РЕШЕНИЕ БИМАТРИЧНОЙ ИГРЫ С ПРИМЕНЕНИЕМ РАЗЛИЧНЫХ КРИТЕРИЕВ ДЛЯ ВЫБОРА СТРАТЕГИЙ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ И ЗЛОУМЫШЛЕННИКА Текст научной статьи по специальности «Экономика и бизнес»

УДК 519.83:004.056 DOI 10.24147/2222-8772.2023.3.111-120

РЕШЕНИЕ БИМАТРИЧНОЙ ИГРЫ С ПРИМЕНЕНИЕМ РАЗЛИЧНЫХ КРИТЕРИЕВ ДЛЯ ВЫБОРА СТРАТЕГИЙ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ И ЗЛОУМЫШЛЕННИКА

Т.В. Вахний

к.ф.-м.н., доцент, e-mail: vahniytv@mail.ru С.В. Вахний

студент, e-mail: vakhniysv@mail.ru

Омский государственный университет им. Ф.М. Достоевского, Омск, Россия

Аннотация. В статье описано решение биматричной игры с применением разных критериев для выбора стратегий администратора безопасности и злоумышленника. Анализ результатов подобных расчётов может быть полезен в вопросах оптимизации защиты компьютерной системы.

Ключевые слова: компьютерная система, кибербезопасность, биматричная игра, оптимальная стратегия.

1. Введение

В последние несколько лет вопросы кибербезопасности чрезвычайно важны в реализации бизнес-целей различных организаций и учреждений, потеря или изменение информации которых может привести не только к урону их репутации, но и к огромным убыткам или даже прекращению деятельности и банкротству. При этом в мире постоянно увеличивается количество способов атак и средств защиты, в результате чего построение надёжной системы защиты становится всё более сложной задачей. Использование теории игр позволяет обеспечить оптимизацию выбора программных продуктов для построения наилучшей системы безопасности организации при минимизации финансовых затрат [1-4].

Целью администратора безопасности является выбор такой стратегии защиты, которая будет сводить потери от атак к минимуму, а интересы атакующего злоумышленника часто в расчёт не принимаются, и предполагают, что его цель прямо противоположная - нанести наибольший ущерб компьютерной системе. Поэтому для анализа их взаимодействия обычно составляют одну общую платёжную матрицу и находят решение матричной игры. Но игра, в которой выигрыш одного игрока - это проигрыш другого, т. е. игра с нулевой суммой, не всегда адекватно отражает ситуацию противостояния администратора безопасности и злоумышленника. У них разные меры ценности информации и представления об успехе. Поэтому полезно проводить не только матричные, но и биматричные игры, в которых выигрыши задаются отдельными платёжными матрицами для каждого игрока [1,5].

В данной статье для нахождения наиболее оптимальных вариантов защиты компьютерной системы предлагается построить биматричную игру администратора безопасности со злоумышленником и решать её, используя для выбора стратегий игроков разные критерии [3,6].

2. Постановка задачи и игровой подход

Один из подходов, моделирующих игру администратора безопасности и атакующего злоумышленника, основан на проведении биматричной игры, в которой интересы игроков не совпадают и не являются противоположными, а выигрыши задаются платёжными матрицами отдельно для каждого игрока [1,2]. В каждой из матриц строки соответствуют стратегиям одного игрока (программное средство или набор из программных средств), а столбцы - стратегиям другого игрока. На их пересечении в первой платёжной матрице А стоит цена игры для администратора безопасности, а во второй платёжной матрице В - цена игры для злоумышленника. Проведение биматричной игры позволяет определить наиболее выигрышные стратегии для каждого игрока.

Если администратор для обеспечения безопасности системы может выбирать из в средств защиты, и при этом их можно использовать одновременно, то у него будет N = 23 — 1 вариантов стратегий. Аналогично, если злоумышленник имеет Ь способов атаки, то у него будет М = 2Ь — 1 вариантов вредоносных стратегий.

Таблица 2. Платёжная матрица В

_Ш_У2_^_Ум

XI Ьц Ьг2 ... Ьхм %2 ^21 ^22 ...

Хм Ьм 1 ••• Ьмм

Таблица 1. Платёжная матрица А

У1 У2 Ум

Х\ ап «12 aiM

х2 «21 «22 «2М

Хм &N 1 &N 2 a>NM

Ходом администратора безопасности является использование одной из N стратегий защиты компьютерной системы (г = 1, 2,..., N), а ходом злоумышленника

- применение одной из М стратегий атаки yj (г = 1, 2,..., М) на компьютерную систему. Последовательно перебирая все стратегии игроков, можно заполнить две таблицы, в одной из них указывая ущерб администратора а^ (см. табл. 1), а во второй

- прибыль Ь^ злоумышленника (см. табл. 2) соответственно при выборе стратегии защиты Хг (ъ = 1, 2,..., И) и способа атаки у^ (ъ = 1, 2,..., М).

Из табл. 1 и 2 можно выписать платёжные матрицы А и В, содержащие N строк и М столбцов с элементами а^ и Ь^ соответственно:

Ьгм^ Ь2М

\ÜN 1 a>N 2 ... &NM/ \Ьм 1 Ьм 2 ... Ь^М/

Здесь элементы а^ платёжной матрицы администратора безопасности А вычисляются следующим образом:

aij = R{xi,yj) + Gi,

где Gi - затраты администратора безопасности на приобретение и использование средств защиты, необходимых для реализации г-й стратегии Xi, R(xi, yj) - величина ущерба от атаки yj при использовании стратегии защиты Xi.

Аналогично элементы bij платёжной матрицы злоумышленника В вычисляются по формуле:

bij = Р(xi,yj) - Fj,

где Fj - затраты злоумышленника на использование атаки yj; Р(xi, yj) - величина прибыли от атаки yj при использовании администратором стратегии защиты х%.

Биматричная игра является одноходовой. Процесс игры состоит в том, что администратор выбирает стратегию защиты Xi, злоумышленник выбирает стратегию атаки yj, после чего вычисляется исход игры, заключающийся в том, что администратор терпит ущерб, равный aij, а злоумышленник получает прибыль bij. Цель администратора безопасности - выбор такой стратегии, т. е. набора программных средств защиты, который сводит потери от атак и затраты на покупку средств защиты к минимуму, а цель атакующего - выбор такой стратегии, которая даст ему наибольший выигрыш. Решение биматричной игры сводится к отысканию равновесных (оптимальных) стратегий игроков [1].

3. Критерии для выбора стратегий администратора

Во время построения системы защиты и после её внедрения администратору безопасности необходимо постоянно анализировать новости, которые касаются атак на компьютерные системы, уметь выделять новые угрозы и оценивать риски, связанные с этими угрозами, а также из огромного количества современных средств защиты выбирать наиболее подходящие для понижения риска потери конфиденциальности, целостности и доступности информации. При этом он стремится выбрать такую стратегию, которая позволит свести к минимуму наносимый компьютерной системе ущерб от реализации тех или иных угроз.

Поставим в соответствие каждой г-й стратегии администратора безопасности число Wi(A), вычисляемое с помощью его платёжной матрицы А. Критерий выбора оптимальной стратегии для администратора состоит в том, чтобы взять Wi0 = min Wi(A). Для нахождения числа Wi(A) можно использовать различные критерии

г

к выбору наиболее подходящей стратегии администратора [3].

А

ац 0-12 &21 &22

aiM

&2М

Ь

В

11 &12 ^21 ^22

Поскольку при неудачном выборе стратегии ущерб от атаки злоумышленника может оказаться существенным или фатальным для организации, то от администратора безопасности следует ожидать прежде всего осмотрительное поведение, изучение существующих угроз безопасности и интерес к тому, какие из них наиболее часто реализуются. При таком подходе для выбора наилучшей стратегии администратора безопасности подойдут критерии Вальда, Байеса, Лапласа и Сэвиджа [6].

1) Критерий крайнего пессимизма Вальда ориентирует игрока на самые неблагоприятные для него условия и, следовательно, на крайне осторожное поведение при выборе стратегии. Согласно этому критерию за оптимальную принимается такая стратегия, которая в наихудших условиях гарантирует минимальный ущерб от атаки злоумышленника. Следовательно, согласно критерию Вальда

Wi(A) = maxa,ij, и администратор безопасности выбирает такую стратегию, при

j

которой наибольший ущерб от атаки является наименьшим среди всех возможных стратегий защиты. То есть по критерию Вальда оптимальной для администратора безопасности будет стратегия, определяемая из условия минимакса [1]:

Wi0 (А) = min Wi(A) = min max a^-. (1)

г г j

Выбирая стратегию по критерию Вальда, можно твёрдо рассчитывать на полученный при её определении результат даже при самом плохом стечении обстоятельств. Критерий Вальда уместен в тех случаях, когда администратор безопасности не столько хочет, чтобы ущерб компьютерной системе был самым минимальным из возможных, сколько не хочет, чтобы он оказался огромным.

2) Критерий математического ожидания Байеса предполагает, что администратору безопасности известны вероятности pj, с которыми злоумышленник применяет свои стратегии. Полагают, что Wi(A) = Pjaij, и оптимальной является

j

стратегия администратора, при которой:

Wio (А) = min Wi (А) = min V Pj aij. (2)

г г ^—'

j

Вероятности реализации атак pj могут быть определены по результатам статистических исследований. Можно изучить статистику хакерских атак за определённый промежуток времени, например по данным портала Sicherheitstacho (https://www.sicherheitstacho.eu/start/main). Также полезно установить систему обнаружения хакерских атак (IDS), которая позволит самостоятельно набрать статистику, с помощью которой можно выявить наиболее распространённые типы атак и вычислить вероятности pj стратегий злоумышленника [4].

Использование критерия Байеса позволяет повысить значимость защиты компьютерной системы от наиболее частых атак. Такая стратегия может хорошо подойти для ситуаций многократной повторяемости, когда лучший средний результат приведёт к лучшему общему итогу.

3) Критерий недостаточного основания Лапласа можно использовать администратору безопасности при наличии неполной информации о вероятностях реализации атак или одинаковых вероятностях всех стратегий злоумышленника. Если

предположить, что все атаки равновероятны, т. е. pj = 1/М, где М - количество стратегий атакующего злоумышленника, то от критерия Байеса перейдём к критерию Лапласа. Согласно критерию Лапласа Wi(A) = -^Yl aij, и для администратора

j

безопасности оптимальная стратегия может быть определена следующим образом:

WZ0 (А) = min Wt(A) = -1 min V агз. (3)

г ivl i —'

j

Использование критерия Лапласа оправдано, если минимизация риска представляется менее существенным фактором принятия решения, чем минимизация среднего ущерба от атак.

4) Критерий Сэвиджа (минимального максимального риска) основан на применении в расчётах матрицы (таблицы) рисков. Матрица рисков для администратора безопасности строится по столбцам его платёжной матрицы А. В каждом столбце нужно найти наименьшее значение, это значение по очереди вычесть из всех значений в данном столбце и результат записать в те же позиции. Элементы матрицы

рисков рассчитывают по формуле: r^ = aij — min aij. Они показывают, на сколь-

j

ко больше может быть ущерб компьютерной системе, по сравнению с минимально возможным значением, для каждого типа атаки злоумышленника из-за неверного выбора стратегии защиты. Далее в каждой строке матрицы рисков определяется наибольший результат (максимальный элемент в строке). Лучшей по критерию Сэ-виджа считается та стратегия, для которой этот результат наименьший:

Wi0 (А) = min Wi(A) = min max r^. (4)

i i j

Критерий Сэвиджа наиболее соответствует ситуации, в которой администратору важнее не рисковать, нежели гнаться за минимально возможным ущербом от атаки в надежде на неудачный выбор стратегии злоумышленника.

4. Критерии для выбора стратегий злоумышленника

Скорее всего злоумышленник осуществляет атаку на компьютерную систему с целью извлечь из этого какую-то выгоду, при этом он может рисковать, так как в любом случае администратор безопасности не может нанести ему материальный ущерб. От выбора стратегии злоумышленника зависит величина его выигрыша, поэтому он может быть как азартно увлечён получить наибольшую прибыль от атаки, так и играть осмотрительно, чтобы получить хоть какую-то гарантированную пользу от осуществления атаки. Единственное, что может его немного останавливать в игре, так это материальные затраты на новые программные средства для атаки. Поэтому для выбора стратегии игры злоумышленника лучше подойдёт другой набор критериев, нежели тот, который был у администратора безопасности [6].

1) Критерий крайнего пессимизма Вальда может выбрать злоумышленник, если он ориентируется на самые неблагоприятные условия, т. е. стремится максимизировать свой возможный минимальный выигрыш. В таком случае его оптимальную стратегию можно найти из условия максимина [1]. Поставим в соответствие

каждой j-й стратегии злоумышленника число Wj (В), вычисляемое с помощью его платёжной матрицы В, тогда критерий выбора оптимальной стратегии yj0 для злоумышленника состоит в том, чтобы взять:

Wjo (В) = max Wj (В) = max min bij. (5)

j j г

Максиминная стратегия злоумышленника уместна в тех случаях, когда он не столько хочет выиграть, сколько не хочет проиграть, т. е. когда ему нужен гарантированный положительный результат даже при самых неблагоприятных условиях игры.

2) Критерий крайнего оптимизма наилучшим образом подходит для ситуации, в которой злоумышленник настроен крайне оптимистично и рассчитывает на наибольший успех. Этот критерий хорошо подходит для азартного злоумышленника, так как для него обычно потери в игре мало значимы, и он может запросто «рискнуть» понадеяться на самый крупный выигрыш из-за неудачной стратегии защиты компьютерной системы организации.

В критерии крайнего оптимизма для каждой стратегии злоумышленника по платёжной матрице В определяется наибольший достижимый результат как максимальный элемент в столбце Wj (В) = max bij. Лучшей по критерию оптимизма счи-

г

тается та стратегия, для которой этот результат наибольший:

Wj0 (В) = max Wj (В) = max max bij. (6)

j 3 г

Применение критерия крайнего оптимизма редко позволяет получить максимально возможный выигрыш, но злоумышленник может себе позволить такую стратегию игры.

3) Критерий пессимизма-оптимизма Гурвица является регулируемым компромиссом между критериями крайнего пессимизма и крайнего оптимизма. Согласно этому критерию стратегию игры злоумышленника можно определить следующим образом:

Wi0 (В) = max(c ■ min bij + (1 — с) ■ max bij), (7)

j i г

где с - коэффициент пессимизма, который может принимать любые значения от 0 до 1.

Значение с =1 соответствует крайнему пессимизму для злоумышленника, в таком случае уравнение (7) преобразуется к условию максимина (5). Значение с = 0 соответствует крайнему оптимизму (критерий азартного игрока), когда злоумышленником делается ставка на самый большой возможный выигрыш, и уравнение (7) преобразуется в уравнение (6). Коэффициент пессимизма выбирается из субъективных соображений администратора безопасности.

4) Критерий минимального риска может быть использован для выбора стратегии злоумышленника, если он не стремится к случайному наибольшему выигрышу. Матрица рисков для злоумышленника строится по строкам платёжной матрицы В. В каждой строке нужно найти наибольшее значение, из этого значения по

очереди вычесть все значения в данной строке и результат записать в те же позиции. Элементы матрицы рисков для злоумышленника рассчитывают по формуле: Tij = max bij — bij, они показывают, на сколько меньше может быть выигрыш по

г

сравнению с максимально возможным значением.

Оптимальная стратегия злоумышленника может быть определена не только по минимальному значению среди максимальных значений элементов в столбцах матрицы рисков (по аналогии с тем, как было описано для администратора безопасности):

Wj0 (В) = min Wj (В) = min max rij, (8)

3 3 г

но и по минимальному в столбцах суммарному значению элементов матрицы рисков:

Wjo (В) = min Wj (В) = min V rij. (9)

3 3

г

Данный критерий для выбора стратегии подходит злоумышленнику, если он не собирается гнаться за максимально возможным выигрышем в надежде на то, что администратор безопасности выберет неудачную стратегию защиты.

5. Решение биматричной игры при задании у игроков разных критериев выбора оптимальной стратегии

Рассмотрим решение биматричной игры с платёжными матрицами небольшого размера при использовании для игроков разных критериев выбора оптимальной стратегии. Пусть у злоумышленника есть возможность купить и использовать две чистые стратегии у\, у2, а администратор может выбирать из трёх чистых стратегий х\, х2 и х3. В случае успешной реализации стратегия yi может принести злоумышленнику прибыль 100 условных единиц (у.е.), а стратегия у2 - 110 у.е., для их приобретения нужно заплатить 2 у.е. и 1 у.е. соответственно. При этом бесплатная чистая стратегия администратора х\ защищает от атак yi и у2 на 90 %, чистая стратегия х2 стоит 5 у.е. и защищает от атаки yi на 80 %, чистая стратегия х3 стоит 1 у.е., защищает от атаки у\ на 85 % и от атаки у2 на 99 %. Требуется определить, какие программные средства из Х\, х2, х3 нужно выбрать администратору для наиболее эффективной защиты компьютерной системы при наименьших затратах на их приобретение, а также какая стратегия злоумышленника будет для него наиболее оптимальной.

Сначала для игроков нужно составить две платёжные матрицы А и В .У злоумышленника будут возможны 3 стратегии: у\, у2 и стратегия у3, заключающаяся в использовании программных средств для проведения одновременно обеих атак у\ и у2. В свою очередь у администратора будет возможность выбирать из 7 стратегий:

Х\, Х2, Х3, Х\ = Х\ + Х2, Х5 = Xi + Х3, Х6 = Х2 + Х3, Х7 = Хх + Х2 + Х3.

Последовательно перебирая все стратегии игроков, заполним две таблицы, в одной из них указывая ущерб администратора а^ (см. табл. 3), а во второй - прибыль

Ъц злоумышленника (см. табл. 4) при выборе стратегии защиты Хг(% = 1,..., 7) и способа атаки у^ (] = 1,..., 3).

Таблица 3. Платёжная матрица А Таблица 4. Платёжная матрица В

У1 У2 Уз

Х\ 10 11 21

Х2 25 115 135

Хз 16 2.1 17.1

х4 15 16 26

х5 11 2.1 12.1

х6 21 7.1 22.1

х7 16 7.1 17.1

У1 У2 Уз

Х\ 8 10 18

Х2 18 109 127

Хз 13 0.1 13.1

х4 8 10 18

х5 8 0.1 8.1

Хб 13 0.1 13.1

х7 8 0.1 8.1

Найдём решение биматричной игры, используя для выбора оптимальной стратегии администратора критерий Сэвиджа (4), а для выбора стратегии злоумышленника - критерий крайнего оптимизма (6).

Для того чтобы составить матрицу рисков администратора, нужно в каждом столбце его платёжной матрицы А найти наименьшее значение (см. в табл. 3), по очереди вычесть его из всех значений в данном столбце и результат записать в те же позиции (см. табл. 5). После этого в каждой строке матрицы рисков нужно определить максимальный элемент. Лучшей по критерию Сэвиджа считается та стратегия, для которой этот результат наименьший. В нашем случае (А) = 1 и наилучшей стратегией администратора безопасности будет х5, которая заключается в использовании программных средств х\ и хз.

Таблица 5. Матрица рисков

У1 У2 Уз

Х\ 0 8.9 8.9

Х2 15 112.9 122.9

Хз 6 0 5

Х4 5 13.9 13.9

Х5 1 0 0

Хб 11 5 10

х7 6 5 5

Согласно критерию крайнего оптимизма для каждой стратегии злоумышленника по платёжной матрице В нужно определить наибольший достижимый результат как максимальный элемент в столбце (см. табл. 4), и лучшей считается та стратегия, для которой этот результат наибольший. В нашем случае (В) = 127 и наилучшей

стратегией злоумышленника будет стратегия у3, которая заключается в использовании программных средств у\ и у2.

Таким образом, если администратор безопасности и злоумышленник выберут стратегии х5 и у3, то цена игры для них будет 12.1 у.е. (ущерб администратора) и 8.1 у.е. (прибыль злоумышленника).

Для проведения биматричной игры между администратором безопасности и атакующим злоумышленником с платёжными матрицами больших размеров удобно создать и использовать программный продукт, в котором реализована возможность задавать критерии для выбора стратегий игроков [3]. Тогда по введённым значениям стоимости средств защиты и ущерба от применения всех возможных пар «атака -защита» можно будет рассчитывать как оптимальный набор средств защиты компьютерной системы, так и наиболее выигрышную стратегию злоумышленника.

6. Заключение

В статье продемонстрировано решение биматричной игры между администратором безопасности и злоумышленником, когда для каждого игрока применялся свой критерий выбора оптимальной стратегии. На основе предложенного подхода можно создать программное приложение, которое позволит администратору безопасности более тонко учитывать различные нюансы при выборе программных продуктов для построения наиболее надёжной системы защиты при минимизации финансовых затрат на их приобретение.

Литература

1. Гуц А.К., Вахний Т.В. Теория игр и защита компьютерных систем : учебное пособие. Омск : Изд-во ОмГУ, 2013. 160 с.

2. Вахний Т.В., Вахний С.В. Итеративное решение биматричной игры для оптимизации защиты компьютерной системы // Математические структуры и моделирование. 2022. № 1 (61). С. 105-114.

3. Вахний Т.В., Гуц А.К., Новиков Н.Ю. Матрично-игровая программа с выбором критерия для определения оптимального набора средств защиты компьютерной системы // Математические структуры и моделирование. 2016. № 2 (38). С. 103-115.

4. Вахний Т.В., Гуц А.К., Бондарь С.С. Учёт вероятностей хакерских атак в игровом подходе к подбору программных средств защиты компьютерной информации // Математические структуры и моделирование. 2015. № 3 (35). С. 91-105.

5. Кремлев А.Г. Основные понятия теории игр : учебное пособие. Екатеринбург : Изд-во Ур. ун-та, 2016. 144 с.

6. Шевченко Д.В. Методы принятия управленческих решений : задания и методические указания для выполнения расчётно-графической работы. Казань : Познание, 2014. 69 с.

THE SOLUTION OF A BIMATRIC GAME USING VARIOUS CRITERIA FOR CHOOSING THE STRATEGIES OF THE SECURITY ADMINISTRATOR

AND THE ATTACKER

T.V. Vakhniy

Ph.D.(Phys.-Math.), Associate Professor, e-mail: vahniytv@mail.ru

S.V. Vakhniy Student, e-mail: vakhniysv@mail.ru

Dostoevsky Omsk State University, Omsk, Russia

Abstract. The article describes the solution of a bimatric game using different criteria for choosing the strategies of a security administrator and an attacker. Analysis of the results of such calculations can be useful in optimizing the protection of a computer system.

Keywords: computer system, cybersecurity, bimatric game, optimal strategy.

Дата поступления в редакцию: 14.08.2023