인터넷 보안 상호작용을 위한 일반화 게임 모델

초록

본 논문은 관리자와 사용자의 상호작용을 5개의 상태와 각각의 행동 집합으로 모델링한 일반화 보안 게임을 제안한다. 센서 오차를 유클리드 거리로 정량화해 불완전 정보 게임을 구현하고, 수치 시뮬레이션을 통해 보상 구조와 최적 전략을 분석한다. 또한 다중 공격자와 협업 상황을 위한 확장 조건을 제시한다.

상세 분석

이 연구는 사이버 방어 시스템이 공격자와 “교감”할 필요성을 강조하면서, 게임 이론을 기반으로 한 구조적 모델을 설계한다. 가장 큰 특징은 불완전 정보(stochastic imperfect‑information) 게임을 구현하기 위해 센서 오류를 상태 간 유클리드 거리로 매핑한 점이다. 즉, 실제 상태와 센서가 감지한 상태 사이의 거리 d 가 클수록 오인 확률이 낮아지고, 거리 d 가 작을수록 다른 상태로 오인될 가능성이 높아진다. 이를 확률 전이 행렬에 삽입함으로써, 플레이어 1(관리자)의 인식은 다중 정보 집합(information set)으로 확장된다.

게임은 5가지 상태로 정의된다: (1) 외부 인터넷에 존재, (2) 로그인 후 저권한, (3) 고권한, (4) 공격 성공, (5) 허니팟 함정. 각 상태마다 서로 다른 행동 집합이 존재한다. 예를 들어, 저권한 단계에서는 “읽기”, “쓰기 제한”, “로그아웃” 등이 가능하고, 고권한 단계에서는 “시스템 재구성”, “방어 정책 변경” 등이 추가된다. 허니팟 상태에서는 사용자는 자신의 현재 위치를 불확실하게 인식하게 되며, 이는 사용자의 행동 집합을 인위적으로 확대시켜 공격자의 의사결정을 복잡하게 만든다.

논문은 기존 연구(