Ph.D.
Existe un creciente interés en el campo de la investigación en seguridad en redes de comunicación. En un mundo totalmente conectado como en el que nos encontramos, las amenazas contra la seguridad han provocado suplantaciones de identidad, robos de información y fraude financiero generalizados. El spam, spyware, malware y demás ataques causan graves problemas a empresas y consumidores, pudiendo ocasionar daños irreparables a la reputación o imagen de una marca. Estas razones hacen de estos ataques contra la información un negocio rentable, por lo que siguen evolucionando, adelantándose incluso a las defensas más avanzadas y dando lugar a un creciente número de sofisticados modelos comerciales de ciberdelincuencia.
De este modo, se hace imprescindible llevar a cabo la detección de intrusiones y anomalías en sistemas en red. Entendiendo por intrusión la ejecución exitosa de un ataque, el objetivo de los Sistemas de Detección de Intrusiones o IDS's (Intrusion Detection Systems) es la determinación de aquellos eventos y actividades que suponen un riesgo para el entorno a proteger. Una vez determinada la existencia de una circunstancia maliciosa/anómala, se debería proporcionar una respuesta adecuada frente a dicho evento, para lo cual es necesario desarrollar mecanismos que permitan la interoperación entre los distintos módulos defensivos.
En este marco general, la investigación que he desarrollado se focaliza principalmente en el diseño, desarrollo e implementación de sistemas de detección y respuesta frente a intrusiones. En concreto, sistemas para un en un tipo particular de redes inalámbricas, denominadas redes ad hoc. Bajo este paradigma de comunicación, las redes desplegadas carecen de infraestructura fija o administración centralizada, estándo compuestas por distintos dispositivos móviles (comúnmente denominados nodos), localizados en un área geográfica determinada y que emplean una estrategia multi-salto para comunicarse entre sí. Debido a su propia naturaleza ad hoc, son numerosas las amenazas a la seguridad inherentes a este tipo de entornos, algunas específicas de estas redes y otras más genéricas, pero que afectan igualmente.
En concreto, he desarrollado esquemas de detección frente a ataques de dropping, en los que el nodo malicioso se encarga de descartar el tráfico recibido (de forma total, parcial, selectiva, ...). Para ello se modela analíticamente el proceso de retransmisión en estas redes, lo que permite, mediante el cálculo de una heurística sencilla, distinguir los ataques reales de otras posibles causas legítimas para el descarte, como colisiones, errores en el canal o la propia movilidad de los nodos.
También he desarrollado sistemas para la detección de ataques sinkhole, consistentes en el envío de información de routing falsa con la intención de atraer el tráfico circundante. Estos sistemas se basan en la recopilación distribuida de la información proporcionada por los vecinos, lo que permitirá detectar incoherencias en las rutas y, en consecuencia, detectar este tipo de ataques.
En relación con la interoperación entre los módulos defensivos, he participado activamente (junto con otros compañeros de NESG) en el desarrollo de NETA (NETwork Attacks), un framework de simulación basado en la herramienta OMNeT++ que permite la implementación de ataques y defensas para su evaluación bajo las mismas condiciones, siendo posible su utilización como herramienta de benchmarking. NETA ha sido liberado mediante código abierto, y está disponible en la propia web del simulador.
Leovigildo Sánchez Casado, "Detección de intrusiones multi-capa basada en anomalías en entornos MANET"
A. Ruiz-Heras, P. García-Teodoro y L. Sánchez-Casado. ADroid: anomaly-based detection of malicious events in Android platforms. International Journal of Information Security (Springer), online (DOI: 10.1007/s10207-016-0333-1)
S. Salah, G. Maciá-Fernández, J.E. Díaz-Verdejo y L. Sánchez-Casado. A Model for Incident Tickets Correlation in Network Management. Journal of Network and Systems Management (Springer), Vol. 24:1, pp. 57-91 (DOI: 10.1007/s10922-014-9340-6)
R.A. Rodríguez-Gómez, G. Maciá-Fernández, L. Sánchez-Casado y P. García-Teodoro. Analysis and Modeling of Resources Shared in the BitTorrent Network. Transactions on Emerging Telecommunications Technologies (Wiley), Vol. 26:10, pp. 1189-1200 (DOI: 10.1002/ett.2859)
L. Sánchez-Casado, G. Maciá-Fernández, P. García-Teodoro y N. Aschenbruck. Identification of Contamination Zones for Sinkhole Detection in MANETs. Journal of Network and Computer Applications (Elsevier), Vol. 54, pp. 62-77 (DOI: 10.1016/j.jnca.2015.04.008)
L. Sánchez-Casado, G. Maciá-Fernández y P. García-Teodoro. A Model of Data Forwarding in MANETs for Lightweight Detection of Malicious Packet Dropping. Computer Networks (Elsevier), Vol. 87, pp. 44-58 (DOI: 10.1016/j.comnet.2015.05.012)
P. García-Teodoro, J.E. Díaz-Verdejo, G. Maciá-Fernández, L. Sánchez-Casado. Network-based Hybrid Detection and Honeysystems as Active Reaction Scheme. International Journal of Computer Science and Network Security (IJCSNS), Vol. 7:10, pp. 62-70 (Web: ijcsns-oct-2007)
P. García-Teodoro, L. Sánchez-Casado y G. Maciá-Fernández. Taxonomy and Holistic Detection of Security Attacks in MANETs. Security for Multihop Wireless Networks, S. Khan y J. Lloret (Eds.), CRC Press, pp. 1-12, 2014 (DOI: 10.1201/b16754-3)
L. Sánchez-Casado, R. Magán-Carrión, P. García-Teodoro y J.E. Díaz-Verdejo. Defenses Against Packet Dropping Attacks in Wireless Multihop Ad Hoc Networks. Security for Multihop Wireless Networks, S. Khan y J. Lloret (Eds.), CRC Press, pp. 377-400, 2014 (DOI: 10.1201/b16754-18)
L. Sánchez-Casado, G. Maciá-Fernández, P. García-Teodoro y N. Aschenbruck.
A Novel Collaborative Approach for Sinkhole Detection in MANETs.
Workshop on Security in Ad-Hoc Networks (SecAN), en conjunción con AdHocNow,
Benidorm (España), Junio 2014.
Springer Lecture Notes in Computer Science, Vol. 8629, pp. 123-136 (DOI: 10.1007/978-3-662-46338-3_11)
L. Sánchez-Casado, R.A. Rodríguez-Gómez, R. Magán-Carrión y G. Maciá-Fernández.
NETA: Evaluating the effects of NETwork Attacks. MANETs as a case study.
Advances in Security of Information and Communication Networks (SecNet),
El Cairo (Egipto), Sept. 2013.
Springer Communications in Computer and Information Science, Vol. 381, pp. 1-10 (DOI: 10.1007/978-3-642-40597-6_1)
L. Sánchez-Casado, G. Maciá-Fernández y P. García-Teodoro. An Efficient Cross-Layer Approach for Malicious Packet Dropping Detection in MANETs. 11th IEEE International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), pp. 231-238, Liverpool (Reino Unido), Junio 2012 (DOI: 10.1109/TrustCom.2012.75)
L. Sánchez-Casado, R. Magán-Carrión, P. Garrido-Sánchez y P. García-Teodoro. Protocolo para la Notificación y Alerta de Eventos de Seguridad en Redes Ad-hoc. XIII Reunión Española sobre Criptología y Seguridad de la Información (RECSI), pp. 321-326, Alicante (España), Sept. 2014.
L. Sánchez-Casado, G. Maciá-Fernández y P. García-Teodoro. Indicadores de Ataques Sinkhole en MANETs. XI Jornadas de Ingeniería Telemática (JITEL), pp. 475-480, Granada (España), Oct. 2013.
L. Sánchez-Casado, R.A. Rodríguez-Gómez, R. Magán-Carrión y G. Maciá-Fernández. NETA: un Framework para Simular y Evaluar Ataques en Redes Heterogéneas. MANETs como Caso de Estudio. XI Jornadas de Ingeniería Telemática (JITEL), pp. 487-492, Granada (España), Oct. 2013.
L. Sánchez-Casado, G. Maciá-Fernández y P. García-Teodoro. Multi-Layer Information for Detecting Malicious Packet Dropping Behaviors in MANETs. XII Reunión Española sobre Criptología y Seguridad de la Información (RECSI), pp. 57-62, San Sebastián (España), Sept. 2012.
L. Sánchez-Casado, G. Maciá-Fernández y P. García-Teodoro. Caracterización de Servicios en Redes Ad-Hoc Inalámbricas mediante Métricas Cross-Layer. X Jornadas de Ingeniería Telemática (JITEL), pp. 381-384, Santander (España), Sept. 2011.
L. Sánchez-Casado, P. García-Teodoro J.E. Díaz-Verdejo y G. Maciá-Fernández. Parametrización de Anomalías en NIDS Híbridos Mediante Etiquetado Selectivo de Contenidos. VII Jornadas de Ingeniería Telemática (JITEL), pp. 49-56, Alcalá de Henares (España), Sept. 2008.
