数据驱动的风险量化,实现主动安全萨维诺·丹布拉引用此版本:Savino Dambra数据驱动的风险量化,实现主动安全。密码学与安全[CS.CR]。索邦大学,2021年。英语NNT:2021SORUS356。电话:03576863HAL Id:tel-03576863https://theses.hal.science/tel-035768632022年2月16日提交HAL是一个多学科的开放获取档案馆,用于存放和传播科学研究文件,无论它们是否已这些文件可能来自法国或国外的教学和研究机构,或来自公共或私人研究中心。L’archive ouverte pluridisciplinaire这些DE DOCTORAT DESORBONNE大学为欧洲经济委员会准备的巴黎高等教育博士学校,编号:ED352专业:《信息、电信和电子》Sujet de la thèse:数据驱动的风险量化,实现主动安全Thèse presésentée et soutenue à Biot,le36/34/4243,par萨维诺·丹布拉报告员Juan Caballero教授Tudor A. 杜米特拉托马里兰大学软件学院考官Giovanni Lagorio教授Università degli studi diGenova SAP Security ResearchDirecteur de thèseDavide BalzarottiEURECOMCo-directeur de thèseLeyla Bilge诺顿研究集团简历这些东西是世界上最珍贵的资源之一,因为它们是新的石油这些战略的基础是关于消费者的,它反映了消费者分析的测量目标、事实和信息,这些战略在今天的社会和工业界是一种规范,它帮助企业了解市场的实际情况,调整生产过程,提高全球的生产效率网络安全也不例外。 此外,所收集的数据可能包括可利用的信息和可能帮助组织防范网络安全风险的独立目标,并可能通过采取主动措施来帮助组织解决不确定性问题。Néanmoins,la faisabilité et在这一点上,我们列举了在网络安全紧急领域中的网络风险量化和背景因素的主要内容我们将继续研究这些问题,并提出多个研究方向,但不一定需要系统安全专家的专门知识Noussélectionnonsensuiteetexplorescertainesdesquestionssoulevées.Nous évaluons因此,我们认为收集我们对摘要数据是世界上最有价值的资源之一,以至于成为新的石油。基于数据分析得出的客观指标、事实和见解的数据驱动战略已成为当今社会和工业世界的主流,因为它们有助于企业了解当前的市场需求,调整生产流程并提高其整体效率。网络安全也不例外。遥测数据的分析可以帮助组织检测网络威胁,未经授权的入侵,恶意软件感染,这是对网络事件做出快速和全面反应的基础更重要的是,收集的数据可以提供可操作的信息和客观指标,帮助组织预测其网络安全风险,并通过采取主动措施避免不良事件。然而,主动措施的可行性和有效性取决于一系列挑战:如何量化特定实体的网络风险,可以使用哪些可靠的指标来预测这些风险,以及可以从哪些数据源提取这些风险?首先,在这篇论文中,我们列举了从业者和研究人员在试图量化网络风险并将其纳入新兴的网络保险领域时所面临的挑战然后,我们回顾了以前的研究,着眼于这个主题,并提出了几个研究方向和未解决的问题,需要系统安全专家的领域专业知识。然后,我们选择并开始探索我们的分析所提出的一些问题。我们评估了不同的安全措施和安全态势对恶意软件感染风险的影响,并在调查这些风险的系统性时评估了9个主机提取指标的良好性最后,我们提供了证据的重要性,数据源选择与整体的方法对风险测量。通过查看网络跟踪,我们证明了在试图通过排除用户的角度来量化隐私风险时,隐私风险是如何被低估的内容1介绍13.3问题陈述。. . . . . . . . . . . . . . . . . . . . . . .53. 4 贡献和论文大纲。 . . . . . . . . . . . . . . .63.5道德考量. . . . . . . . . . . . . . . . . . . . .8z背景4.3从保险到网络保险。. . . . . . . . . . . . . .4.4恶意软件感染风险。. . . . . . . . . . . . . . . . . . . .y:354.4.3感染景观。. . . . . . . . . . . . . . . . . . .354.4.4风险指标。. . . . . . . . . . . . . . . . . . . . .36四、5网络跟踪风险.........................................................................................$网络保险背景五点三五点四五点五五点六五点七导论. . . . . . . . . . . . . . . . . . . . . . . . . . . .425.3.3为什么这项研究很重要?. . . . . . . . . . . . . . . .42网络保险文献系统化。. . . . . . . . . .445.4.3网络风险管理的方法和技术465.4.4网络保险与博弈论. . . . . . . . . .四:5.4.5经济学视角. . . . . . . . . . . . . .4;五、四、6从风险评估到风险预测。 . . . . . . .555.4.7讨论。. . . . . . . . . . . . . . . . . . . . . . . .57挑战和开放的研究方向。. . . . . . . . . .595.5.3领域3:风险预测。. . . . . . . . . . . . . . . .595.5.4领域4:自动化数据收集。. . . . . . . . .655.5.5领域5:灾难建模。. . . . . . . . . . . .675.5.6领域6:法医分析。. . . . . . . . . . . . . . .69第二部分4消费者和企业环境中遭遇恶意软件的系统性和系统性风险比较51六点三六点四六点五六点六六点七5当数据重要时:从用户的角度进行Web跟踪7.3导言;27.3.3为什么这项研究很重要;27.4数据来源和方法;47.4.3网络浏览遥测;47.4.4网站追踪器;47.4.5网站类别和风险;57.4.6追踪者关系;67.5数据集统计;77.5.3数据集限制;:7.6站在用户7.6.3用户需要多长时间才能遇到跟踪器?的情况。导论. . . . . . . . . . . . . . . . . . . . . . . . . . . .746.3.3系统性vs系统性。 . . . . . . . . . . . . . . . .746.3.4为什么这项研究很重要?. . . . . . . . . . . . . . . .75数据集。. . . . . . . . . . . . . . . . . . . . . . . . . . . . .766.4.3消费者与企业. . . . . . . . . . . . . . .766.4.4主机活动和文件外观。. . . . . . . . . . .776.4.5恶意软件遭遇。. . . . . . . . . . . . . . . . . .78第六章四、6企业行业。. . . . . . . . . . . . . .796.4.7选择偏差. . . . . . . . . . . . . . . . . . . . . .第七章:恶意软件特异性。. . . . . . . . . . . . . . . . . . . . . . .836.5.3总体情况。. . . . . . . . . . . . . . . . . . . . .836.5.4恶意软件子类的分布。. . . . . . . . . .856.5.5遇到恶意软件的年龄。. . . . . . . . . . . . . .866.5.6行为特征、广告软件和潜在的不需要的应用(PUA)流行率。. . . . . . . . . . . .87不可分散风险分析。. . . . . . . . . . . . . . . . . .896.6.3模型生成。. . . . . . . . . . . . . . . . . . . .896.6.4基于时间的活动。. . . . . . . . . . . . . . . . . .926.6.5基于文件的活动。. . . . . . . . . . . . . . . . . . .946.6.6软件供应商. . . . . . . . . . . . . . . . . . . .956.6.7重复玩家。. . . . . . . . . . . . . . . . . . . . .98内容7.6.4不同的访问网站之间是否存在相关性遇到了追踪者........................................................................3247.6.5用户遇到相同跟踪器的频率如何?3277.7跟踪器的知识3287.7.3追踪者对你了解多少............................................................ 3327.7.4追踪者能通过跟踪系统了解你多少?................................ 3327.7.5哪些类型的敏感信息可以获得你?.................................... 3367.7.6什么是最佳跟踪策略?........................................................ 3387.8第33章:一个女人7.8.3用户可以做些什么来保护自己?........................................3427.9结论3436未来的工作和结论1z$8.3未来的工作3468.4结论347图目录4.3在网络场景中扩展的经典保险流程工作流;五、3.............................................................................................................网络保险研究领域...................................................................................................456.3不同子类数的累积分布每主机866.4面向消费者和企业的勒索软件和矿工趋势866.5每年创建的不同签名的平均数量。 876.6消费者和进入者行为特征的流行率-prisemachines价格机886.7PUA和广告软件签名在消费者和企业机器中的流行率886.8活动天数和时间对恶意软件计数器的不连续影响936.9活动天数和小时数对恶意软件危害的共同影响ters93第六章:....................................................................................................文件对恶意软件的影响.............................................................................................956.安装的不同供应商数量之间的关系以及遇到恶意软件的主机。...............................................................966.32 前322个行为特征、PUA和广告软件以及其余恶意软件家族的细分。九:6.33 企业规模与遭遇恶意软件的主机比例之间的关系,针对任何主机和在我们实验的34个,6.34 企业规模与劳动力比重的关系遇到恶意软件的主机............................................................................57.3我们数据集中所有用户的平均活跃天数和平均每天活跃小时数的概述。;87.4新追踪器的累积和每日分发,每小时活动次数3227.5每个新网站的平均新跟踪器数量3237.6访问网站的数量和遇到的跟踪器之间的相关性趋势3257.7UO和LO的网站信誉分布3267.8UO和LO的网站风险评分分布3277.9根据cookie清理的频率(浏览小时数和天数)删除的跟踪器百分比。.....................................................................................................3297.:根据cookie清理的频率(浏览的网站)删除的跟踪器的百分比。....................... 329第七章;通过整理可能带来历史收益.......................................................32:7.32 在没有和有信息共享的情况下,直接出现在用户历史中最多的跟踪器的已知历史百分比分布。.........................................................3327.33 8个敏感类别的已知历史百分比,顶级追踪者.........................................................................................3347.34 敏感类别和顶级类别之间的关系3377.35 关键网站上的最佳跟踪策略与他们的前7K网站33:表的列表5.3风险登记册:固有风险剩余风险495.4预测工作。. . . . . . . . . . . . . . . . . . . . . .546.3使用的数据集概述。. . . . . . . . . . . . . . . . . . .776.4每个国家的东道国分布情况。. . . . . . . . . . . . . . . .786.5各大洲的主机分布。. . . . . . . . . . . . . . . .78第六章6恶意软件类分组。. . . . . . . . . . . . . . . . . . .796.7一般部门统计。. . . . . . . . . . . . . . . . . . . .第七章:6.8最常见的恶意软件签名和消费者类和企业..................................................................................................826.9根据我们的回归,遇到恶意软件的几率型号8:第六章:....................................................................................................Top-42消费者和企业的服务提供者.........................................................................976.;针对消费者的恶意软件类别的地理细分996.32 企业恶意软件类别的地理分布996.33 根据我们的回归,遇到恶意软件的几率企业规模和工业部门的模型27.35.美国、法国、巴西和澳大利亚跟踪器检测到的抓取网站的比较总结7.4各大洲及其排名前5位的国家/地区概览我们数据集中的用户百分比..............................................................;77.5我们数据集中的敏感和前32个类别概述;97.6参与跟踪的前42家公司的覆盖范围概述在我们的数据集中;:7.7Zero-Tracker网站百分比和风险得分的顶部和底部2跟踪类别3287.8根据频率(浏览时间)排名前7位的跟踪器的外观。............................................................................................ 三十二:7.9上(下)部分:顶部和底部7个关系排序通过上升重叠(下降增益)32;7.:敏感网站在用户历史第七章Sensiti veebsiteaveragenumberoftrackersinusers'historyy. 3357.327 K关键网站中的前32位流行率:跟踪器和cat-egory339术语表AI人工智能AIC赤池信息准则AV防病毒ANOVA方差分析BGP边界网关协议加州消费者隐私法CDPChrome调试协议CISO首席信息安全官DNS域名系统拒绝服务EIOPA欧洲保险和职业养老金管理局FMEA失效模式与效应分析GDPR通用数据保护条例GLM广义线性模型HAZOP危险和可操作性分析HTTP超文本传输协议ICT信息和通信技术IT信息技术IoT物联网IoU在并集IP网际协议ISO国际标准化ISP互联网服务提供商PPI按安装付费PCS平台控制系统PUA潜在无用应用PUP潜在无用程序SoK知识系统化SRG软件可靠性增长TPR真阳性率VPN虚拟专用网第1介绍3zz现代社会高度依赖信息和通信技术(ICT)。几乎无法想象没有技术的生活会是什么样子,因为我们所做的几乎所有事情都涉及使用电子设备并需要互联网接入。随着技术的使用增加,并在每个部门都变得多倍,它产生的原始信息的数量也增加了,并且被收集和存储:根据最近的一份报告[;9],我们创造了4。每天都有70亿GB的数据,仅在过去两年中,全球就有2%的数据被创建毫不奇怪,数据是世界上最有价值的资源之一-在某种程度上成为新的石油[322]-原因很简单:将原始数据转化为有意义的信息可以为企业提供大量有价值的见解,以便监控其绩效,实现目标并达到目标。数据驱动战略基于从数据中收集的客观指标,事实和见解来驱动战略业务决策,已成为当今社会和工业世界的主流例如,数据分析对于了解当前的市场格局,改变生产流程并触发符合市场需求的新产品的创建至关重要;同样,事先获得的客户需求知识使营销活动更容易,更好地导向,以及定制广告以解决整个客户组合的特定部分;数据分析还可以为其他潜在的盈利机会或解决问题铺平道路并提高整体运营效率。网络安全也不例外。通过日常使用软件产生的大量数据,由企业网络上的监控工具收集,由来自世界各地的用户在网络上产生,并由数据分析师进一步审查,可以用于检测网络安全威胁并在安全事件发生时发出警报在这方面,数据分析可以帮助组织检测潜在的欺诈、具有异常网络流量模式的未经授权的入侵、恶意软件感染、硬件故障、数据泄漏和安全漏洞。高效的数据监控系统是早期威胁识别、损害预防、业务中断限制以及对不良事件快速反应的基础此外,数据可以提供可操作的信息和客观指标,帮助企业预测其网络安全风险,并从被动转为主动。 如今,主动网络安全越来越重要,通过增加事件避免和预防,对当前的风险管理方法进行了补充
