Strategie obránce v bezpečnostních hrách s neznámými akcemi útočníka

Abstract

V této práci zkoumáme problém, se kterým se potýkají administrátoři počítačových sítí při snaze chránit svou síť před nepřátelskými útoky. Předpokládáme, že má obránce sítě možnost bránit útočníkově postupu pomocí falešných služeb zvaných honeypoty. Našim cílem je nalézt strategii rozmístění honeypotů, která maximalizuje využití útočníkových prostředků k infiltraci kritické infrastruktury. Velkým problémem však je, že si obránce nemusí být vědom všech služeb, které útočník může využít k pohybu v počítačové síti. Využíváme teorii her k modelování tohoto scénaře, v němž má útočník akce, o kterých obránce neví, a k nalezení optimálních strategií pro oba hráče. Porovnáváme výsledky obdržené na této doméně s výsledky obdrženými na doméně, kde mají oba hráči stejnou informaci o struktuře počítačové sítě. Zkoumáme změnu herní dynamiky těchto dvou her v závislosti na jejich velikosti a porovnáváme sílu strategií, jež jsou výstupy různých algoritmů. Upozorňujeme na problémy, které vznikají, při aplikaci strategie spočítané obráncem na základě jeho omezených informací. Navrhujeme několik způsobů, jak zvýšit sílu obráncovy strategie, a poukazujeme na jejich limitace. V poslední řadě zkoušíme dva postupy pro zlepšení obráncovy strategie a prezentujeme získané výsledky.

In this work, we examine a problem faced by computer network administrators defending their designated networks against adversarial attacks. We assume that the defender is able to hinder the attacker's progress by deploying deceptive services called honeypots. Our goal is to find an optimal allocation of honeypots that maximizes the resources required by the attacker to infiltrate a key host of the computer network. However, a major complication in this scenario is that the defender might be aware only of a limited amount of services that might be exploited by the attacker in the target network. We use game theory to model this scenario where the attacker has actions unknown to the defender and to find optimal strategies in such a setting. We compare the results obtained in this domain with the results obtained in a game where both the defender and the attacker have the same amount of information about the vulnerabilities in the computer network. We investigate how the game dynamics change between these two games in relation to the size of the game and compare the strength of the defender's policies received from different algorithms. We point out problems that arise when the defender deploys a policy computed using their limited information. We propose several ways of increasing the strength of the defender's strategy and highlight their limitations. Finally, we explore two of these proposed methods and present the acquired results.