بهبود مدل گرافِ تحلیل مناقشه مبتنی بر تحلیل آماری گرافِ بازی مطالعه موردی: اقدامات بدافزارها و مقابله‌کنندگان بر اساس شواهد غیرمحیطی و قیاسی

یکی از رویکردهای مدل‌سازی و تحلیل مناقشه‌های دنیای واقعی مبتنی بر نظریه بازی، مدل گرافِ تحلیل مناقشه است در این مدل با افزایش تعداد گزینه‌های بازیگران، تعداد وضعیت‌های بازی به‌صورت نمایی افزایش یافته و با افزایش تعداد وضعیت‌های بازی، تعداد وضعیت‌های تعادلی نیز زیاد می‌شود. با توجه به گستردگی اقدامات بدافزارها و راهکارهای مقابله‌ای، استخراج گزینه‌های تاثیرگذار بازیگران و وضعیت‌های تعادلی مطلوب بازی، از نیازمندی‌های ضروری به‌کارگیری مدل گرافِ تحلیل مناقشه در حوزه تحلیل حملات بدافزاری است. در این مقاله مبتنی بر مدل گرافِ تحلیل مناقشه، معماری به‌نام مگ ارایه شده است. معماری مگ بر اساس روش‌های تشخیص و تحلیل شواهد غیرمحیطی و قیاسی بدافزارها و مقابله‌کنندگان در قالب سه بازی مرتبط، ارزیابی و تحلیل گردید. نتایج ارزیابی نشان داد از بین گزینه‌های مهاجم، گزینه حملات سایبری بدون فایل و از بین گزینه‌های مدافع، گزینه‌های قطع ارتباطات شبکه‌ای و تکنیک‌های اکتشاف مسیر و اجرای نمادین، با میزان مشارکت 100 درصدی، گزینه‌های تاثیرگذار بازیگران هستند. کاهش فضای حالت بازی با استفاده از الگوریتم انتزاع‌سازی بازی، ارایه بازی‌های سناریو محور و تکرارپذیر، استخراج اقدامات موثر و وضعیت‌های تعادلی مطلوب بازیگران، از مزایای معماری مگ هست. از معماری مگ می‌توان در سامانه‌های بازی جنگ و تصمیم‌یار عملیات سایبری جهت تصمیم سازی صحیح و اتخاذ پاسخ مناسب استفاده کرد.

The Improvement of the GMCR Model Based on Statistical Analysis of the Game’ Graph (Case Study: Malwares and Countermeasures Actions Based on DetectionIndependent and Deductive Evidence)

The GMCR model is one of the approaches used for modeling and analyzing the realworld conflicts based on the game theory. In this model, as the number of players’ options increases, the number of game states (problem state space) increases exponentially. As the number of feasible game states increases, so does the number of game equilibrium states. ​Extracting favorable equilibrium states and effective options is one of the requirements of applying the GMCR model in view of the widespread conflicts such as malware games and countermeasures. ​In this paper, based on the GMCR, a MAG architecture with four processing layers is presented. The MAG’s architecture was evaluated and analyzed based on methods of detecting and analyzing detectionindependent and deductive evidence of malware and countermeasures in the form of three related games. The evaluation results show that among the attacker options, the option of fileless cyberattacks and among the defense options, the options of network communication disconnection, path exploration techniques and symbolic execution, at a rate of 100%, are the effective options of the actors. Reducing the game state space by using the game abstraction algorithm, scenariobased and repeated games, extracting effective actions and favorable equilibrium states of the players are some of the advantages of MAG architecture. The MAG architecture can be used in the cyber operations decision support systems and the tabletop cyber wargames to make the right decisions and respond appropriately .