Machine Theory of Mind for Autonomous Cyber-Defence

要約

インテリジェントな自律エージェントは、サイバーセキュリティの分野で多くの可能性を秘めています。
しかし、多くの最先端のアプローチは解釈不可能なブラックボックス モデルに依存しているため、利害関係者に潜在的な信念や動機についての明確で実用的な洞察を提供する方法への需要が高まっています。
これに対処するために、私たちは自律的なサイバー運用のための Theory of Mind (ToM) アプローチを評価します。
ToM モデルは、堅牢な事前分布を学習すると、ほんの少数の過去の行動観察に基づいて、エージェントの目標、行動、および状況に応じた信念を予測できます。
このペーパーでは、敵対的なサイバーのターゲットと攻撃軌跡の両方を正確に予測できる、サイバー防御、Graph-In、Graph-Out (GIGO)-ToM に合わせた新しいグラフ ニューラル ネットワーク (GNN) ベースの ToM アーキテクチャを紹介します。
任意のコンピュータ ネットワーク トポロジ上のエージェント。
後者を評価するために、グラフベースの確率分布の類似性を測定するための Wasserstein 距離の新しい拡張を提案します。
標準のワッサーシュタイン距離には固定の基準スケールがありませんが、異なるサイズのネットワーク間の標準化された比較を可能にするグラフ理論の正規化係数を導入します。
私たちは、ネットワーク トランスポート ディスタンス (NTD) と呼ぶこのメトリクスに、カスタム ノードの機能に応じた予測を強調する重み付け関数を提供し、ネットワーク オペレーターが任意の戦略的考慮事項を検討できるようにします。
抽象的なサイバー防御環境における Graph-In, Dense-Out (GIDO)-ToM アーキテクチャに対してベンチマークを行った当社の経験的評価では、GIGO-ToM がさまざまな範囲にわたる目に見えないさまざまなサイバー攻撃エージェントの目標と行動を正確に予測できることが示されています。
ネットワーク トポロジを理解するだけでなく、ポリシーを効果的に特徴付けることができる埋め込みについても学習します。

要約(オリジナル)

Intelligent autonomous agents hold much potential for the domain of cyber-security. However, due to many state-of-the-art approaches relying on uninterpretable black-box models, there is growing demand for methods that offer stakeholders clear and actionable insights into their latent beliefs and motivations. To address this, we evaluate Theory of Mind (ToM) approaches for Autonomous Cyber Operations. Upon learning a robust prior, ToM models can predict an agent’s goals, behaviours, and contextual beliefs given only a handful of past behaviour observations. In this paper, we introduce a novel Graph Neural Network (GNN)-based ToM architecture tailored for cyber-defence, Graph-In, Graph-Out (GIGO)-ToM, which can accurately predict both the targets and attack trajectories of adversarial cyber agents over arbitrary computer network topologies. To evaluate the latter, we propose a novel extension of the Wasserstein distance for measuring the similarity of graph-based probability distributions. Whereas the standard Wasserstein distance lacks a fixed reference scale, we introduce a graph-theoretic normalization factor that enables a standardized comparison between networks of different sizes. We furnish this metric, which we term the Network Transport Distance (NTD), with a weighting function that emphasizes predictions according to custom node features, allowing network operators to explore arbitrary strategic considerations. Benchmarked against a Graph-In, Dense-Out (GIDO)-ToM architecture in an abstract cyber-defence environment, our empirical evaluations show that GIGO-ToM can accurately predict the goals and behaviours of various unseen cyber-attacking agents across a range of network topologies, as well as learn embeddings that can effectively characterize their policies.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google