un IDS basado en anomalías para IoT: caso de estudio en SmartCities},
author = {Rafael Estepa and Antonio Estepa and Jesús Díaz-Verdejo and Agustín W Lara and Germán Madinabeitia and José A. Morales Sánchez},
url = {https://ruidera.uclm.es/xmlui/handle/10578/28638},
doi = {10.18239/jornadas_2021.34.30},
year = {2021},
date = {2021-01-01},
urldate = {2021-01-01},
booktitle = {Actas de las VI Jornadas Nacionales de Investigación en Ciberseguridad},
pages = {135--138},
abstract = {Los sistemas de Smart-City constituyen un campo específico en el IoT. Las soluciones de ciberseguridad IT tradicionales son excesivamente genéricas y poco eficientes para este tipo de instalaciones con escasos recursos computacionales y de coste limitado. Por ello, en conjunción con una empresa del sector, se está desarrollando un proyecto para la detección de incidentes de seguridad de un sistema de Iluminación Inteligente. En este artículo se describen los resultados iniciales del proyecto.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Los sistemas de Smart-City constituyen un campo específico en el IoT. Las soluciones de ciberseguridad IT tradicionales son excesivamente genéricas y poco eficientes para este tipo de instalaciones con escasos recursos computacionales y de coste limitado. Por ello, en conjunción con una empresa del sector, se está desarrollando un proyecto para la detección de incidentes de seguridad de un sistema de Iluminación Inteligente. En este artículo se describen los resultados iniciales del proyecto.
Diaz-Verdejo, J.; Muñoz, F. J.; Alonso, R. Estepa; Alonso, A. Estepa; Madinabeitia, G.
Sobre las capacidades de detección de los IDS basados en firmas Proceedings Article
En: Serrano, Manuel A.; Fernández-Medina, Eduardo; Alcaraz, Cristina; Castro, Noemí; Calvo, Guillermo (Ed.): Actas de las VI Jornadas Nacionales de Investigación en Ciberseguridad, pp. 55–64, Ediciones de la Universidad de Castilla-La Mancha, 2021, ISBN: 9788490444634.
@inproceedings{diaz-verdejo-jnic21,
title = {Sobre las capacidades de detección de los IDS basados en firmas},
author = {J. Diaz-Verdejo and F. J. Muñoz and R. Estepa Alonso and A. Estepa Alonso and G. Madinabeitia},
editor = {Manuel A. Serrano and Eduardo Fernández-Medina and Cristina Alcaraz and Noemí Castro and Guillermo Calvo},
url = {https://ruidera.uclm.es/xmlui/handle/10578/28597},
doi = {10.18239/jornadas_2021.34.00},
isbn = {9788490444634},
year = {2021},
date = {2021-01-01},
urldate = {2021-01-01},
booktitle = {Actas de las VI Jornadas Nacionales de Investigación en Ciberseguridad},
pages = {55--64},
publisher = {Ediciones de la Universidad de Castilla-La Mancha},
series = {Colección Jornadas y Congresos},
abstract = {Los sistemas de detección de intrusiones (IDS) pueden detectar actividades maliciosas y generar alertas a supervisar, por lo que constituyen el n´ ucleo de los sistemas de monitorización de la seguridad de las redes. Tradicionalmente, se ha asumido que los IDS basados en firmas (SIDS) ofrecen una capacidad de detección y tasa de falsos positivos adecuadas, presentando limitaciones sólo en la detección de ataques 0-day. Sin embargo, estas capacidades están inequívocamente asociadas a la calidad de las firmas disponibles, que varían no sólo en el tiempo sino con la herramienta concreta utilizada. En este trabajo se exploran las capacidades de diversos sistemas SIDS ampliamente utilizados en un escenario real en el contexto de servicios web. Asimismo, se analiza la evolución de sus prestaciones a lo largo del tiempo considerando la actualización de las firmas. Los resultados de nuestras pruebas evidencian una gran variabilidad en las prestaciones en función de la herramienta seleccionada, así como una deficiente cobertura de ataques conocidos, incluso cuando se optimizan las reglas para ajustarse al sistema a proteger. Consecuentemente, es necesario revisar el papel de los SIDS como elementos de protección, ya que pueden proporcionar una falsa sensación de seguridad.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Los sistemas de detección de intrusiones (IDS) pueden detectar actividades maliciosas y generar alertas a supervisar, por lo que constituyen el n´ ucleo de los sistemas de monitorización de la seguridad de las redes. Tradicionalmente, se ha asumido que los IDS basados en firmas (SIDS) ofrecen una capacidad de detección y tasa de falsos positivos adecuadas, presentando limitaciones sólo en la detección de ataques 0-day. Sin embargo, estas capacidades están inequívocamente asociadas a la calidad de las firmas disponibles, que varían no sólo en el tiempo sino con la herramienta concreta utilizada. En este trabajo se exploran las capacidades de diversos sistemas SIDS ampliamente utilizados en un escenario real en el contexto de servicios web. Asimismo, se analiza la evolución de sus prestaciones a lo largo del tiempo considerando la actualización de las firmas. Los resultados de nuestras pruebas evidencian una gran variabilidad en las prestaciones en función de la herramienta seleccionada, así como una deficiente cobertura de ataques conocidos, incluso cuando se optimizan las reglas para ajustarse al sistema a proteger. Consecuentemente, es necesario revisar el papel de los SIDS como elementos de protección, ya que pueden proporcionar una falsa sensación de seguridad.
Román, Isabel; Madinabeitia, Germán; Estepa, Rafael; Díaz-Verdejo, Jesús; Estepa, Antonio; González-Sánchez, José Luis; Prieto, Felipe Lemuz
Aplicación de control de acceso y técnicas de Blockchain para el control de datos genéticos Proceedings Article
En: Actas de las VI Jornadas Nacionales de Investigación en Ciberseguridad, pp. 293–299, 2021, ISBN: 9788490444634.
@inproceedings{Roman2021,
title = {Aplicación de control de acceso y técnicas de Blockchain para el control de datos genéticos},
author = {Isabel Román and Germán Madinabeitia and Rafael Estepa and Jesús Díaz-Verdejo and Antonio Estepa and José Luis González-Sánchez and Felipe Lemuz Prieto},
url = {https://ruidera.uclm.es/xmlui/handle/10578/28677},
doi = {10.18239/jornadas_2021.34.67},
isbn = {9788490444634},
year = {2021},
date = {2021-01-01},
booktitle = {Actas de las VI Jornadas Nacionales de Investigación en Ciberseguridad},
pages = {293--299},
abstract = {Este trabajo presenta una solución al reto de mejorar la trazabilidad del acceso a información genética almacenada en una aplicación propietaria a trav´es del uso de blockchain. Para ello se realizan tres acciones: (a) se normaliza la estructura y acceso a los datos conforme al estándar sanitario FHIR; (b) se dise ña una arquitectura normalizada de control de acceso a los datos en la que el paciente puede administrar las políticas de acceso a sus datos clínicos compatible con el RGDP; (c) se securiza mediante blockchain la trazabilidad del acceso a los datos. Los resultados de las tres acciones anteriores se integran en un demostrador o una aplicación piloto que tiene las siguientes características: (a) arquitectura SOA con interfaces normalizados de acceso que siguen el estándar FHIR; (b) cuenta con sistema distribuido de control de acceso de grano fino que sigue el estándard XACML/SAML; (c) utiliza blockchain de forma que se garantice la trazabilidad y la integridad de los registros de acceso al sistema.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Este trabajo presenta una solución al reto de mejorar la trazabilidad del acceso a información genética almacenada en una aplicación propietaria a trav´es del uso de blockchain. Para ello se realizan tres acciones: (a) se normaliza la estructura y acceso a los datos conforme al estándar sanitario FHIR; (b) se dise ña una arquitectura normalizada de control de acceso a los datos en la que el paciente puede administrar las políticas de acceso a sus datos clínicos compatible con el RGDP; (c) se securiza mediante blockchain la trazabilidad del acceso a los datos. Los resultados de las tres acciones anteriores se integran en un demostrador o una aplicación piloto que tiene las siguientes características: (a) arquitectura SOA con interfaces normalizados de acceso que siguen el estándar FHIR; (b) cuenta con sistema distribuido de control de acceso de grano fino que sigue el estándard XACML/SAML; (c) utiliza blockchain de forma que se garantice la trazabilidad y la integridad de los registros de acceso al sistema.
2019
Díaz-Verdejo, Jesús; Alonso, Rafael Estepa; Alonso, Antonio Estepa; Madinabeitia, Germán
Metodología supervisada para la obtención de trazas limpias del servicio HTTP Proceedings Article
En: Actas de las V Jornadas Nacionales de Investigación en Ciberseguridad, pp. 78–85, 2019.
@inproceedings{Diaz-verdejo2019,
title = {Metodología supervisada para la obtención de trazas limpias del servicio HTTP},
author = {Jesús Díaz-Verdejo and Rafael Estepa Alonso and Antonio Estepa Alonso and Germán Madinabeitia},
year = {2019},
date = {2019-01-01},
booktitle = {Actas de las V Jornadas Nacionales de Investigación en Ciberseguridad},
pages = {78--85},
abstract = {Disponer de datos adecuados para el entrenamiento, evaluación y validación de sistemas de detección de intrusos basados en anomalías representa un problema de índole práctica relevante. Las características requeridas para los datos plantean una serie de retos contrapuestos entre los que destaca la necesidad de disponer de un volumen significativo de datos reales que no contenga instancias de ataques. Esto implica un proceso de limpieza y supervisión que puede resultar muy costoso si se realiza manualmente. En este trabajo planteamos una metodología para automatizar en lo posible la adquisición y acondicionamiento de trazas del servicio HTTP para la detección de ataques basada en URI. Esta metodología se aplica con buenos resultados sobre una traza real como caso de estudio.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Disponer de datos adecuados para el entrenamiento, evaluación y validación de sistemas de detección de intrusos basados en anomalías representa un problema de índole práctica relevante. Las características requeridas para los datos plantean una serie de retos contrapuestos entre los que destaca la necesidad de disponer de un volumen significativo de datos reales que no contenga instancias de ataques. Esto implica un proceso de limpieza y supervisión que puede resultar muy costoso si se realiza manualmente. En este trabajo planteamos una metodología para automatizar en lo posible la adquisición y acondicionamiento de trazas del servicio HTTP para la detección de ataques basada en URI. Esta metodología se aplica con buenos resultados sobre una traza real como caso de estudio.
Alonso, Antonio J. Estepa; Díaz-Verdejo, Jesús E.; Ramírez, Estefanía Osma; Alonso, Rafael M. Estepa; Luque, Germán Madinabeitia; Romero, Agustín W. Lara
Ciberseguridad en entornos de generación eléctrica en parques renovables. Resumen extendido Proceedings Article
En: Actas de las V Jornadas Nacionales de Investigación en Ciberseguridad, pp. 334–335, 2019, ISBN: 978-84-09-12121-2.
@inproceedings{Alonso2019,
title = {Ciberseguridad en entornos de generación eléctrica en parques renovables. Resumen extendido},
author = {Antonio J. Estepa Alonso and Jesús E. Díaz-Verdejo and Estefanía Osma Ramírez and Rafael M. Estepa Alonso and Germán Madinabeitia Luque and Agustín W. Lara Romero},
isbn = {978-84-09-12121-2},
year = {2019},
date = {2019-01-01},
booktitle = {Actas de las V Jornadas Nacionales de Investigación en Ciberseguridad},
pages = {334--335},
abstract = {Este documento presenta un proyecto en curso en el marco de ciberseguridad en entornos industriales de generación eléctrica. Por limitaciones de espacio y por motivos de confidencialidad, tan sólo se describirá el contexto de este proyecto, el alcance esperado y los requisitos que debe cumplir la solución de ciberseguridad. Por último se realiza una breve introducción al diseño inicial de la solución propuesta siguiendo la aproximación de Mínimo Producto Viable. Dicha solución se basa en la definición de Indicadores de Compromiso IoC para la detección anomalías y vulnerabilidades en la planta.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Este documento presenta un proyecto en curso en el marco de ciberseguridad en entornos industriales de generación eléctrica. Por limitaciones de espacio y por motivos de confidencialidad, tan sólo se describirá el contexto de este proyecto, el alcance esperado y los requisitos que debe cumplir la solución de ciberseguridad. Por último se realiza una breve introducción al diseño inicial de la solución propuesta siguiendo la aproximación de Mínimo Producto Viable. Dicha solución se basa en la definición de Indicadores de Compromiso IoC para la detección anomalías y vulnerabilidades en la planta.
2018
Díaz-Verdejo, J.; Estepa, R.; Estepa, A.; Madinabeitia, G.; Rodríguez, D.
Metodología para la generacion de conjuntos de datos de ataques basados en URI de HTTP Proceedings Article
En: Actas de las V Jornadas Nacionales de Investigación en Ciberseguridad, pp. 119–126, 2018, ISBN: 978-84-09-02697-5.
@inproceedings{diaz-verdejo-jnic2018,
title = {Metodología para la generacion de conjuntos de datos de ataques basados en URI de HTTP},
author = {J. Díaz-Verdejo and R. Estepa and A. Estepa and G. Madinabeitia and D. Rodríguez},
isbn = {978-84-09-02697-5},
year = {2018},
date = {2018-01-01},
booktitle = {Actas de las V Jornadas Nacionales de Investigación en Ciberseguridad},
pages = {119--126},
abstract = {El desarrollo de sistemas de detección de intrusiones basadas en web, o de firewalls de aplicación web, requiere el uso de conjuntos de datos (datasets) apropiados para el entrenamiento y evaluación. Una elección inadecuada de los mismos resultará en sesgos e imprecisiones que pueden invalidar la experimentación y, consecuentemente, la evaluación de las capacidades de detección de la/s técnica/s analizada/s. El problema es especialmente relevante en el caso de los sistemas basados en anomalías, ya que se requiere disponer de ataques adecuados al entorno de experimentación. En el presente trabajo se propone una metodología para la generación de datasets adaptados a las necesidades de la experimentación y del escenario de uso, mediante el uso de la combinación y parametrización de diferentes fuentes de ataques. Además, se ha implementado una herramienta que sigue la metodología propuesta, generando dos datasets con 800 y 1.100 instancias de ataque respectivamente, que responden a las necesidades de la experimentación particular de un sistema de detección de anomalías en peticiones HTTP. No obstante, la metodología desarrollada es suficientemente genérica para permitir la generación de datasets adecuados al desarrollo de otros sistemas en función de las necesidades del usuario.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
El desarrollo de sistemas de detección de intrusiones basadas en web, o de firewalls de aplicación web, requiere el uso de conjuntos de datos (datasets) apropiados para el entrenamiento y evaluación. Una elección inadecuada de los mismos resultará en sesgos e imprecisiones que pueden invalidar la experimentación y, consecuentemente, la evaluación de las capacidades de detección de la/s técnica/s analizada/s. El problema es especialmente relevante en el caso de los sistemas basados en anomalías, ya que se requiere disponer de ataques adecuados al entorno de experimentación. En el presente trabajo se propone una metodología para la generación de datasets adaptados a las necesidades de la experimentación y del escenario de uso, mediante el uso de la combinación y parametrización de diferentes fuentes de ataques. Además, se ha implementado una herramienta que sigue la metodología propuesta, generando dos datasets con 800 y 1.100 instancias de ataque respectivamente, que responden a las necesidades de la experimentación particular de un sistema de detección de anomalías en peticiones HTTP. No obstante, la metodología desarrollada es suficientemente genérica para permitir la generación de datasets adecuados al desarrollo de otros sistemas en función de las necesidades del usuario.
2017
Estepa, R.; Estepa, A.; Díaz-Verdejo, J.; Campos, I.; Madinabeitia, G.; Peña, I.; Castaño, M.; Estrada, C.
Caso de estudio: sistema automatizado de evaluación del riesgo TIC Proceedings Article
En: Actas de las III Jornadas Nacionales de Investigación en Ciberseguridad, pp. 188–189, 2017, ISBN: 9788460846598.
@inproceedings{R.EstepaA.EstepaJ.DiazVerdejoI.CamposG.MadinabeitiaI.PenaM.Castano2017,
title = {Caso de estudio: sistema automatizado de evaluación del riesgo TIC},
author = {R. Estepa and A. Estepa and J. Díaz-Verdejo and I. Campos and G. Madinabeitia and I. Peña and M. Castaño and C. Estrada},
isbn = {9788460846598},
year = {2017},
date = {2017-01-01},
urldate = {2017-01-01},
booktitle = {Actas de las III Jornadas Nacionales de Investigación en Ciberseguridad},
pages = {188--189},
abstract = {Es importante que las organizaciones dispongan de productos o servicios que ayuden a identificar los riesgos tecnológicos. Este artículo presenta nuestra experiencia con el diseño y evaluación de un sistema automatizado de auditorías de seguridad. El sistema ha sido diseñado para realizar de forma autónoma las tareas de inventariado, búsqueda de vulnerabilidades y detección de ataques a través de la red a los sistemas auditados. El sistema sólo utiliza componentes de software libre y combina el resultado de herramientas activas y pasivas mediante dos etapas de correlación. El objetivo final es ofrecer una estimación del nivel de riesgo de cada uno de los activos de la organización.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Es importante que las organizaciones dispongan de productos o servicios que ayuden a identificar los riesgos tecnológicos. Este artículo presenta nuestra experiencia con el diseño y evaluación de un sistema automatizado de auditorías de seguridad. El sistema ha sido diseñado para realizar de forma autónoma las tareas de inventariado, búsqueda de vulnerabilidades y detección de ataques a través de la red a los sistemas auditados. El sistema sólo utiliza componentes de software libre y combina el resultado de herramientas activas y pasivas mediante dos etapas de correlación. El objetivo final es ofrecer una estimación del nivel de riesgo de cada uno de los activos de la organización.
2014
Camacho, Jose; Macia-Fernandez, Gabriel; Diaz-Verdejo, Jesus; Garcia-Teodoro, Pedro
Tackling the Big Data 4 vs for anomaly detection Proceedings Article
En: 2014 IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS), pp. 500–505, IEEE, 2014, ISSN: 0743166X.
@inproceedings{Camacho2014,
title = {Tackling the Big Data 4 vs for anomaly detection},
author = {Jose Camacho and Gabriel Macia-Fernandez and Jesus Diaz-Verdejo and Pedro Garcia-Teodoro},
url = {http://ieeexplore.ieee.org/document/6849282/},
doi = {10.1109/INFCOMW.2014.6849282},
issn = {0743166X},
year = {2014},
date = {2014-04-01},
booktitle = {2014 IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS)},
pages = {500--505},
publisher = {IEEE},
abstract = {In this paper, a framework for anomaly detection and forensics in Big Data is introduced. The framework tackles the Big Data 4 Vs: Variety, Veracity, Volume and Velocity. The varied nature of the data sources is treated by transforming the typically unstructured data into a highly dimensional and structured data set. To overcome both the uncertainty (low veracity) and high dimension introduced, a latent variable method, in particular Principal Component Analysis (PCA), is applied. PCA is well known to present outstanding capabilities to extract information from highly dimensional data sets. However, PCA is limited to low size, thought highly multivariate, data sets. To handle this limitation, a kernel computation of PCA is employed. This avoids computational problems due to the size (number of observations) in the data sets and allows parallelism. Also, hierarchical models are proposed if dimensionality is extreme. Finally, to handle high velocity in analyzing time series data flows, the Exponentially Weighted Moving Average (EWMA) approach is employed. All these steps are discussed in the paper, and the VAST 2012 mini challenge 2 is used for illustration. ?? 2014 IEEE.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
In this paper, a framework for anomaly detection and forensics in Big Data is introduced. The framework tackles the Big Data 4 Vs: Variety, Veracity, Volume and Velocity. The varied nature of the data sources is treated by transforming the typically unstructured data into a highly dimensional and structured data set. To overcome both the uncertainty (low veracity) and high dimension introduced, a latent variable method, in particular Principal Component Analysis (PCA), is applied. PCA is well known to present outstanding capabilities to extract information from highly dimensional data sets. However, PCA is limited to low size, thought highly multivariate, data sets. To handle this limitation, a kernel computation of PCA is employed. This avoids computational problems due to the size (number of observations) in the data sets and allows parallelism. Also, hierarchical models are proposed if dimensionality is extreme. Finally, to handle high velocity in analyzing time series data flows, the Exponentially Weighted Moving Average (EWMA) approach is employed. All these steps are discussed in the paper, and the VAST 2012 mini challenge 2 is used for illustration. ?? 2014 IEEE.
Camacho, J.; Maciá-Fernández, G.; Díaz-Verdejo, J.; García-Teodoro, P.
Monitorización y selección de incidentes en seguridad de redes mediante EDA Proceedings Article
En: Actas de las XIII Reunión Española sobre Criptología y Seguridad de la Información, pp. 309–314, 2014, ISBN: 9788497173230.
@inproceedings{Camacho-recsi2014,
title = {Monitorización y selección de incidentes en seguridad de redes mediante EDA},
author = {J. Camacho and G. Maciá-Fernández and J. Díaz-Verdejo and P. García-Teodoro},
isbn = {9788497173230},
year = {2014},
date = {2014-01-01},
booktitle = {Actas de las XIII Reunión Española sobre Criptología y Seguridad de la Información},
pages = {309--314},
abstract = {Uno de los mayores retos a los que se enfrentan los sistemas de monitorización de seguridad en redes es el gran volumen de datos de diversa naturaleza y relevancia que deben procesar para su presentación adecuada al equipo administrador del sistema, tratando de incorporar la información semántica más relevante. En este artículo se propone la aplicación de herramientas derivadas de técnicas de análisis exploratorio de datos para la selección de los eventos críticos en los que el administrador debe focalizar su atención. Adicionalmente, estas herramientas son capaces de proporcionar información semántica en relación a los elementos involucrados y su grado de implicaci´on en los eventos seleccionados. La propuesta se presenta y evalúa utilizando el desafío VAST 2012 como caso de estudio, obteniéndose resultados altamente satisfactorios.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Uno de los mayores retos a los que se enfrentan los sistemas de monitorización de seguridad en redes es el gran volumen de datos de diversa naturaleza y relevancia que deben procesar para su presentación adecuada al equipo administrador del sistema, tratando de incorporar la información semántica más relevante. En este artículo se propone la aplicación de herramientas derivadas de técnicas de análisis exploratorio de datos para la selección de los eventos críticos en los que el administrador debe focalizar su atención. Adicionalmente, estas herramientas son capaces de proporcionar información semántica en relación a los elementos involucrados y su grado de implicaci´on en los eventos seleccionados. La propuesta se presenta y evalúa utilizando el desafío VAST 2012 como caso de estudio, obteniéndose resultados altamente satisfactorios.
2013
Mañas, Elena Jiménez; Camacho-Páez, José; Díaz-verdejo, Jesús E.
Aplicación de EDA en datos de redes de comunicación Proceedings Article
En: Actas de las XI Jornadas de Ingeniería Telemática (JITEL 2013), pp. 397–404, 2013, ISBN: 9788461655977.
@inproceedings{Manas2013,
title = {Aplicación de EDA en datos de redes de comunicación},
author = {Elena Jiménez Mañas and José Camacho-Páez and Jesús E. Díaz-verdejo},
isbn = {9788461655977},
year = {2013},
date = {2013-01-01},
booktitle = {Actas de las XI Jornadas de Ingeniería Telemática (JITEL 2013)},
pages = {397--404},
abstract = {Las técnicas de análisis exploratorio de datos (EDA) constituyen una potente herramienta para el análisis de las características y propiedades de conjuntos de datos, siendo recomendable su utilización como paso previo en problemas de detección de anomalías, clasificación y optimización, entre otros. En particular, resultan de interés para analizar el tráfico capturado en una red. Para facilitar la aplicación de estas técnicas se ha desarrollado una herramienta software, EDA 2.0, cuya aplicación se describe en el presente artículo. Este software se ha diseñado teniendo como objetivo principal su sencillez de uso, de forma que el usuario solo tendrá que interpretar las gráficas proporcionadas, pudiendo trabajar con una gran variedad de problemas y situaciones de diferente naturaleza. Se ha desarrollado también una interfaz gráfica que facilita aún más su utilización. Las capacidades de la técnica EDA y de la herramienta se muestran en un caso de estudio centrado en el análisis de un conjunto de datos formado por el tráfico generado en una red de comunicaciones.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Las técnicas de análisis exploratorio de datos (EDA) constituyen una potente herramienta para el análisis de las características y propiedades de conjuntos de datos, siendo recomendable su utilización como paso previo en problemas de detección de anomalías, clasificación y optimización, entre otros. En particular, resultan de interés para analizar el tráfico capturado en una red. Para facilitar la aplicación de estas técnicas se ha desarrollado una herramienta software, EDA 2.0, cuya aplicación se describe en el presente artículo. Este software se ha diseñado teniendo como objetivo principal su sencillez de uso, de forma que el usuario solo tendrá que interpretar las gráficas proporcionadas, pudiendo trabajar con una gran variedad de problemas y situaciones de diferente naturaleza. Se ha desarrollado también una interfaz gráfica que facilita aún más su utilización. Las capacidades de la técnica EDA y de la herramienta se muestran en un caso de estudio centrado en el análisis de un conjunto de datos formado por el tráfico generado en una red de comunicaciones.
Fernandez, F. J.; Sierra, A. J.; Ariza, T.; Madinabeitia, G.; Vozmediano, J. M.
Virtualization environment in telematics labs Proceedings Article
En: pp. 458-465, 2013, ISSN: 21659559, (cited By 1).
@inproceedings{Fernandez2013458,
title = {Virtualization environment in telematics labs},
author = {F. J. Fernandez and A. J. Sierra and T. Ariza and G. Madinabeitia and J. M. Vozmediano},
url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-84881020407&doi=10.1109%2fEduCon.2013.6530145&partnerID=40&md5=a26a2492a8b3263a5ab8402e88081c58},
doi = {10.1109/EduCon.2013.6530145},
issn = {21659559},
year = {2013},
date = {2013-01-01},
journal = {IEEE Global Engineering Education Conference, EDUCON},
pages = {458-465},
abstract = {The aim of this paper is to show the common scenario for practical content of subjects in the Department of Telematics Engineering by means of virtualization. This Department is responsible for a high number of laboratory groups, requiring many teachers and a high workload. A common environment for all practice groups is desired. A virtual machine was built with the same environment of the Computing Centre at School of Engineering at University of Seville. Then, this virtual machine was provided to students and is used to do practices. This article describes this experience and shows the improvements obtained. © 2013 IEEE.},
note = {cited By 1},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
The aim of this paper is to show the common scenario for practical content of subjects in the Department of Telematics Engineering by means of virtualization. This Department is responsible for a high number of laboratory groups, requiring many teachers and a high workload. A common environment for all practice groups is desired. A virtual machine was built with the same environment of the Computing Centre at School of Engineering at University of Seville. Then, this virtual machine was provided to students and is used to do practices. This article describes this experience and shows the improvements obtained. © 2013 IEEE.
2012
Padilla, Pablo; Camacho, José; Maciá, Gabriel; Díaz-verdejo, Jesús Esteban; García-teodoro, Pedro
Study of the performance of energy-efficient routing algorithms in wireless sensor networks ( WSN ) under different propagation scenarios Proceedings Article
En: XXVII Simposuim Nacional de la Unión Científica Internacional de Radio, pp. 1–4, 2012.
@inproceedings{Padilla2012,
title = {Study of the performance of energy-efficient routing algorithms in wireless sensor networks ( WSN ) under different propagation scenarios},
author = {Pablo Padilla and José Camacho and Gabriel Maciá and Jesús Esteban Díaz-verdejo and Pedro García-teodoro},
year = {2012},
date = {2012-01-01},
booktitle = {XXVII Simposuim Nacional de la Unión Científica Internacional de Radio},
pages = {1--4},
abstract = {This document studies the influence of the features of the propagation scenario in the performance of energy- efficient routing algorithms for wireless sensor networks (WSN). Although there are a lot of works regarding energy- efficient routing protocols, almost no reference to realistic propagation channel models and their influence is made in the literature. Considering that the propagation channel may affect the efficiency of the different energy-efficient routing algorithms, different propagation scenarios are studied in this work, from the most simplistic free-space propagation model to more complex ones. The latter includes the effects of multipath propagation, shadowing, fading, etc. In addition, spatial diversity transmission/reception models are considered to mitigate the effects of hard propagation fading.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
This document studies the influence of the features of the propagation scenario in the performance of energy- efficient routing algorithms for wireless sensor networks (WSN). Although there are a lot of works regarding energy- efficient routing protocols, almost no reference to realistic propagation channel models and their influence is made in the literature. Considering that the propagation channel may affect the efficiency of the different energy-efficient routing algorithms, different propagation scenarios are studied in this work, from the most simplistic free-space propagation model to more complex ones. The latter includes the effects of multipath propagation, shadowing, fading, etc. In addition, spatial diversity transmission/reception models are considered to mitigate the effects of hard propagation fading.
Sierra, A. J.; Ariza, T.; Fernández, F. J.; Madinabeitia, G.
TVSP: A Tool for Validation Software Projects in programming labs Proceedings Article
En: 2012, ISSN: 21659559, (cited By 4).
@inproceedings{Sierra2012,
title = {TVSP: A Tool for Validation Software Projects in programming labs},
author = {A. J. Sierra and T. Ariza and F. J. Fernández and G. Madinabeitia},
url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-84864151833&doi=10.1109%2fEDUCON.2012.6201196&partnerID=40&md5=06967220b058428c30384edf6a7d1024},
doi = {10.1109/EDUCON.2012.6201196},
issn = {21659559},
year = {2012},
date = {2012-01-01},
journal = {IEEE Global Engineering Education Conference, EDUCON},
abstract = {This work shows a testing tool used in Fundamentals of Programming II laboratory in Telecommunication Technologies Engineering Degree at University of Sevilla to check the student project. This tool allows students to test the proper operation of their project in autonomous way. This is a flexible and useful tool for testing the project because the tool identifies when the student has carried out a project that meet the given specifications of the project. This implies a high rate of success when the student delivers its project to the teacher. © 2012 IEEE.},
note = {cited By 4},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
This work shows a testing tool used in Fundamentals of Programming II laboratory in Telecommunication Technologies Engineering Degree at University of Sevilla to check the student project. This tool allows students to test the proper operation of their project in autonomous way. This is a flexible and useful tool for testing the project because the tool identifies when the student has carried out a project that meet the given specifications of the project. This implies a high rate of success when the student delivers its project to the teacher. © 2012 IEEE.
2011
Camacho, J.; Padilla, P.; Salcedo-Campos, F. J.; Díaz-Verdejo, J. E.; García-Teodoro, P.
Estudio exploratorio de la capacidad de discriminación de tráfico P2P usando reglas de similitud entre flujos Proceedings Article
En: Actas de las X Jornadas de Ingeniería Telemática (JITEL 2011), pp. 252–259, 2011, ISBN: 978-84-694-5948-5.
@inproceedings{Camacho2011b,
title = {Estudio exploratorio de la capacidad de discriminación de tráfico P2P usando reglas de similitud entre flujos},
author = {J. Camacho and P. Padilla and F. J. Salcedo-Campos and J. E. Díaz-Verdejo and P. García-Teodoro},
isbn = {978-84-694-5948-5},
year = {2011},
date = {2011-01-01},
booktitle = {Actas de las X Jornadas de Ingeniería Telemática (JITEL 2011)},
pages = {252--259},
abstract = {Existe un claro interés en la clasificación de tráfico en red sin acceder a la información contenida en el payload de los paquetes. En particular, resulta especialmente relevante la identificación del tráfico peer-to-peer (P2P) circulante en una red. El presente artículo evalúa la aplicabilidad de reglas de similitud entre flujos de datos para la clasificación de tráfico, con especial énfasis en la distinción entre el tráfico P2P del que no lo es. En concreto, el trabajo se centra en evaluar los parámetros que permiten crear parejas de flujos asociados a un mismo protocolo. Este trabajo es un paso previo necesario para identificar relaciones entre flujos de cara a la clasificación de tráfico.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Existe un claro interés en la clasificación de tráfico en red sin acceder a la información contenida en el payload de los paquetes. En particular, resulta especialmente relevante la identificación del tráfico peer-to-peer (P2P) circulante en una red. El presente artículo evalúa la aplicabilidad de reglas de similitud entre flujos de datos para la clasificación de tráfico, con especial énfasis en la distinción entre el tráfico P2P del que no lo es. En concreto, el trabajo se centra en evaluar los parámetros que permiten crear parejas de flujos asociados a un mismo protocolo. Este trabajo es un paso previo necesario para identificar relaciones entre flujos de cara a la clasificación de tráfico.
Camacho, José; Padilla, Pablo; Salcedo-Campos, F. Javier; García-Teodoro, Pedro; Díaz-Verdejo, Jesus
Pair-wise similarity criteria for flows identification in P2P/non-P2P traffic classification Proceedings Article
En: AP2PS 2011 - 3rd International Conference on Advances in P2P Systems, pp. 59–64, 2011, ISBN: 9781612081731.
@inproceedings{Camacho2011a,
title = {Pair-wise similarity criteria for flows identification in P2P/non-P2P traffic classification},
author = {José Camacho and Pablo Padilla and F. Javier Salcedo-Campos and Pedro García-Teodoro and Jesus Díaz-Verdejo},
isbn = {9781612081731},
year = {2011},
date = {2011-01-01},
booktitle = {AP2PS 2011 - 3rd International Conference on Advances in P2P Systems},
pages = {59--64},
abstract = {There is a growing interest in network traffic classification without accessing the packets payload. A main concern for network management is peer-to-peer (P2P) traffic identification. This can be performed at several levels, including packet level, flow level and node level. Most current traffic identification approaches rely on flow level identification, being highly demanding and time consuming procedures. This paper introduces a similarity-based method to pair flows up, which is aimed at reducing the cost of identifying P2P/non-P2P traffic flows. For that, different similarity measures for flows pairing are proposed and analyzed. Copyright textcopyright IARIA, 2011.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
There is a growing interest in network traffic classification without accessing the packets payload. A main concern for network management is peer-to-peer (P2P) traffic identification. This can be performed at several levels, including packet level, flow level and node level. Most current traffic identification approaches rely on flow level identification, being highly demanding and time consuming procedures. This paper introduces a similarity-based method to pair flows up, which is aimed at reducing the cost of identifying P2P/non-P2P traffic flows. For that, different similarity measures for flows pairing are proposed and analyzed. Copyright textcopyright IARIA, 2011.
Estepa, A. J.; Vozmediano, J. M.; López, J.; Estepa, R. M.
Impact of VoIP codecs on the energy consumption of portable devices Proceedings Article
En: pp. 123-130, 2011, ISBN: 9781450309028, (cited By 6).
@inproceedings{Estepa2011123,
title = {Impact of VoIP codecs on the energy consumption of portable devices},
author = {A. J. Estepa and J. M. Vozmediano and J. López and R. M. Estepa},
url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-83055177176&doi=10.1145%2f2069087.2069104&partnerID=40&md5=c08c18ae6c381dc4d4960f63a162373e},
doi = {10.1145/2069087.2069104},
isbn = {9781450309028},
year = {2011},
date = {2011-01-01},
journal = {PM2HW2N'11 - Proceedings of the 6th ACM International Workshop on Performance Monitoring, Measurement, and Evaluation of Heterogeneous Wireless and Wired Networks},
pages = {123-130},
abstract = {In this paper we investigate the influence of the codecs into the energy consumption of VoIP applications. These applications are increasingly extended among users of batterydependent devices such as laptops, smartphones and tablets. We provide a methodology to compare the energy efficiency of different VoIP codecs for a given device. This allows users and developers to minimize the energy consumption by codec selection, and introduces a new variable into the QoS-bandwidth balance that has traditionally lead the codec selection in VoIP applications. Our results show that the codec can have a significant impact on the energy consumption attributable to the VoIP software of the portable device. Copyright 2011 ACM.},
note = {cited By 6},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
In this paper we investigate the influence of the codecs into the energy consumption of VoIP applications. These applications are increasingly extended among users of batterydependent devices such as laptops, smartphones and tablets. We provide a methodology to compare the energy efficiency of different VoIP codecs for a given device. This allows users and developers to minimize the energy consumption by codec selection, and introduces a new variable into the QoS-bandwidth balance that has traditionally lead the codec selection in VoIP applications. Our results show that the codec can have a significant impact on the energy consumption attributable to the VoIP software of the portable device. Copyright 2011 ACM.
Khalife, Jawad; Hajjar, Amjad; Díaz-Verdejo, Jesús
On the performance of OpenDPI in identifying P2P truncated flows Proceedings Article
En: AP2PS 2011 - 3rd International Conference on Advances in P2P Systems, pp. 79–84, 2011, ISBN: 9781612081731.
@inproceedings{Khalife2011a,
title = {On the performance of OpenDPI in identifying P2P truncated flows},
author = {Jawad Khalife and Amjad Hajjar and Jesús Díaz-Verdejo},
isbn = {9781612081731},
year = {2011},
date = {2011-01-01},
booktitle = {AP2PS 2011 - 3rd International Conference on Advances in P2P Systems},
pages = {79--84},
abstract = {This paper aims to show the impact on classification accuracy and the level of computational gain that could be obtained in applying deep packet inspection on truncated peer to peer traffic flows instead of complete ones. Using one of the latest open source classifiers, experiments were conducted to evaluate classification performance on full and truncated network flows for different protocols, focusing on the detection of peer to peer. Despite minor exceptions, all the results show that with the latest deep packet inspection classifiers, which may incorporate different helper technologies, inspecting the first packets at the beginning of each flow, may still provide concrete computational gain while an acceptable level of classification accuracy is maintained. The present paper discusses this tradeoff and provides some recommendations on the number of packets to be inspected for the detection of peer to peer flows and some other common application protocols. As such, a new sampling approach is proposed, which accommodates samples to the stateful classifier's algorithm, taking into consideration the characteristics of the protocols being classified. Copyright textcopyright IARIA, 2011.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
This paper aims to show the impact on classification accuracy and the level of computational gain that could be obtained in applying deep packet inspection on truncated peer to peer traffic flows instead of complete ones. Using one of the latest open source classifiers, experiments were conducted to evaluate classification performance on full and truncated network flows for different protocols, focusing on the detection of peer to peer. Despite minor exceptions, all the results show that with the latest deep packet inspection classifiers, which may incorporate different helper technologies, inspecting the first packets at the beginning of each flow, may still provide concrete computational gain while an acceptable level of classification accuracy is maintained. The present paper discusses this tradeoff and provides some recommendations on the number of packets to be inspected for the detection of peer to peer flows and some other common application protocols. As such, a new sampling approach is proposed, which accommodates samples to the stateful classifier's algorithm, taking into consideration the characteristics of the protocols being classified. Copyright textcopyright IARIA, 2011.
Salcedo-Campos, F. J.; Díaz-Verdejo, J. E.; García-Teodoro, P.
Evaluación de la configuración de clasificadores KNN para la detección de flujos P2P Proceedings Article
En: Actas de las X Jornadas de Ingeniería Telemática (JITEL 2011), pp. 268–275, 2011, ISBN: 9788469459485.
@inproceedings{Garcia-Teodoro-jitel2011,
title = {Evaluación de la configuración de clasificadores KNN para la detección de flujos P2P},
author = {F. J. Salcedo-Campos and J. E. Díaz-Verdejo and P. García-Teodoro},
isbn = {9788469459485},
year = {2011},
date = {2011-01-01},
booktitle = {Actas de las X Jornadas de Ingeniería Telemática (JITEL 2011)},
pages = {268--275},
abstract = {En los ultimos años se ha producido un aumento de la popularidad de las redes y aplicaciones peer-to-peer (P2P), lo que se traduce en nuevos riesgos de seguridad para los usuarios y los nodos, así como nuevos escenarios en la gestión del tráfico de las redes. En este sentido existe un claro interés en la detección del tráfico P2P de la red sin acceder a la información contenida en el payload de los paquetes. Los clasificadores KNN se han mostrado muy efectivos para este fin, aunque no han sido estudiados en profundidad. El presente trabajo se centra en evaluar clasificadores KNN con diferentes configuraciones de distancia, número de vecinos más próximos y reglas de decisión para determinar si un flujo corresponde a un protocolo P2P o no, obteniéndose resultados superiores al 93% en la detección de flujos P2P y cercano al 97% en la precisión.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
En los ultimos años se ha producido un aumento de la popularidad de las redes y aplicaciones peer-to-peer (P2P), lo que se traduce en nuevos riesgos de seguridad para los usuarios y los nodos, así como nuevos escenarios en la gestión del tráfico de las redes. En este sentido existe un claro interés en la detección del tráfico P2P de la red sin acceder a la información contenida en el payload de los paquetes. Los clasificadores KNN se han mostrado muy efectivos para este fin, aunque no han sido estudiados en profundidad. El presente trabajo se centra en evaluar clasificadores KNN con diferentes configuraciones de distancia, número de vecinos más próximos y reglas de decisión para determinar si un flujo corresponde a un protocolo P2P o no, obteniéndose resultados superiores al 93% en la detección de flujos P2P y cercano al 97% en la precisión.
Salcedo-Campos, Francisco; Díaz-Verdejo, Jesús; Garcia-Teodoro, Pedro
Spam Detection Through Sliding Windowing of E-mail Headers Proceedings Article
En: 9th International Conference on Applied Cryptography and Network Security (ACNS '11), pp. 67–83, 2011.
@inproceedings{FranciscoSalcedo-CamposJesusDiaz-Verdejo2011,
title = {Spam Detection Through Sliding Windowing of E-mail Headers},
author = {Francisco Salcedo-Campos and Jesús Díaz-Verdejo and Pedro Garcia-Teodoro},
year = {2011},
date = {2011-01-01},
booktitle = {9th International Conference on Applied Cryptography and Network Security (ACNS '11)},
pages = {67--83},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Salcedo-Campos, F. J.; Díaz-Verdejo, J. E.; García-Teodoro, P.
Multiple vector classification for P2P traffic identification Proceedings Article
En: DCNET 2011 OPTICS 2011 - Proceedings of the International Conference on Data Communication Networking and International Conference on Optical Communication System, pp. 5–13, 2011, ISBN: 9789898425690.
@inproceedings{Salcedo-Campos2011,
title = {Multiple vector classification for P2P traffic identification},
author = {F. J. Salcedo-Campos and J. E. Díaz-Verdejo and P. García-Teodoro},
doi = {10.5220/0003457800050013},
isbn = {9789898425690},
year = {2011},
date = {2011-01-01},
booktitle = {DCNET 2011 OPTICS 2011 - Proceedings of the International Conference on Data Communication Networking and International Conference on Optical Communication System},
pages = {5--13},
abstract = {The identification of P2P traffic has become a principal concern for the research community in the last years. Although several P2P traffic identification proposals can be found in the specialized literature, the problem still persists mainly due to obfuscation and privacy matters. This paper presents a flow-based P2P traffic identification scheme which is based on a multiple classification procedure. First, every traffic flow monitored is parameterized by using three different groups of features: time related features, data transfer features and signalling features. After that, a flow identification process is performed for each group of features. Finally, a global identification procedure is carried out by combining the three individual classifications. Promising experimental results have been obtained by using a basic KNN scheme as the classifier. These results provide some insights on the relevance of the group of features considered and demonstrate the validity of our approach to identify P2P traffic in a reliable way, while content inspection is avoided.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
The identification of P2P traffic has become a principal concern for the research community in the last years. Although several P2P traffic identification proposals can be found in the specialized literature, the problem still persists mainly due to obfuscation and privacy matters. This paper presents a flow-based P2P traffic identification scheme which is based on a multiple classification procedure. First, every traffic flow monitored is parameterized by using three different groups of features: time related features, data transfer features and signalling features. After that, a flow identification process is performed for each group of features. Finally, a global identification procedure is carried out by combining the three individual classifications. Promising experimental results have been obtained by using a basic KNN scheme as the classifier. These results provide some insights on the relevance of the group of features considered and demonstrate the validity of our approach to identify P2P traffic in a reliable way, while content inspection is avoided.
Khalife, Jawad; Hajjar, Amjad; Díaz-Verdejo, Jesús
Performance of OpenDPI to identify truncated network traffic Proceedings Article
En: DCNET 2011 OPTICS 2011 - Proceedings of the International Conference on Data Communication Networking and International Conference on Optical Communication System, pp. 51–56, 2011, ISBN: 9789898425690.
@inproceedings{Khalife2011,
title = {Performance of OpenDPI to identify truncated network traffic},
author = {Jawad Khalife and Amjad Hajjar and Jesús Díaz-Verdejo},
doi = {10.5220/0003516000510056},
isbn = {9789898425690},
year = {2011},
date = {2011-01-01},
booktitle = {DCNET 2011 OPTICS 2011 - Proceedings of the International Conference on Data Communication Networking and International Conference on Optical Communication System},
pages = {51--56},
abstract = {The identification of the nature of the traffic flowing through a TCP/IP network is a relevant target for traffic engineering and security related tasks. Traditional methods based on port assignments are no longer valid due to the use of ephemeral ports and ciphering. Despite the privacy concerns it arises, Deep Packet Inspection (DPI) is one of the most successful current techniques. Nevertheless, the performance of DPI is strongly limited by computational issues related to the huge amount of data it needs to handle, both in terms of number of packets and the length of the packets. This paper addresses the sensitivity of OpenDPI, one of the most powerful freely available DPI systems, when truncation of the payloads of the monitored traffic is applied. The results show that it is highly dependent on the protocol being monitored.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
The identification of the nature of the traffic flowing through a TCP/IP network is a relevant target for traffic engineering and security related tasks. Traditional methods based on port assignments are no longer valid due to the use of ephemeral ports and ciphering. Despite the privacy concerns it arises, Deep Packet Inspection (DPI) is one of the most successful current techniques. Nevertheless, the performance of DPI is strongly limited by computational issues related to the huge amount of data it needs to handle, both in terms of number of packets and the length of the packets. This paper addresses the sensitivity of OpenDPI, one of the most powerful freely available DPI systems, when truncation of the payloads of the monitored traffic is applied. The results show that it is highly dependent on the protocol being monitored.
Camacho, J.; Padilla, P.; Díaz-Verdejo, J. E.
Exploratory Data Analysis in Large Data Sets: a latent sub-space approach Proceedings Article
En: Fitfh Int. Chemometrics Research Meeting, pp. 27, 2011.
@inproceedings{Camacho2011,
title = {Exploratory Data Analysis in Large Data Sets: a latent sub-space approach},
author = {J. Camacho and P. Padilla and J. E. Díaz-Verdejo},
year = {2011},
date = {2011-01-01},
booktitle = {Fitfh Int. Chemometrics Research Meeting},
pages = {27},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
2010
Salazar-Hernández, Rolando; Díaz-Verdejo, Jesús E.
Anonimización de payloads para el desarrollo de AIDS basados en protocolos Proceedings Article
En: Actas de las IX Jornadas de Ingeniería Telemática (JITEL 2010), pp. 260–267, 2010.
@inproceedings{Salazar-hernandez-jitel2010,
title = {Anonimización de payloads para el desarrollo de AIDS basados en protocolos},
author = {Rolando Salazar-Hernández and Jesús E. Díaz-Verdejo},
year = {2010},
date = {2010-01-01},
booktitle = {Actas de las IX Jornadas de Ingeniería Telemática (JITEL 2010)},
pages = {260--267},
abstract = {La adquisición de tráfico de red plantea diversos problemas de índole legal relacionados con la privacidad de las comunicaciones. Sin embargo, la disponibilidad de este tipo de datos resulta imprescindible para el desarrollo de sistemas de detección de intrusiones (IDS) basados en anomalías. Para preservar la privacidad y evitar el problema se pueden utilizar técnicas de anonimización del tráfico. Las técnicas existentes se centran en la ocultación de la información contenida en las diferentes cabeceras, lo que resulta inadecuado en algunos casos. En este trabajo se presenta y evalúa una técnica de anonimización que actúa sobre los contenidos de los mensajes intercambiados y que resulta válida para el desarrollo y evaluación de AIDS que operen en base a las cargas útiles del tráfico monitorizado.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
La adquisición de tráfico de red plantea diversos problemas de índole legal relacionados con la privacidad de las comunicaciones. Sin embargo, la disponibilidad de este tipo de datos resulta imprescindible para el desarrollo de sistemas de detección de intrusiones (IDS) basados en anomalías. Para preservar la privacidad y evitar el problema se pueden utilizar técnicas de anonimización del tráfico. Las técnicas existentes se centran en la ocultación de la información contenida en las diferentes cabeceras, lo que resulta inadecuado en algunos casos. En este trabajo se presenta y evalúa una técnica de anonimización que actúa sobre los contenidos de los mensajes intercambiados y que resulta válida para el desarrollo y evaluación de AIDS que operen en base a las cargas útiles del tráfico monitorizado.
Camacho, J.; Díaz-Verdejo, J.
Principal component analysis for very large datasets Proceedings Article
En: VII Colloquium Chemiometricum Mediterraneum, 2010, ISBN: 978-84-937483-4-0.
@inproceedings{J.Camacho2010,
title = {Principal component analysis for very large datasets},
author = {J. Camacho and J. Díaz-Verdejo},
isbn = {978-84-937483-4-0},
year = {2010},
date = {2010-01-01},
booktitle = {VII Colloquium Chemiometricum Mediterraneum},
abstract = {Principal Component Analysis (PCA) is a multivariate tool to approximate, in the least squares sense, a matrix of data by another matrix of lower rank. Because of this, PCA is useful to have an insight into the distribution of the observations in the data. With PCA, observations are visualized in the latent subspace using score plots. Thus, only a few latent variables containing most of the variability of interest are considered, instead of the potently large number of original variables. This approach is useful to find (and also interpret) outliers, clusters and distinct class-wise distributions in the data. Nonetheless, when the number of observations is very large, the score plots become blurred, losing its usefulness. Furthermore, when data contain several thousands or even millions of observations, PCA may be demanding in terms of computational time and memory to handle such matrices. This is many times the case in industrial processes. In this contribution, a clustering-based procedure to compress the observations in PCA is presented. The original observations are transformed into a reduced set of observations with exactly the same variance-covariance matrix and a representative distribution in the space. This approach improves the interpretability of score plots as well as allows the management of very large data sets without the necessity of potent hardware.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Principal Component Analysis (PCA) is a multivariate tool to approximate, in the least squares sense, a matrix of data by another matrix of lower rank. Because of this, PCA is useful to have an insight into the distribution of the observations in the data. With PCA, observations are visualized in the latent subspace using score plots. Thus, only a few latent variables containing most of the variability of interest are considered, instead of the potently large number of original variables. This approach is useful to find (and also interpret) outliers, clusters and distinct class-wise distributions in the data. Nonetheless, when the number of observations is very large, the score plots become blurred, losing its usefulness. Furthermore, when data contain several thousands or even millions of observations, PCA may be demanding in terms of computational time and memory to handle such matrices. This is many times the case in industrial processes. In this contribution, a clustering-based procedure to compress the observations in PCA is presented. The original observations are transformed into a reduced set of observations with exactly the same variance-covariance matrix and a representative distribution in the space. This approach improves the interpretability of score plots as well as allows the management of very large data sets without the necessity of potent hardware.
2009
Rodríguez-Gómez, Rafael Alejandro; Maciá-Fernández, Gabriel; García-Teodoro, Pedro; Díaz-Verdejo, Jesús Esteban
Defensas frente a ataques DoS a baja tasa contra servidores basadas en políticas de gestión de colas Proceedings Article
En: Actas de las VIII Jornadas de Ingeniería Telemática (JITEL 2009), pp. 46–53, 2009.
@inproceedings{Rodriguez-gomez2009,
title = {Defensas frente a ataques DoS a baja tasa contra servidores basadas en políticas de gestión de colas},
author = {Rafael Alejandro Rodríguez-Gómez and Gabriel Maciá-Fernández and Pedro García-Teodoro and Jesús Esteban Díaz-Verdejo},
year = {2009},
date = {2009-01-01},
booktitle = {Actas de las VIII Jornadas de Ingeniería Telemática (JITEL 2009)},
pages = {46--53},
abstract = {En este artículo se evalúa el uso de defensas contra ataques de denegación de servicio a baja tasa contra servidores basadas en políticas de gestión de colas y la viabilidad de su implementación. En un sistema real, para este último fin, se modifica el núcleo del sistema operativo Linux proporcionando un marco de trabajo que permite, de forma flexible y simplificada, la introducción del código que implementa las políticas citadas. Se propone una política de gestión de colas y se muestra que su implementación es factible en este núcleo modificado. Por último, se realizan una serie de pruebas con dicha política de gestión de colas y, a la luz de los resultados obtenidos, se comprueba que es eficaz frente a ataques DoS contra servidores, ya que mitiga sus efectos de forma considerable. Palabras},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
En este artículo se evalúa el uso de defensas contra ataques de denegación de servicio a baja tasa contra servidores basadas en políticas de gestión de colas y la viabilidad de su implementación. En un sistema real, para este último fin, se modifica el núcleo del sistema operativo Linux proporcionando un marco de trabajo que permite, de forma flexible y simplificada, la introducción del código que implementa las políticas citadas. Se propone una política de gestión de colas y se muestra que su implementación es factible en este núcleo modificado. Por último, se realizan una serie de pruebas con dicha política de gestión de colas y, a la luz de los resultados obtenidos, se comprueba que es eficaz frente a ataques DoS contra servidores, ya que mitiga sus efectos de forma considerable. Palabras
Delgado, A.; Estepa, A.; Troyano, J. A.; Estepa, R.
On the reusability of user interface declarative models Proceedings Article
En: pp. 313-318, Kluwer Academic Publishers, 2009, ISBN: 9781848822054, (cited By 0).
@inproceedings{Delgado2009313,
title = {On the reusability of user interface declarative models},
author = {A. Delgado and A. Estepa and J. A. Troyano and R. Estepa},
url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-84878905058&doi=10.1007%2f978-1-84882-206-1_29&partnerID=40&md5=7ffcc7ac506f13dee0480195df56562b},
doi = {10.1007/978-1-84882-206-1_29},
isbn = {9781848822054},
year = {2009},
date = {2009-01-01},
journal = {Computer-Aided Design of User Interfaces VI - Proceedings of the 7th International Conference on Computer-Aided Design of User Interfaces, CADUI 2008},
pages = {313-318},
publisher = {Kluwer Academic Publishers},
abstract = {The automatic generation of user interfaces based on declarative models achieves a significant reduction of the development effort. In this paper, we analyze the feasibility of using two well-known techniques such as XInclude and Packaging in the new context of reusing user-interface model specifications. After analyzing the suitability of each technique for UI reutilization and implementing both techniques in a real system, we show that both techniques are suited to be used within the context of today's existing model-based user interfaces. © Springer-Verlag London Limited 2009.},
note = {cited By 0},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
The automatic generation of user interfaces based on declarative models achieves a significant reduction of the development effort. In this paper, we analyze the feasibility of using two well-known techniques such as XInclude and Packaging in the new context of reusing user-interface model specifications. After analyzing the suitability of each technique for UI reutilization and implementing both techniques in a real system, we show that both techniques are suited to be used within the context of today's existing model-based user interfaces. © Springer-Verlag London Limited 2009.
Salazar-Hernández, R.; Díaz-Verdejo, J.
Generación de tráfico de ataque para la evaluación de sistemas de detección de intrusos Proceedings Article
En: Actas de las VIII Jornadas de Ingeniería Telemática (JITEL 2009), pp. 439–442, 2009.
@inproceedings{Salazar-Hernandez-jitel2009,
title = {Generación de tráfico de ataque para la evaluación de sistemas de detección de intrusos},
author = {R. Salazar-Hernández and J. Díaz-Verdejo},
year = {2009},
date = {2009-01-01},
booktitle = {Actas de las VIII Jornadas de Ingeniería Telemática (JITEL 2009)},
pages = {439--442},
abstract = {Los sistemas de detección de intrusos basados en red y detección de anomalías necesitan utilizar tráfico de red para realizar las fases de entrenamiento, prueba y validación. Este tráfico debe contener patrones de comportamiento normal y anómalo y representar adecuadamente el tráfico real. Sin embargo, no es fácil obtener un conjunto representativo de los ataques existentes. En este artículo se describen varias aproximaciones para obtener tráfico de ataques correspondientes al protocolo HTTP. Se han obtenido de varias fuentes la información los exploits necesarios para generar los ataques dentro de un entorno controlado. Las bases de datos así recopiladas han sido sometidas a evaluación con un sistema de detección de intrusos basado en red para analizar su comportamiento y calidad.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Los sistemas de detección de intrusos basados en red y detección de anomalías necesitan utilizar tráfico de red para realizar las fases de entrenamiento, prueba y validación. Este tráfico debe contener patrones de comportamiento normal y anómalo y representar adecuadamente el tráfico real. Sin embargo, no es fácil obtener un conjunto representativo de los ataques existentes. En este artículo se describen varias aproximaciones para obtener tráfico de ataques correspondientes al protocolo HTTP. Se han obtenido de varias fuentes la información los exploits necesarios para generar los ataques dentro de un entorno controlado. Las bases de datos así recopiladas han sido sometidas a evaluación con un sistema de detección de intrusos basado en red para analizar su comportamiento y calidad.
Díaz-Verdejo, J.; Maciá-Fernández, G.; García-Teodoro, P.; Nuño-García, J.
Anomaly detection in P2P networks using Markov modelling Proceedings Article
En: 1st International Conference on Advances in P2P Systems, AP2PS 2009, pp. 156–159, 2009, ISBN: 9780769538310.
@inproceedings{Diaz-Verdejo2009,
title = {Anomaly detection in P2P networks using Markov modelling},
author = {J. Díaz-Verdejo and G. Maciá-Fernández and P. García-Teodoro and J. Nuño-García},
doi = {10.1109/AP2PS.2009.32},
isbn = {9780769538310},
year = {2009},
date = {2009-01-01},
booktitle = {1st International Conference on Advances in P2P Systems, AP2PS 2009},
pages = {156--159},
abstract = {The popularity of P2P networks makes them an attractive target for hackers. Potential vulnerabilities in the software used in P2P networking represent a big threat for users and the whole community. To prevent and mitigate the risks, intrusion detection techniques have been traditionally applied. In this work in progress, a Markov based technique is applied to the detection of anomalies in the usage of P2P protocols. The detector searches for two kinds of anomalies: those that appear in the structure, grammar and semantics of each of the messages in the protocol, and those associated to the sequence of messages (protocol sessions). Previous results from other protocols, as HTTP and DNS, confirm the potentialities of the approach. textcopyright 2009 IEEE.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
The popularity of P2P networks makes them an attractive target for hackers. Potential vulnerabilities in the software used in P2P networking represent a big threat for users and the whole community. To prevent and mitigate the risks, intrusion detection techniques have been traditionally applied. In this work in progress, a Markov based technique is applied to the detection of anomalies in the usage of P2P protocols. The detector searches for two kinds of anomalies: those that appear in the structure, grammar and semantics of each of the messages in the protocol, and those associated to the sequence of messages (protocol sessions). Previous results from other protocols, as HTTP and DNS, confirm the potentialities of the approach. textcopyright 2009 IEEE.
Díaz-Verdejo, J.; García-Teodoro, P.; Maciá-Fernández, G.; Soriano-Ibáñez, M.
Environmental security in P2P networks Proceedings Article
En: 1st International Conference on Advances in P2P Systems, AP2PS 2009, pp. 138–143, 2009, ISBN: 9780769538310.
@inproceedings{Diaz-Verdejo2009a,
title = {Environmental security in P2P networks},
author = {J. Díaz-Verdejo and P. García-Teodoro and G. Maciá-Fernández and M. Soriano-Ibáñez},
doi = {10.1109/AP2PS.2009.29},
isbn = {9780769538310},
year = {2009},
date = {2009-01-01},
booktitle = {1st International Conference on Advances in P2P Systems, AP2PS 2009},
pages = {138--143},
abstract = {The great impact and growth of P2P networks in recent years make them an interesting target for hackers. But the development of P2P is aimed at improving the behavior of the networks, in computational terms, or to hide the transactions from observers. Security in P2P networks has been usually undervalued and not taken into account. This paper tries to highlight the major topics and challenges regarding P2P security, from a network infrastructure point of view (environmental security), providing some insights in current developments and available techniques that could be used to solve those problems. textcopyright 2009 IEEE.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
The great impact and growth of P2P networks in recent years make them an interesting target for hackers. But the development of P2P is aimed at improving the behavior of the networks, in computational terms, or to hide the transactions from observers. Security in P2P networks has been usually undervalued and not taken into account. This paper tries to highlight the major topics and challenges regarding P2P security, from a network infrastructure point of view (environmental security), providing some insights in current developments and available techniques that could be used to solve those problems. textcopyright 2009 IEEE.
2008
Estepa, A.; Estepa, R.; Campos, I.; Delgado, A.
Dimensioning aggregated voice traffic in MPLS nodes Proceedings Article
En: 2008, ISBN: 9783901882272, (cited By 1).
@inproceedings{Estepa2008,
title = {Dimensioning aggregated voice traffic in MPLS nodes},
author = {A. Estepa and R. Estepa and I. Campos and A. Delgado},
url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-51849141359&doi=10.1109%2fONDM.2008.4578394&partnerID=40&md5=e01e3ad9f878fb14ab9f08750b4406df},
doi = {10.1109/ONDM.2008.4578394},
isbn = {9783901882272},
year = {2008},
date = {2008-01-01},
journal = {ONDM 2008 - 12th Conference on Optical Network Design and Modelling},
abstract = {MPLS offers a efficient transport scheme and traffic engineering capabilities for real-time VoIP. However, at the transport plane, the bandwidth reserved for voice traffic is a key parameter necessary to ensure performance guarantees for VoIP communications. This paper addresses this important piece of traffic engineering: determining the bandwidth requirements for voice traffic aggregated. To achieve our goal we first define a model for a generic voice source which embodies any current type of voice source (which we name Generalized VoIP source). Then, we extend the fluid model with our new GVoIP source to obtain a loss and delay prediction for each multiplexer node. Finally, we design a simple but efficient dimensioning algorithm that provides the bandwidth requirement for a desired performance when multiplexing a number of homogeneous GVoIP sources. Using of dimensioning algorithm we compare the bandwidth requirements for two transport schemes VoIP over MPLS and VoMPLS. Results confirm that our extended multiplexing analytical model improves the estimation of the bandwidth requirement of a voice traffic trunk over MPLS, whereas any other on-off based dimensioning model is not valid for these kind of codecs.},
note = {cited By 1},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
MPLS offers a efficient transport scheme and traffic engineering capabilities for real-time VoIP. However, at the transport plane, the bandwidth reserved for voice traffic is a key parameter necessary to ensure performance guarantees for VoIP communications. This paper addresses this important piece of traffic engineering: determining the bandwidth requirements for voice traffic aggregated. To achieve our goal we first define a model for a generic voice source which embodies any current type of voice source (which we name Generalized VoIP source). Then, we extend the fluid model with our new GVoIP source to obtain a loss and delay prediction for each multiplexer node. Finally, we design a simple but efficient dimensioning algorithm that provides the bandwidth requirement for a desired performance when multiplexing a number of homogeneous GVoIP sources. Using of dimensioning algorithm we compare the bandwidth requirements for two transport schemes VoIP over MPLS and VoMPLS. Results confirm that our extended multiplexing analytical model improves the estimation of the bandwidth requirement of a voice traffic trunk over MPLS, whereas any other on-off based dimensioning model is not valid for these kind of codecs.
Maciá-Fernández, Gabriel; Díaz-Verdejo, Jesús E.; García-Teodoro, Pedro; Toro-Negro, Francisco De
LoRDAS: A low-rate DoS attack against application servers Proceedings Article
En: Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics), pp. 197–209, 2008, ISSN: 03029743.
@inproceedings{Macia-Fernandez2008a,
title = {LoRDAS: A low-rate DoS attack against application servers},
author = {Gabriel Maciá-Fernández and Jesús E. Díaz-Verdejo and Pedro García-Teodoro and Francisco De Toro-Negro},
doi = {10.1007/978-3-540-89173-4_17},
issn = {03029743},
year = {2008},
date = {2008-01-01},
booktitle = {Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics)},
volume = {5141 LNCS},
pages = {197--209},
abstract = {In a communication network, there always exist some specific servers that should be considered a critical infrastructure to be protected, specially due to the nature of the services that they provide. In this paper, a low-rate denial of service attack against application servers is presented. The attack gets advantage of known timing mechanisms in the server behaviour to wisely strike ON/OFF attack waveforms that cause denial of service, while the traffic rate sent to the server is controlled, thus allowing to bypass defense mechanisms that rely on the detection of high rate traffics. First, we determine the conditions that a server should present to be considered a potential victim of this attack. As an example, the persistent HTTP server case is presented, being the procedure for striking the attack against it described. Moreover, the efficiency achieved by the attack is evaluated in both simulated and real environments, and its behaviour studied according to the variations on the configuration parameters. The aim of this work is to denounce the feasibility of such attacks in order to motivate the development of defense mechanisms. textcopyright 2008 Springer-Verlag.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
In a communication network, there always exist some specific servers that should be considered a critical infrastructure to be protected, specially due to the nature of the services that they provide. In this paper, a low-rate denial of service attack against application servers is presented. The attack gets advantage of known timing mechanisms in the server behaviour to wisely strike ON/OFF attack waveforms that cause denial of service, while the traffic rate sent to the server is controlled, thus allowing to bypass defense mechanisms that rely on the detection of high rate traffics. First, we determine the conditions that a server should present to be considered a potential victim of this attack. As an example, the persistent HTTP server case is presented, being the procedure for striking the attack against it described. Moreover, the efficiency achieved by the attack is evaluated in both simulated and real environments, and its behaviour studied according to the variations on the configuration parameters. The aim of this work is to denounce the feasibility of such attacks in order to motivate the development of defense mechanisms. textcopyright 2008 Springer-Verlag.
Sánchez, L.; García, P.; Díaz, J.; Maciá, G.
Parametrización de anomalías en NIDS híbridos mediante etiquetado selectivo de contenidos Proceedings Article
En: Actas de las VII Jornadas de Ingeniería Telemática (JITEL 2008), pp. 49–56, 2008.
@inproceedings{Sanchez-jitel2008,
title = {Parametrización de anomalías en NIDS híbridos mediante etiquetado selectivo de contenidos},
author = {L. Sánchez and P. García and J. Díaz and G. Maciá},
year = {2008},
date = {2008-01-01},
booktitle = {Actas de las VII Jornadas de Ingeniería Telemática (JITEL 2008)},
pages = {49--56},
abstract = {En este artículo se presenta un procedimiento para la generación automática de firmas en sistemas NIDS híbridos. Con objeto de llevar a cabo una realimentación en bucle cer rado desde el módulo A-NIDS, basado en anomalías, al S-NIDS, basado en firmas, el tráfico clasificado como anómalo será analizado siguiendo un proceso estocástico. A resultas, se seleccionarán aquellas partes específicamente anómalas del tráfico, de las cuales se derivará una firma a incluir en la base de datos de patrones del S-NIDS. Antes de proceder a su inclusión efectiva, y con objeto de optimizar el espacio de firmas considerado, cada nueva firma generada será comparada, agrupada y suavizada, en su caso, con !"#$% '%()(*$#+%, -$ existentes. Aunque de carácter preliminar, la experimentación llevada a cabo hasta el momento evidencia un comportamiento prometedor del sistema global propuesto por los autores.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
En este artículo se presenta un procedimiento para la generación automática de firmas en sistemas NIDS híbridos. Con objeto de llevar a cabo una realimentación en bucle cer rado desde el módulo A-NIDS, basado en anomalías, al S-NIDS, basado en firmas, el tráfico clasificado como anómalo será analizado siguiendo un proceso estocástico. A resultas, se seleccionarán aquellas partes específicamente anómalas del tráfico, de las cuales se derivará una firma a incluir en la base de datos de patrones del S-NIDS. Antes de proceder a su inclusión efectiva, y con objeto de optimizar el espacio de firmas considerado, cada nueva firma generada será comparada, agrupada y suavizada, en su caso, con !"#$% '%()(*$#+%, -$ existentes. Aunque de carácter preliminar, la experimentación llevada a cabo hasta el momento evidencia un comportamiento prometedor del sistema global propuesto por los autores.
2007
Delgado, A.; Estepa, A.; Estepa, R.
WAINE;Automatic generator of web based applications Proceedings Article
En: pp. 226-233, 2007, (cited By 3).
@inproceedings{Delgado2007226,
title = {WAINE;Automatic generator of web based applications},
author = {A. Delgado and A. Estepa and R. Estepa},
url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-67650003983&partnerID=40&md5=840a43ba9b363abc3baa6a441bf1281e},
year = {2007},
date = {2007-01-01},
journal = {Webist 2007 - 3rd International Conference on Web Information Systems and Technologies, Proceedings},
volume = {WIA},
pages = {226-233},
abstract = {This paper presents WAINE (Web Application & INterface Engine), a system for quick web application development based on a novel architecture which provide multiple benefits like: zero programming, integrated security, high re-usability and many degrees of independence. The architecture is well suited for development of multi-user applications and is based on an abstract model which captures all the elements of a typical application. The sample applications developed validate the advantages of the proposed architecture.},
note = {cited By 3},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
This paper presents WAINE (Web Application & INterface Engine), a system for quick web application development based on a novel architecture which provide multiple benefits like: zero programming, integrated security, high re-usability and many degrees of independence. The architecture is well suited for development of multi-user applications and is based on an abstract model which captures all the elements of a typical application. The sample applications developed validate the advantages of the proposed architecture.
Salcedo, Fco Javier; Díaz-Verdejo, Jesús; Segura, José Carlos
Features extraction for music notes recognition using hidden markov models Proceedings Article
En: SIGMAP 2007 - International Conference on Signal Processing and Multimedia Applications, Proceedings, pp. 184–191, 2007.
@inproceedings{Salcedo2007,
title = {Features extraction for music notes recognition using hidden markov models},
author = {Fco Javier Salcedo and Jesús Díaz-Verdejo and José Carlos Segura},
doi = {10.5220/0002139301800187},
year = {2007},
date = {2007-01-01},
booktitle = {SIGMAP 2007 - International Conference on Signal Processing and Multimedia Applications, Proceedings},
pages = {184--191},
abstract = {In recent years Hidden Markov Models (HMMs) have been successfully applied to human speech recognition. The present article proves that this technique is also valid to detect musical characteristics, for example: musical notes. However, any recognition system needs to get a suitable set of parameters, that is, a reduced set of magnitudes that represent the outstanding aspects to classify an entity. This paper shows how a suitable parameterisation and adequate HMMs topology make a robust recognition system of musical notes. At the same time, the way to extract parameters can be used in other recognition technologies applied to music.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
In recent years Hidden Markov Models (HMMs) have been successfully applied to human speech recognition. The present article proves that this technique is also valid to detect musical characteristics, for example: musical notes. However, any recognition system needs to get a suitable set of parameters, that is, a reduced set of magnitudes that represent the outstanding aspects to classify an entity. This paper shows how a suitable parameterisation and adequate HMMs topology make a robust recognition system of musical notes. At the same time, the way to extract parameters can be used in other recognition technologies applied to music.
Toro, F. De; García-Teodoro, P.; Díaz-Verdejo, J. E.; Maciá-Fernández, G.
Computación evolutiva para selección pesada de características en sistemas de detección de intrusiones Proceedings Article
En: Actas del II Simposio sobre Seguridad informática (SSI'07), pp. 95–101, 2007, ISBN: 9788497326070.
@inproceedings{Toro2007,
title = {Computación evolutiva para selección pesada de características en sistemas de detección de intrusiones},
author = {F. De Toro and P. García-Teodoro and J. E. Díaz-Verdejo and G. Maciá-Fernández},
isbn = {9788497326070},
year = {2007},
date = {2007-01-01},
booktitle = {Actas del II Simposio sobre Seguridad informática (SSI'07)},
pages = {95--101},
abstract = {El presente trabajo aborda el uso de un algoritmo evolutivo con hacinamiento determinista para la selección pesada de características en un clasificador binario de k vecinas en el contexto del diseño optimizado de sistemas de detección de intrusiones basados en anomalías. La incorporación de una técnica de mantenimiento de diversidad (hacinamiento determinista) en el diseño del algoritmo evolutivo tiene como objeto potenciar la obtención de diferentes soluciones de optimización (subconjuntos de características), de manera que se flexibilice en lo posible la elección de las características a utilizar. El sistema se ha evaluado preliminarmente en una aplicación de detección de ataques de denegación de servicio.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
El presente trabajo aborda el uso de un algoritmo evolutivo con hacinamiento determinista para la selección pesada de características en un clasificador binario de k vecinas en el contexto del diseño optimizado de sistemas de detección de intrusiones basados en anomalías. La incorporación de una técnica de mantenimiento de diversidad (hacinamiento determinista) en el diseño del algoritmo evolutivo tiene como objeto potenciar la obtención de diferentes soluciones de optimización (subconjuntos de características), de manera que se flexibilice en lo posible la elección de las características a utilizar. El sistema se ha evaluado preliminarmente en una aplicación de detección de ataques de denegación de servicio.
Maciá-Fernández, G.; Díaz-Verdejo, J. E.; García-Teodoro, P.; López-Soler, J. M.; Muñoz, J. J. Ramos; Negro, F. De Toro; Gutiérrez, P. Ameigeiras; Ortiz, J. Navarro
Diseño e Implantación de un Laboratorio para la Docencia de Redes Telemáticas Proceedings Article
En: Actas de las VI Jornadas de Ingeniería Telemática (JITEL '07), pp. 593–596, 2007.
@inproceedings{Macia-jitel2007,
title = {Diseño e Implantación de un Laboratorio para la Docencia de Redes Telemáticas},
author = {G. Maciá-Fernández and J. E. Díaz-Verdejo and P. García-Teodoro and J. M. López-Soler and J. J. Ramos Muñoz and F. De Toro Negro and P. Ameigeiras Gutiérrez and J. Navarro Ortiz},
year = {2007},
date = {2007-01-01},
booktitle = {Actas de las VI Jornadas de Ingeniería Telemática (JITEL '07)},
pages = {593--596},
abstract = {The current paper presents the design of a laboratory targeted for educational purposes in telematic networks and technologies. The laboratory has been designed to offer a wide range of teaching possibilities in the disciplines of Wide Area Networks, Local Area Networks, switching and access technologies. It allows practical training in fields such as ATM, X.25, Frame Relay, LAN interconnection, network monitoring, WLAN, ISDN and telephony technologies. The design has been based on several criteria relevant for educational purposes. The result is a laboratory well suited to cover the aspects related to teaching telematics in a telecommunications engineering degree.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
The current paper presents the design of a laboratory targeted for educational purposes in telematic networks and technologies. The laboratory has been designed to offer a wide range of teaching possibilities in the disciplines of Wide Area Networks, Local Area Networks, switching and access technologies. It allows practical training in fields such as ATM, X.25, Frame Relay, LAN interconnection, network monitoring, WLAN, ISDN and telephony technologies. The design has been based on several criteria relevant for educational purposes. The result is a laboratory well suited to cover the aspects related to teaching telematics in a telecommunications engineering degree.
Díaz-Verdejo, J. E.; García-Teodoro, P.; Muñoz, P.; Maciá-Fernández, G.; Toro, F. De
Una aproximación basada en Snort para el desarrollo e implantación de IDS híbridos Proceedings Article
En: Actas de las VI Jornadas de Ingeniería Telemática (JITEL '07), pp. 151–158, 2007.
@inproceedings{Diaz-jitel2007,
title = {Una aproximación basada en Snort para el desarrollo e implantación de IDS híbridos},
author = {J. E. Díaz-Verdejo and P. García-Teodoro and P. Muñoz and G. Maciá-Fernández and F. De Toro},
year = {2007},
date = {2007-01-01},
booktitle = {Actas de las VI Jornadas de Ingeniería Telemática (JITEL '07)},
pages = {151--158},
abstract = {Apart from the modeling techniques, the development and deployment ofanomaly- based intrusion detection systems still faces two main problems. The ?rst one is related to the acquisition and handling of real tra?c to be used for training purposes. The second one concerns the better performance of signature-based IDS for known attacks. In this paper the authors propose the use of a modi?ed version of Snort which results in a hybrid detec- tor/classi?er. This version can be used both during the training phase of the anomaly-based system and as a deployed hybrid detector and tra?c sni?er. Furthermore, it can be adjusted to work just as signature-based, anomaly-based or both (hybrid) detector. On the other hand, this version can be used to directly sni?, classify and split the network tra?c according to its malicious nature, which eases the problems related to the acquisition and handling of training tra?c.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
Apart from the modeling techniques, the development and deployment ofanomaly- based intrusion detection systems still faces two main problems. The ?rst one is related to the acquisition and handling of real tra?c to be used for training purposes. The second one concerns the better performance of signature-based IDS for known attacks. In this paper the authors propose the use of a modi?ed version of Snort which results in a hybrid detec- tor/classi?er. This version can be used both during the training phase of the anomaly-based system and as a deployed hybrid detector and tra?c sni?er. Furthermore, it can be adjusted to work just as signature-based, anomaly-based or both (hybrid) detector. On the other hand, this version can be used to directly sni?, classify and split the network tra?c according to its malicious nature, which eases the problems related to the acquisition and handling of training tra?c.
García-Teodoro, Pedro; Díaz-Verdejo, Jesús E.; Maciá-Fernández, Gabriel; Toro-Negro, Francisco J.; Antas-Vilanova, Carlos
Detección Híbrida de Intrusiones en Red y Esquemas de Respuesta Activa Proceedings Article
En: Actas de las VI Jornadas de Ingeniería Telemática (JITEL '07), pp. 609–612, 2007.
@inproceedings{Garcia-jitel2007,
title = {Detección Híbrida de Intrusiones en Red y Esquemas de Respuesta Activa},
author = {Pedro García-Teodoro and Jesús E. Díaz-Verdejo and Gabriel Maciá-Fernández and Francisco J. Toro-Negro and Carlos Antas-Vilanova},
year = {2007},
date = {2007-01-01},
booktitle = {Actas de las VI Jornadas de Ingeniería Telemática (JITEL '07)},
pages = {609--612},
abstract = {This paper presents some proposals and contributions in network-based intrusion-related technologies. Two key points are discussed in this line: hybrid-based intrusion detection, and active response mechanisms. Both of the apsects, detection and response, will be studied as particular functional modules within a single intrusion platform.},
keywords = {},
pubstate = {published},
tppubtype = {inproceedings}
}
This paper presents some proposals and contributions in network-based intrusion-related technologies. Two key points are discussed in this line: hybrid-based intrusion detection, and active response mechanisms. Both of the apsects, detection and response, will be studied as particular functional modules within a single intrusion platform.