بهبود مدل گرافِ تحليل مناقشه مبتني بر تحليل آماري گرافِ بازي مطالعه موردي: اقدامات بدافزارها و مقابله‌كنندگان بر اساس شواهد غيرمحيطي و قياسي

Improving the GMCR Model Based on Statistical Analysis of the Game’ Graph Case Study: Malwares and countermeasures Actions Based on Detection-Independent and deductive evidence

يكي از رويكردهاي مدل‌سازي و تحليل مناقشه‌هاي دنياي واقعي مبتني بر نظريه بازي، مدل گرافِ تحليل مناقشه است در اين مدل با افزايش تعداد گزينه‌هاي بازيگران، تعداد وضعيت‌هاي بازي به‌صورت نمايي افزايش يافته و با افزايش تعداد وضعيت‌هاي بازي، تعداد وضعيت‌هاي تعادلي نيز زياد مي‌شود. با توجه به گستردگي اقدامات بدافزارها و راهكارهاي مقابله‌اي، استخراج گزينه‌هاي تاثيرگذار بازيگران و وضعيت‌هاي تعادلي مطلوب بازي، از نيازمندي‌هاي ضروري به‌كارگيري مدل گرافِ تحليل مناقشه در حوزه تحليل حملات بدافزاري است. در اين مقاله مبتني بر مدل گرافِ تحليل مناقشه، معماري به‌نام مگ ارايه شده است. معماري مگ بر اساس روش‌هاي تشخيص و تحليل شواهد غيرمحيطي و قياسي بدافزارها و مقابله‌كنندگان در قالب سه بازي مرتبط، ارزيابي و تحليل گرديد. نتايج ارزيابي نشان داد از بين گزينه‌هاي مهاجم، گزينه حملات سايبري بدون فايل و از بين گزينه‌هاي مدافع، گزينه‌هاي قطع ارتباطات شبكه‌اي و تكنيك‌هاي اكتشاف مسير و اجراي نمادين، با ميزان مشاركت 100 درصدي، گزينه‌هاي تاثيرگذار بازيگران هستند. كاهش فضاي حالت بازي با استفاده از الگوريتم انتزاع‌سازي بازي، ارايه بازي‌هاي سناريو محور و تكرارپذير، استخراج اقدامات موثر و وضعيت‌هاي تعادلي مطلوب بازيگران، از مزاياي معماري مگ هست. از معماري مگ مي‌توان در سامانه‌هاي بازي جنگ و تصميم‌يار عمليات سايبري جهت تصميم­سازي صحيح و اتخاذ پاسخ مناسب استفاده كرد.

The GMCR model is one of the approaches to modeling and analyzing real-world conflicts based on game theory. in this model, as the number of players’ options increases, the number of game states (problem state space) increases exponentially. As the number of game feasible states increases, so does the number of game equilibrium states. Extracting favorable equilibrium states and effective options is one of the requirements of widespread conflicts such as malware games and countermeasures. In this paper, based on the GMCR, the MAG architecture with four processing layers is presented. Mag's architecture was evaluated and analyzed based on methods of detecting and analyzing Detection-Independent and deductive evidence of malware and countermeasures in the form of three related games. The evaluation results showed that among the attacker options, the option "Fileless Cyber Attacks" and among the defense options, the options of "network communication disconnection", "path exploration techniques" and "symbolic execution", at a rate of 100%, are the effective options of the actors. Reducing the game state space by using the game abstraction algorithm, scenario-based and repeated games, extracting effective actions and favorable equilibrium states of the players are some of the advantages of MAG architecture. The MAG architecture can be used in cyber operations decision support systems and tabletop cyber wargames to make the right decisions and respond appropriately.