Multivariate Statistical Network Monitoring-Sensor: An effective tool for real-time monitoring and anomaly detection in complex networks and systems

Technology evolves quickly. Low-cost and ready-to-connect devices are designed to provide new services and applications. Smart grids or smart health care systems are some examples of these applications. In this totally connected scenario, some security issues arise due to the large number of devices and communications. In this way, new solutions for monitoring and detecting security events are needed to address new challenges brought about by this scenario, among others, the real-time requirement allowing quick security event detection and, consequently, quick response to attacks. In this sense, Intrusion Detection Systems are widely used though their evaluation often relies on the use of predefined network datasets that limit their application in real environments. In this work, a real-time and ready-to-use tool for monitoring and detecting security events is introduced. The Multivariate Statistical Network Monitoring-Sensor is based on the Multivariate Statistical Network Monitoring methodology and provides an alternative way for evaluating Multivariate Statistical Network Monitoring-based Intrusion Detection System solutions. Experimental results based on the detection of well-known attacks in hierarchical network systems prove the suitability of this tool for complex scenarios, such as those found in smart cities or Internet of Things ecosystem

Monitorización y selección de incidentes en seguridad de redes mediante EDA

Uno de los mayores retos a los que se enfrentan los sistemas de monitorización de seguridad en redes es el gran volumen de datos de diversa naturaleza y relevancia que deben procesar para su presentación adecuada al equipo administrador del sistema, tratando de incorporar la información semántica más relevante. En este artículo se propone la aplicación de herramientas derivadas de técnicas de análisis exploratorio de datos para la selección de los eventos críticos en los que el administrador debe focalizar su atención. Adicionalmente, estas herramientas son capaces de proporcionar información semántica en relación a los elementos involucrados y su grado de implicación en los eventos seleccionados. La propuesta se presenta y evalúa utilizando el desafío VAST 2012 como caso de estudio, obteniéndose resultados altamente satisfactorios.Este trabajo ha sido parcialmente financiado por el MICINN a través del proyecto TEC2011-22579

Defense techniques for low-rate DoS attacks against application servers

a b s t r a c t Low-rate denial of service (DoS) attacks have recently emerged as new strategies for denying networking services. Such attacks are capable of discovering vulnerabilities in protocols or applications behavior to carry out a DoS with low-rate traffic. In this paper, we focus on a specific attack: the low-rate DoS attack against application servers, and address the task of finding an effective defense against this attack. Different approaches are explored and four alternatives to defeat these attacks are suggested. The techniques proposed are based on modifying the way in which an application server accepts incoming requests. They focus on protective measures aimed at (i) preventing an attacker from capturing all the positions in the incoming queues of applications, and (ii) randomizing the server operation to eliminate possible vulnerabilities due to predictable behaviors. We extensively describe the suggested techniques, discussing the benefits and drawbacks for each under two criteria: the attack efficiency reduction obtained, and the impact on the normal operation of the server. We evaluate the proposed solutions in a both a simulated and a real environment, and provide guidelines for their implementation in a production system

UGR’16: Un nuevo conjunto de datos para la evaluación de IDS de red

[ES] La evaluación de algoritmos y técnicas para implementar sistemas de detección de intrusiones depende en gran medida de la existencia de conjuntos de datos (dataset) bien diseñados. En los últimos años, se ha realizado un gran esfuerzo para construir estos datasets. En este artículo se presenta un nuevo dataset que se construye con tráfico real y ataques actualizados. La principal ventaja de este conjunto de datos sobre los anteriores es su utilidad para la evaluación de IDSs que consideran la evolución a largo plazo y la periodicidad del tráfico. También permite entrenar y evaluar modelos que consideren las diferencias entre día/noche o entre días laborables/fines de semana.Este trabajo ha sido parcialmente financiado por el Gobierno Espanol-MINECO (Ministerio de Economía y Competitividad) y fondos FEDER, a traves del proyecto TIN2014-60346-RMaciá-Fernández, G.; Camacho, J.; Magán-Carrión, R.; Fuentes-García, M.; García-Teodoro, P.; Theron, R. (2018). UGR’16: Un nuevo conjunto de datos para la evaluación de IDS de red. En XIII Jornadas de Ingeniería telemática (JITEL 2017). Libro de actas. Editorial Universitat Politècnica de València. 71-78. https://doi.org/10.4995/JITEL2017.2017.6520OCS717

UGR’16: A New Dataset for the Evaluation of Cyclostationarity-Based Network IDSs

The evaluation of algorithms and techniques to implement intrusion detection systems heavily rely on the existence of well designed datasets. In the last years, a lot of efforts have been done towards building these datasets. Yet, there is still room to improve. In this paper, a comprehensive review of existing datasets is first done, making emphasis on their main shortcomings. Then, we present a new dataset that is built with real traffic and up-to-date attacks. The main advantage of this dataset over previous ones is its usefulness for evaluating IDSs that consider long-term evolution and traffic periodicity. Models that consider differences in daytime/night or weekdays/weekends can also be trained and evaluated with it. We discuss all the requirements for a modern IDS evaluation dataset and analyze how the one presented here meets the different needs

14 Un resumen de: Present and future of network security monitoring

NSM (Network Security Monitoring) es un término utilizado para referirse a la detección de incidentes de seguridad mediante la monitorización de eventos de red. Los sistemas NSM son esenciales para las seguridad en las redes actuales, dada la escalada en la sofisticación del cibercrimen. En este articulo se revisa el estado del arte de NSM y se deriva una nueva taxonomía de las funcionalidades y módulos de un sistema NSM. Esta taxonomía es útil para evaluar los desarrollos y herramientas actuales, tanto para investigadores como profesionales en ciberseguridad. Además, identificamos los retos de la aplicación de NSM en redes modernas, como son SDN (Software Defined Networks) e IoT (Internet of Things)

Overcoming detection rate bottlenecks in new QoS violation with combining HMM and information fusion theory

A novel detection scheme with combing HMM (Hidden Markov Models) and information fusion theory was proposed. First, the PSD (Power Spectral Density) features of both IPT (IP address-Port Triple) and WASPQ (Weighted Average Size of Packet in Queue) were calculated, which reflect the inherent periodicity of LDoS Attacks. Second, Two HMMs were constituted with these PSD features. Finally, the judgment result was determined by fusing the output results of HMMs based on Dempster-Shafer evidence theory. And it was applied to detect new QoS (Quality of Service) violation hidden in legitimate TCP/IP streams. In addition, Kaufman algorithm is used to dynamically adjust and upgrade threshold value. The experiments show that the detection scheme effectively reduces the false-positive rate and false-negative rate

48 IoT-as-a-Service: definición y retos tecnológicos

El internet de las cosas (Internet of Things, IoT) está tremendamente presente en nuestro mundo actual, por lo que es probable que surjan numerosos modelos de negocio a partir de este paradigma tan sumamente ubicuo. Uno de ellos es el modelo de negocio IoT-as-a-Service (IoTaaS), que ofrece dispositivos IoT bajo demanda, con un considerable ahorro de costes y optimización de recursos. Sin embargo, se debe considerar la seguridad cuidadosamente cuando se trata del IoT debido a sus particularidades. Este artículo presenta formalmente el modelo de negocio del IoT como servicio (IoTaaS) y analiza el problema de la seguridad mostrando algunos retos que afectan a este modelo de negocio y sus implicaciones de seguridad