Contribución a la automatización de sistemas de respuesta frente a intrusiones mediante ontologías

La seguridad en redes informáticas es un área que ha sido ampliamente estudiada y objeto de una extensa investigación en los últimos años. Debido al continuo incremento en la complejidad y sofisticación de los ataques informáticos, el aumento de su velocidad de difusión, y la lentitud de reacción frente a las intrusiones existente en la actualidad, se hace patente la necesidad de mecanismos de detección y respuesta a intrusiones, que detecten y además sean capaces de bloquear el ataque, y mitiguen su impacto en la medida de lo posible. Los Sistemas de Detección de Intrusiones o IDSs son tecnologías bastante maduras cuyo objetivo es detectar cualquier comportamiento malicioso que ocurra en las redes. Estos sistemas han evolucionado rápidamente en los últimos años convirtiéndose en herramientas muy maduras basadas en diferentes paradigmas, que mejoran su capacidad de detección y le otorgan un alto nivel de fiabilidad. Por otra parte, un Sistema de Respuesta a Intrusiones (IRS) es un componente de seguridad que puede estar presente en la arquitectura de una red informática, capaz de reaccionar frente a los incidentes detectados por un Sistema de Detección de Intrusiones (IDS). Por desgracia, esta tecnología no ha evolucionado al mismo ritmo que los IDSs, y la reacción contra los ataques detectados es lenta y básica, y los sistemas presentan problemas para ejecutar respuestas de forma automática. Esta tesis doctoral trata de hacer frente al problema existente en la reacción automática frente a intrusiones, mediante el uso de ontologías, lenguajes formales de especificación de comportamiento y razonadores semánticos como base de la arquitectura del sistema de un sistema de respuesta automática frente a intrusiones o AIRS. El objetivo de la aproximación es aprovechar las ventajas de las ontologías en entornos heterogéneos, además de su capacidad para especificar comportamiento sobre los objetos que representan los elementos del dominio modelado. Esta capacidad para especificar comportamiento será de gran utilidad para que el AIRS infiera la respuesta óptima frente a una intrusión en el menor tiempo posible. Abstract Security in networks is an area that has been widely studied and has been the focus of extensive research over the past few years. The number of security events is increasing, and they are each time more sophisticated, and quickly spread, and slow reaction against intrusions, there is a need for intrusion detection and response systems to dynamically adapt so as to better detect and respond to attacks in order to mitigate them or reduce their impact. Intrusion Detection Systems (IDSs) are mature technologies whose aim is detecting malicious behavior in the networks. These systems have quickly evolved and there are now very mature tools based on different paradigms (statistic anomaly-based, signature-based and hybrids) with a high level of reliability. On the other hand, Intrusion Response System (IRS) is a security technology able to react against the intrusions detected by IDS. Unfortunately, the state of the art in IRSs is not as mature as with IDSs. The reaction against intrusions is slow and simple, and these systems have difficulty detecting intrusions in real time and triggering automated responses. This dissertation is to address the existing problem in automated reactions against intrusions using ontologies, formal behaviour languages and semantic reasoners as the basis of the architecture of an automated intrusion response systems or AIRS. The aim is to take advantage of ontologies in heterogeneous environments, in addition to its ability to specify behavior of objects representing the elements of the modeling domain. This ability to specify behavior will be useful for the AIRS in the inference process of the optimum response against an intrusion, as quickly as possible.

Autonomous classification models in ubiquitous environments

Stream-mining approach is defined as a set of cutting-edge techniques designed to process streams of data in real time, in order to extract knowledge. In the particular case of classification, stream-mining has to adapt its behaviour to the volatile underlying data distributions, what has been called concept drift. Moreover, it is important to note that concept drift may lead to situations where predictive models become invalid and have therefore to be updated to represent the actual concepts that data poses. In this context, there is a specific type of concept drift, known as recurrent concept drift, where the concepts represented by data have already appeared in the past. In those cases the learning process could be saved or at least minimized by applying a previously trained model. This could be extremely useful in ubiquitous environments that are characterized by the existence of resource constrained devices. To deal with the aforementioned scenario, meta-models can be used in the process of enhancing the drift detection mechanisms used by data stream algorithms, by representing and predicting when the change will occur. There are some real-world situations where a concept reappears, as in the case of intrusion detection systems (IDS), where the same incidents or an adaptation of them usually reappear over time. In these environments the early prediction of drift by means of a better knowledge of past models can help to anticipate to the change, thus improving efficiency of the model regarding the training instances needed. By means of using meta-models as a recurrent drift detection mechanism, the ability to share concepts representations among different data mining processes is open. That kind of exchanges could improve the accuracy of the resultant local model as such model may benefit from patterns similar to the local concept that were observed in other scenarios, but not yet locally. This would also improve the efficiency of training instances used during the classification process, as long as the exchange of models would aid in the application of already trained recurrent models, that have been previously seen by any of the collaborative devices. Which it is to say that the scope of recurrence detection and representation is broaden. In fact the detection, representation and exchange of concept drift patterns would be extremely useful for the law enforcement activities fighting against cyber crime. Being the information exchange one of the main pillars of cooperation, national units would benefit from the experience and knowledge gained by third parties. Moreover, in the specific scope of critical infrastructures protection it is crucial to count with information exchange mechanisms, both from a strategical and technical scope. The exchange of concept drift detection schemes in cyber security environments would aid in the process of preventing, detecting and effectively responding to threads in cyber space. Furthermore, as a complement of meta-models, a mechanism to assess the similarity between classification models is also needed when dealing with recurrent concepts. In this context, when reusing a previously trained model a rough comparison between concepts is usually made, applying boolean logic. The introduction of fuzzy logic comparisons between models could lead to a better efficient reuse of previously seen concepts, by applying not just equal models, but also similar ones. This work faces the aforementioned open issues by means of: the MMPRec system, that integrates a meta-model mechanism and a fuzzy similarity function; a collaborative environment to share meta-models between different devices; a recurrent drift generator that allows to test the usefulness of recurrent drift systems, as it is the case of MMPRec. Moreover, this thesis presents an experimental validation of the proposed contributions using synthetic and real datasets.

Estudio y desarrollo de sensores de fibra óptica para detección de vibraciones en ductos ascendentes submarinos

En esta tesis doctoral se describe el trabajo de investigación enfocado al estudio y desarrollo de sensores de fibra óptica para la detección de presión, flujo y vibraciones en ductos ascendentes submarinos utilizados en la extracción y transporte de hidrocarburos, con el objetivo de aplicarlos en los campos de explotación de aguas profundas en el Golfo de México pertenecientes a la Industria Petrolera Mexicana. El trabajo se ha enfocado al estudio y desarrollo de sensores ópticos cuasi distribuidos y distribuidos. En especial se ha profundizado en el uso y aplicación de las redes de Bragg (FBG) y de reflectómetros ópticos en el dominio del tiempo sensible a la fase (φ-OTDR). Los sensores de fibra óptica son especialmente interesantes para estas aplicaciones por sus ventajosas características como su inmunidad a interferencias electromagnéticas, capacidad de multiplexado, fiabilidad para trabajar en ambientes hostiles, altas temperaturas, altas presiones, ambientes salino-corrosivos, etc. Además, la fibra óptica no solo es un medio sensor sino que puede usarse como medio de transmisión. Se ha realizado un estudio del estado del arte y las ventajas que presentan los sensores ópticos puntuales, cuasi-distribuidos y distribuidos con respecto a los sensores convencionales. Se han estudiado y descrito los interrogadores de redes de Bragg y se ha desarrollado un método de calibración útil para los interrogadores existentes en el mercado, consiguiendo incertidumbres en la medida de la longitud de onda menores de ± 88 nm e incertidumbres relativas (la mas interesante en el campo de los sensores) menores de ±3 pm. Centrándose en la aplicación de las redes de Bragg en la industria del petróleo, se ha realizado un estudio en detalle del comportamiento que presentan las FBGs en un amplio rango de temperaturas de -40 ºC a 500 oC. Como resultado de este estudio se han evaluado las diferencias en los coeficientes de temperatura en diversos tramos de mas mismas, así como para diferentes recubrimientos protectores. En especial se ha encontrado y evaluado las diferencias de los diferentes recubrimientos en el intervalo de temperaturas entre -40 ºC y 60 ºC. En el caso del intervalo de altas temperaturas, entre 100 ºC y 500 ºC, se ha medido y comprobado el cambio uniforme del coeficiente de temperatura en 1pm/ºC por cada 100 ºC de aumento de temperatura, en redes independientemente del fabricante de las mismas. Se ha aplicado las FBG a la medición de manera no intrusiva de la presión interna en una tubería y a la medición del caudal de un fluido en una tubería, por la medida de diferencia de presión entre dos puntos de la misma. Además se ha realizado un estudio de detección de vibraciones en tuberías con fluidos. Finalmente, se ha implementado un sistema de detección distribuida de vibraciones aplicable a la detección de intrusos en las proximidades de los ductos, mediante un φ-OTDR. En este sistema se ha estudiado el efecto negativo de la inestabilidad de modulación que limita la detección de vibraciones distribuidas, su sensibilidad y su alcance. ABSTRACT This thesis describes the research work focused for the study and development of on optical fiber sensors for detecting pressure, flow and vibration in subsea pipes used in the extraction and transportation of hydrocarbons, in order to apply them in deepwater fields in the Gulf of Mexico belonging to the Mexican oil industry. The work has focused on the study and development of optical sensors distributed and quasi distributed. Especially was done on the use and application of fiber Bragg grating (FBG) and optical reflectometers time domain phase sensitive (φ-OTDR). The optical fiber sensors especially are interesting for these applications for their advantageous characteristics such as immunity to electromagnetic interference, multiplexing capability, reliability to work in harsh environments, high temperatures, high pressures, corrosive saline environments, etc. Furthermore, the optical fiber is not only a sensor means it can be used as transmission medium. We have performed a study of the state of the art and the advantages offered by optical sensors point, quasi-distributed and distributed over conventional sensors. Have studied and described interrogators Bragg grating and has developed a calibration method for interrogators useful for the existing interrogators in the market, resulting uncertainty in the measurement of the wavelength of less than ± 0.17 nm and uncertainties (the more interesting in the field of sensors) less than ± 3 pm. Focusing on the application of the Bragg gratings in the oil industry, has been studied in detail the behavior of the FBGs in a wide range of temperatures from -40 °C to 500 oC. As a result of this study we have evaluated the difference in temperature coefficients over various sections of the same, as well as different protective coatings. In particular evaluated and found the differences coatings in the range of temperatures between -40 º C and 60 º C. For the high temperature range between 20 ° C and 500 ° C, has been measured and verified the uniform change of the temperature coefficient at 1pm / ° C for each 100 ° C increase in temperature, in networks regardless of manufacturer thereof. FBG is applied to the non-intrusive measurement of internal pressure in a pipeline and measuring flow of a fluid in a pipe, by measuring the pressure difference between two points thereof. Therefore, has also made a study of detecting vibrations in pipes with fluids. Finally, we have implemented a distributed sensing system vibration applied to intrusion detection in the vicinity of the pipelines, by φ-OTDR. In this system we have studied the negative effect of modulation instability limits the distributed vibration detection, sensitivity and scope.

Algoritmos de agrupación para flujos de datos en entornos centralizados y distribuidos

Los avances en el hardware permiten disponer de grandes volúmenes de datos, surgiendo aplicaciones que deben suministrar información en tiempo cuasi-real, la monitorización de pacientes, ej., el seguimiento sanitario de las conducciones de agua, etc. Las necesidades de estas aplicaciones hacen emerger el modelo de flujo de datos (data streaming) frente al modelo almacenar-para-despuésprocesar (store-then-process). Mientras que en el modelo store-then-process, los datos son almacenados para ser posteriormente consultados; en los sistemas de streaming, los datos son procesados a su llegada al sistema, produciendo respuestas continuas sin llegar a almacenarse. Esta nueva visión impone desafíos para el procesamiento de datos al vuelo: 1) las respuestas deben producirse de manera continua cada vez que nuevos datos llegan al sistema; 2) los datos son accedidos solo una vez y, generalmente, no son almacenados en su totalidad; y 3) el tiempo de procesamiento por dato para producir una respuesta debe ser bajo. Aunque existen dos modelos para el cómputo de respuestas continuas, el modelo evolutivo y el de ventana deslizante; éste segundo se ajusta mejor en ciertas aplicaciones al considerar únicamente los datos recibidos más recientemente, en lugar de todo el histórico de datos. En los últimos años, la minería de datos en streaming se ha centrado en el modelo evolutivo. Mientras que, en el modelo de ventana deslizante, el trabajo presentado es más reducido ya que estos algoritmos no sólo deben de ser incrementales si no que deben borrar la información que caduca por el deslizamiento de la ventana manteniendo los anteriores tres desafíos. Una de las tareas fundamentales en minería de datos es la búsqueda de agrupaciones donde, dado un conjunto de datos, el objetivo es encontrar grupos representativos, de manera que se tenga una descripción sintética del conjunto. Estas agrupaciones son fundamentales en aplicaciones como la detección de intrusos en la red o la segmentación de clientes en el marketing y la publicidad. Debido a las cantidades masivas de datos que deben procesarse en este tipo de aplicaciones (millones de eventos por segundo), las soluciones centralizadas puede ser incapaz de hacer frente a las restricciones de tiempo de procesamiento, por lo que deben recurrir a descartar datos durante los picos de carga. Para evitar esta perdida de datos, se impone el procesamiento distribuido de streams, en concreto, los algoritmos de agrupamiento deben ser adaptados para este tipo de entornos, en los que los datos están distribuidos. En streaming, la investigación no solo se centra en el diseño para tareas generales, como la agrupación, sino también en la búsqueda de nuevos enfoques que se adapten mejor a escenarios particulares. Como ejemplo, un mecanismo de agrupación ad-hoc resulta ser más adecuado para la defensa contra la denegación de servicio distribuida (Distributed Denial of Services, DDoS) que el problema tradicional de k-medias. En esta tesis se pretende contribuir en el problema agrupamiento en streaming tanto en entornos centralizados y distribuidos. Hemos diseñado un algoritmo centralizado de clustering mostrando las capacidades para descubrir agrupaciones de alta calidad en bajo tiempo frente a otras soluciones del estado del arte, en una amplia evaluación. Además, se ha trabajado sobre una estructura que reduce notablemente el espacio de memoria necesario, controlando, en todo momento, el error de los cómputos. Nuestro trabajo también proporciona dos protocolos de distribución del cómputo de agrupaciones. Se han analizado dos características fundamentales: el impacto sobre la calidad del clustering al realizar el cómputo distribuido y las condiciones necesarias para la reducción del tiempo de procesamiento frente a la solución centralizada. Finalmente, hemos desarrollado un entorno para la detección de ataques DDoS basado en agrupaciones. En este último caso, se ha caracterizado el tipo de ataques detectados y se ha desarrollado una evaluación sobre la eficiencia y eficacia de la mitigación del impacto del ataque. ABSTRACT Advances in hardware allow to collect huge volumes of data emerging applications that must provide information in near-real time, e.g., patient monitoring, health monitoring of water pipes, etc. The data streaming model emerges to comply with these applications overcoming the traditional store-then-process model. With the store-then-process model, data is stored before being consulted; while, in streaming, data are processed on the fly producing continuous responses. The challenges of streaming for processing data on the fly are the following: 1) responses must be produced continuously whenever new data arrives in the system; 2) data is accessed only once and is generally not maintained in its entirety, and 3) data processing time to produce a response should be low. Two models exist to compute continuous responses: the evolving model and the sliding window model; the latter fits best with applications must be computed over the most recently data rather than all the previous data. In recent years, research in the context of data stream mining has focused mainly on the evolving model. In the sliding window model, the work presented is smaller since these algorithms must be incremental and they must delete the information which expires when the window slides. Clustering is one of the fundamental techniques of data mining and is used to analyze data sets in order to find representative groups that provide a concise description of the data being processed. Clustering is critical in applications such as network intrusion detection or customer segmentation in marketing and advertising. Due to the huge amount of data that must be processed by such applications (up to millions of events per second), centralized solutions are usually unable to cope with timing restrictions and recur to shedding techniques where data is discarded during load peaks. To avoid discarding of data, processing of streams (such as clustering) must be distributed and adapted to environments where information is distributed. In streaming, research does not only focus on designing for general tasks, such as clustering, but also in finding new approaches that fit bests with particular scenarios. As an example, an ad-hoc grouping mechanism turns out to be more adequate than k-means for defense against Distributed Denial of Service (DDoS). This thesis contributes to the data stream mining clustering technique both for centralized and distributed environments. We present a centralized clustering algorithm showing capabilities to discover clusters of high quality in low time and we provide a comparison with existing state of the art solutions. We have worked on a data structure that significantly reduces memory requirements while controlling the error of the clusters statistics. We also provide two distributed clustering protocols. We focus on the analysis of two key features: the impact on the clustering quality when computation is distributed and the requirements for reducing the processing time compared to the centralized solution. Finally, with respect to ad-hoc grouping techniques, we have developed a DDoS detection framework based on clustering.We have characterized the attacks detected and we have evaluated the efficiency and effectiveness of mitigating the attack impact.

Desarrollo y aplicaciones de radares de alta resolución en bandas milimétricas

Las bandas de las denominadas ondas milimétricas y submilimétricas están situadas en la región del espectro entre las microondas y el infrarrojo. La banda de milimétricas se sitúa entre 30 y 300 GHz, considerada normalmente como la banda EHF (Extremely High Frequency). El margen de frecuencias entre 300 y 3000 GHz es conocido como la banda de ondas submilimétricas o de terahercios (THz). Sin embargo, no toda la comunidad científica está de acuerdo acerca de las frecuencias que limitan la banda de THz. De hecho, 100 GHz y 10 THz son considerados comúnmente como los límites inferior y superior de dicha banda, respectivamente. Hasta hace relativamente pocos años, la banda de THz sólo había sido explotada para aplicaciones en los campos de la espectroscopía y la radioastronomía. Los avances tecnológicos en la electrónica de microondas y la óptica lastraron el desarrollo de la banda de THz. Sin embargo, investigaciones recientes han demostrado las ventajas asociadas a operar en estas longitudes de onda, lo que ha aumentado el interés y los esfuerzos dedicados a la tecnología de THz. A pesar de que han surgido un gran número de aplicaciones, una de las más prometedoras está en el campo de la vigilancia y la seguridad. Esta tesis está dedicada al desarrollo de radares de onda continua y frecuencia modulada (CW-LFM) de alta resolución en la banda de milimétricas, más concretamente, en las ventanas de atenuación situadas en 100 y 300 GHz. Trabajar en estas bandas de frecuencia presenta beneficios tales como la capacidad de las ondas de atravesar ciertos materiales como la ropa o el papel, opacos en el rango visible, y la posibilidad de usar grandes anchos de banda, obteniéndose así elevadas resoluciones en distancia. Los anchos de banda de 9 y 27 GHz seleccionados para los sistemas de 100 y 300 GHz, respectivamente, proporcionan resoluciones en distancia alrededor y por debajo del cm. Por otro lado, las aplicaciones objetivo se centran en la adquisición de imágenes a corto alcance. En el caso del prototipo a 300 GHz, su diseño se ha orientado a aplicaciones de detección a distancia en escenarios de vigilancia y seguridad. La naturaleza no ionizante de esta radiación supone una ventaja frente a las alternativas tradicionalmente usadas tales como los sistemas de rayos X. La presente tesis se centra en el proceso de diseño, implementación y caracterización de ambos sistemas así como de la validación de su funcionamiento. Se ha elegido una solución basada en componentes electrónicos, y no ópticos, debido a su alta fiabilidad, volumen reducido y amplia disponibilidad de componentes comerciales. Durante el proceso de diseño e implementación, se han tenido en cuenta varias directrices tales como la minimización del coste y la versatilidad de los sistemas desarrollados para hacer posible su aplicación para múltiples propósitos. Ambos sistemas se han utilizado en diferentes pruebas experimentales, obteniendo resultados satisfactorios. Aunque son sólo ejemplos dentro del amplio rango de posibles aplicaciones, la adquisición de imágenes ISAR de modelos de blancos a escala para detección automática así como la obtención de datos micro-Range/micro- Doppler para el análisis de patrones humanos han validado el funcionamiento del sistema a 100 GHz. Por otro lado, varios ejemplos de imágenes 3D obtenidas a 300 GHz han demostrado las capacidades del sistema para su uso en tareas de seguridad y detección a distancia. ABSTRACT The millimeter- and submillimeter-wave bands are the regions of the spectrum between the microwaves and the infrared (IR). The millimeter-wave band covers the range of the spectrum from 30 to 300 GHz, which is usually considered as the extremely high frequency (EHF) band. The range of frequencies between 300 and 3000 GHz is known as the submillimeter-wave or terahertz (THz) band. Nevertheless, the boundaries of the THz band are not accepted by the whole research community. In fact, 100 GHz and 10 THz are often considered by some authors as the lower and upper limit of this band, respectively. Until recently, the THz band had not been exploited for practical applications, with the exception of minor uses in the fields of spectroscopy and radio astronomy. The advancements on microwave electronics and optical technology left the well-known THz gap undeveloped. However, recent research has unveiled the advantages of working at these frequencies, which has motivated the increase in research effort devoted to THz technology. Even though the range of upcoming applications is wide, the most promising ones are in the field of security and surveillance. Particularly, this Ph.D. thesis deals with the development of high resolution continuouswave linear-frequency modulated (CW-LFM) radars in the millimeter-wave band, namely, in the attenuation windows located at 100 and 300 GHz. Working at these wavelengths presents several benefits such as the ability of radiation to penetrate certain materials, visibly opaque, and the great availability of bandwidth at these frequencies, which leads to high range resolution. The selected bandwidths of 9 and 27 GHz for these systems at 100 and 300 GHz, respectively, result in cm and sub-cm range resolution. On the other hand, the intended applications are in the field of short-range imaging. In particular, the design of the 300-GHz prototype is oriented to standoff detection for security and surveillance scenarios. The non-ionizing nature of this radiation allows safety concerns to be alleviated, in clear contrast to other traditional alternatives such as X-rays systems. This thesis is focused on the design, implementation and characterization process of both systems as well as the experimental assessment of their performances. An electronic approach has been selected instead of an optical solution so as to take advantage of its high reliability, reduced volume and the availability of commercial components. Through the whole design and implementation process, several guidelines such as low cost and hardware versatility have been also kept in mind. Taking advantage of that versatility, different applications can be carried out with the same hardware concept. Both radar systems have been used in several experimental trials with satisfactory results. Despite being mere examples within the wide range of fields of application, ISAR imaging of scaled model targets for automatic target recognition and micro-Range/micro-Doppler analysis of human patterns have validated the system performance at 100 GHz. In addition, 3D imaging examples at 300 GHz demonstrate the radar system’s capabilities for standoff detection and security tasks.

Análisis de características estáticas de ficheros ejecutables para la clasificación de Malware

El Malware es una grave amenaza para la seguridad de los sistemas. Con el uso generalizado de la World Wide Web, ha habido un enorme aumento en los ataques de virus, haciendo que la seguridad informática sea esencial para todas las computadoras y se expandan las áreas de investigación sobre los nuevos incidentes que se generan, siendo una de éstas la clasificación del malware. Los “desarrolladores de malware” utilizan nuevas técnicas para generar malware polimórfico reutilizando los malware existentes, por lo cual es necesario agruparlos en familias para estudiar sus características y poder detectar nuevas variantes de los mismos. Este trabajo, además de presentar un detallado estado de la cuestión de la clasificación del malware de ficheros ejecutables PE, presenta un enfoque en el que se mejora el índice de la clasificación de la base de datos de Malware MALICIA utilizando las características estáticas de ficheros ejecutables Imphash y Pehash, utilizando dichas características se realiza un clustering con el algoritmo clustering agresivo el cual se cambia con la clasificación actual mediante el algoritmo de majority voting y la característica icon_label, obteniendo un Precision de 99,15% y un Recall de 99,32% mejorando la clasificación de MALICIA con un F-measure de 99,23%.---ABSTRACT---Malware is a serious threat to the security of systems. With the widespread use of the World Wide Web, there has been a huge increase in virus attacks, making the computer security essential for all computers. Near areas of research have append in this area including classifying malware into families, Malware developers use polymorphism to generate new variants of existing malware. Thus it is crucial to group variants of the same family, to study their characteristics and to detect new variants. This work, in addition to presenting a detailed analysis of the problem of classifying malware PE executable files, presents an approach in which the classification in the Malware database MALICIA is improved by using static characteristics of executable files, namely Imphash and Pehash. Both features are evaluated through clustering real malware with family labels with aggressive clustering algorithm and combining this with the current classification by Majority voting algorithm, obtaining a Precision of 99.15% and a Recall of 99.32%, improving the classification of MALICIA with an F-measure of 99,23%.

Análisis de ataques avanzados y sus técnicas de detección

Los ataques a redes de información son cada vez más sofisticados y exigen una constante evolución y mejora de las técnicas de detección. Para ello, en este proyecto se ha diseñado e implementado una plataforma cooperativa para la detección de intrusiones basada en red. En primer lugar, se ha realizado un estudio teórico previo del marco tecnológico relacionado con este ámbito, en el que se describe y caracteriza el software que se utiliza para realizar ataques a sistemas (malware) así como los métodos que se utilizan para llegar a transmitir ese software (vectores de ataque). En el documento también se describen los llamados APT, que son ataques dirigidos con una gran inversión económica y temporal. Estos pueden englobar todos los malware y vectores de ataque existentes. Para poder evitar estos ataques, se estudiarán los sistemas de detección y prevención de intrusiones, describiendo brevemente los algoritmos que se tienden a utilizar en la actualidad. En segundo lugar, se ha planteado y desarrollado una plataforma en red dedicada al análisis de paquetes y conexiones para detectar posibles intrusiones. Este sistema está orientado a sistemas SCADA (Supervisory Control And Data Adquisition) aunque funciona sobre cualquier red IPv4/IPv6, para ello se definirá previamente lo que es un sistema SCADA, así como sus partes principales. Para implementar el sistema se han utilizado dispositivos de bajo consumo llamados Raspberry PI, estos se ubican entre la red y el equipo final que se quiera analizar. En ellos se ejecutan 2 aplicaciones desarrolladas de tipo cliente-servidor (la Raspberry central ejecutará la aplicación servidora y las esclavas la aplicación cliente) que funcionan de forma cooperativa utilizando la tecnología distribuida de Hadoop, la cual se explica previamente. Mediante esta tecnología se consigue desarrollar un sistema completamente escalable. La aplicación servidora muestra una interfaz gráfica que permite administrar la plataforma de análisis de forma centralizada, pudiendo ver así las alarmas de cada dispositivo y calificando cada paquete según su peligrosidad. El algoritmo desarrollado en la aplicación calcula el ratio de paquetes/tiempo que entran/salen del equipo final, procesando los paquetes y analizándolos teniendo en cuenta la información de señalización, creando diferentes bases de datos que irán mejorando la robustez del sistema, reduciendo así la posibilidad de ataques externos. Para concluir, el proyecto inicial incluía el procesamiento en la nube de la aplicación principal, pudiendo administrar así varias infraestructuras concurrentemente, aunque debido al trabajo extra necesario se ha dejado preparado el sistema para poder implementar esta funcionalidad. En el caso experimental actual el procesamiento de la aplicación servidora se realiza en la Raspberry principal, creando un sistema escalable, rápido y tolerante a fallos. ABSTRACT. The attacks to networks of information are increasingly sophisticated and demand a constant evolution and improvement of the technologies of detection. For this project it is developed and implemented a cooperative platform for detect intrusions based on networking. First, there has been a previous theoretical study of technological framework related to this area, which describes the software used for attacks on systems (malware) as well as the methods used in order to transmit this software (attack vectors). In this document it is described the APT, which are attacks directed with a big economic and time inversion. These can contain all existing malware and attack vectors. To prevent these attacks, intrusion detection systems and prevention intrusion systems will be discussed, describing previously the algorithms tend to use today. Secondly, a platform for analyzing network packets has been proposed and developed to detect possible intrusions in SCADA (Supervisory Control And Data Adquisition) systems. This platform is designed for SCADA systems (Supervisory Control And Data Acquisition) but works on any IPv4 / IPv6 network. Previously, it is defined what a SCADA system is and the main parts of it. To implement it, we used low-power devices called Raspberry PI, these are located between the network and the final device to analyze it. In these Raspberry run two applications client-server developed (the central Raspberry runs the server application and the slaves the client application) that work cooperatively using Hadoop distributed technology, which is previously explained. Using this technology is achieved develop a fully scalable system. The server application displays a graphical interface to manage analytics platform centrally, thereby we can see each device alarms and qualifying each packet by dangerousness. The algorithm developed in the application calculates the ratio of packets/time entering/leaving the terminal device, processing the packets and analyzing the signaling information of each packet, reating different databases that will improve the system, thereby reducing the possibility of external attacks. In conclusion, the initial project included cloud computing of the main application, being able to manage multiple concurrent infrastructure, but due to the extra work required has been made ready the system to implement this funcionality. In the current test case the server application processing is made on the main Raspberry, creating a scalable, fast and fault-tolerant system.

Detection and Tracking of Dynamic Objects. A MultiRobot approach to Critical Infrastructures Surveillance.

Despite that Critical Infrastructures (CIs) security and surveillance are a growing concern for many countries and companies, Multi Robot Systems (MRSs) have not been yet broadly used in this type of facilities. This dissertation presents a novel study of the challenges arisen by the implementation of this type of systems and proposes solutions to specific problems. First, a comprehensive analysis of different types of CIs has been carried out, emphasizing the influence of the different characteristics of the facilities in the design of a security and surveillance MRS. One of the most important needs for the surveillance of a CI is the detection of intruders. From a technical point of view this problem can be abstracted as equivalent to the Detection and Tracking of Mobile Objects (DATMO). This dissertation proposes algorithms to solve this specific problem in a CI environment. Using 3D range images of the environment as input data, two detection algorithms for ground robots have been developed. These detection algorithms provide a list of moving objects in the robot detection area. Direct image differentiation and computer vision techniques are used when the robot is static. Alternatively, multi-layer ground reconstructions are compared to detect the dynamic objects when the robot is moving. Since CIs usually spread over large areas, it is very useful to incorporate aerial vehicles in the surveillance MRS. Therefore, a moving object detection algorithm for aerial vehicles has been also developed. This algorithm compares the real optical flow obtained from a down-face oriented camera with an artificial optical flow computed using a RANSAC based homography matrix. Two tracking algorithms have been developed to follow the moving objects trajectories. These algorithms can efficiently handle occlusions and crossings, as well as exchange information among robots. The multirobot tracking can be applied to any type of communication structure: centralized, decentralized or a combination of both. Even more, the developed tracking algorithms are independent of the detection algorithms and could be potentially used with other detection procedures or even with static sensors, such as cameras. In addition, using the 3D point clouds available to the robots, a relative localization algorithm has been developed to improve the position estimation of a given robot with observations from other robots. All the developed algorithms have been extensively tested in different simulated CIs using the Webots robotics simulator. Furthermore, the algorithms have also been validated with real robots operating in real scenarios. In conclusion, this dissertation presents a multirobot approach to Critical Infrastructure Surveillance, mainly focusing on Detecting and Tracking Dynamic Objects.