[论文解读] Duplicity Games for Deception Design with an Application to Insider Threat Mitigation
本文提出了双重博弈(Duplicity Games, DG),一种基于博弈论的框架,用于设计主动网络欺骗机制以应对内部威胁。该框架提出GMM机制——包含生成器、激励调节器和信任操纵器——通过信息、激励和信念操纵来战略性地影响用户行为。主要贡献在于,即使在伪造蜜罐比例的情况下,将最优生成器设计与欺骗性信任操纵相结合,也能使防御者平均收益提升59.3%。
Recent incidents such as the Colonial Pipeline ransomware attack and the SolarWinds hack have shown that traditional defense techniques are becoming insufficient to deter adversaries of growing sophistication. Proactive and deceptive defenses are an emerging class of methods to defend against zero-day and advanced attacks. This work develops a new game-theoretic framework called the duplicity game to design deception mechanisms that consist of a generator, an incentive modulator, and a trust manipulator, referred to as the GMM mechanism. We formulate a mathematical programming problem to compute the optimal GMM mechanism, quantify the upper limit of enforceable security policies, and characterize conditions on user's identifiability and manageability for cyber attribution and user management. We develop a separation principle that decouples the design of the modulator from the GMM mechanism and an equivalence principle that turns the joint design of the generator and the manipulator into the single design of the manipulator. A case study of dynamic honeypot configurations is presented to mitigate insider threats. The numerical experiments corroborate the results that the optimal GMM mechanism can elicit desirable actions from both selfish and adversarial insiders and consequently improve the security posture of the insider network. In particular, a proper modulator can reduce the extcolor{black}{incentive misalignment} between the players and achieve win-win situations for the selfish insider and the defender. Meanwhile, we observe that the defender always benefits from faking the percentage of honeypots when the optimal generator is presented.
研究动机与目标
- 为应对传统防御手段在面对复杂内部威胁和高级持续性威胁时日益显现的不足。
- 设计一种主动欺骗机制,战略性地影响企业网络中具有自私性与敌对性的内部人员。
- 通过非对称信息与战略激励,形式化防御者、正常用户与攻击者之间的互动关系。
- 开发一种机制,使防御者能够在事先未知用户类型的情况下,诱导出期望的安全行为。
- 量化可强制执行的安全策略上限,并刻画用户可识别性与可管理性的条件。
提出的方法
- 构建一个两阶段非对称信息博弈:防御者首先设计GMM机制,随后用户根据更新后的信念作出响应。
- 将GMM机制建模为三个可组合的组件:生成器(随机策略信号)、调节器(通过激励实现效用转移)和操纵器(通过虚假信任信号造成信念扭曲)。
- 使用数学规划方法,在激励相容(IC)与调制可行性(MF)约束下优化GMM机制。
- 应用凹化技术,将用户后验效用表示为分段线性凸(PWLC)函数,从而实现高效计算与策略执行。
- 建立分离原则,使调节器可独立于GMM机制进行设计。
- 推导出等价原则,表明生成器与操纵器的联合设计可简化为仅对操纵器的独立设计。
实验结果
研究问题
- RQ1防御者如何设计一种欺骗机制,即使在对用户类型信息不完全的情况下,也能诱使自私型与敌对型内部人员采取期望行为?
- RQ2何种动态蜜罐系统的最优配置能够最大化防御者收益,同时最小化可检测的异常行为?
- RQ3在何种条件下,防御者可通过激励对齐实现与自私型内部人员的双赢局面?
- RQ4当与最优生成器设计结合时,欺骗性信念操纵(如伪造蜜罐比例)如何影响防御者收益?
- RQ5在基于欺骗的防御中,可强制执行的安全策略与用户可管理性的理论极限是什么?
主要发现
- 当仅使用生成器时,最优GMM机制使防御者平均收益相比无欺骗基线提升35.6%。
- 当与欺骗性信任操纵(即伪造蜜罐比例)结合时,防御者收益相比基线平均提升59.3%。
- 当部署最优生成器时,防御者始终能从伪造蜜罐比例中获益,且收益增益随真实与感知蜜罐比例之间的差异增大而提高。
- 分离原则使调节器可独立设计,显著简化了机制设计流程。
- 等价原则将生成器与操纵器的联合设计简化为仅对操纵器的独立设计,大幅降低复杂度。
- 当最大信任裕度为零时,用户不可管理,即无论机制如何设计,都无法改变其行为。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。