Online Incident Response Planning under Model Misspecification through Bayesian Learning and Belief Quantization
2508.14385v1
cs.LG, cs.AI, cs.CR, cs.SY, eess.SY
2025-08-22
Авторы:
Kim Hammar, Tao Li
Резюме на русском
#### Контекст
В целом, системы онлайн-инцидентного реагирования требуют быстрых и точных решений, даже когда доступна ограниченная или неточная информация. Однако многие существующие рамки поддержки решений для инцидентного реагирования основываются на более-менее точном моделировании системы и инцидента, что ограничивает их практическую значимость. В данной работе будет решено этот вопрос. Мы предлагаем **MOBAL (Misspecified Online Bayesian Learning)**, методологию, которая может корректировать свое представление об инциденте на базе поступающей информации. Эта методика реализуется с помощью **Bayesian Learning (Непрерывное Байесовское Обучение)**, которое позволяет учитывать неизвестные модели в реальном времени. Также, мы используем **Belief Quantization (Квантование Убеждений)**, чтобы упростить моделирование и ускорить работу с инцидентами.
#### Метод
В целой методологии **MOBAL** включены два основных элемента: **Bayesian Learning (Непрерывное Байесовское Обучение)** и **Belief Quantization (Квантование Убеждений)**. Байесовское обучение используется для постепенного корректирования существующей модели инцидента в зависимости от полученной информации. Это позволяет системе адаптироваться к изменениям во время инцидента. Также, полученная модель злоумышленника (с помощью Байесовского обучения) конвертируется в **Markov Decision Process (Марковский Процесс Решений)**, чтобы упростить вывод решения. Таким образом, мы можем оценить возможные реакции и выбрать эффективный ответ в реальном времени.
#### Результаты
Мы проводили ряд экспериментов с помощью **CAGE-2 Benchmark**, чтобы проверить эффективность **MOBAL** в сравнении с другими подходами. Мы использовали разные сценарии инцидентов, включая сценарии с неполной информацией. Результаты показали, что **MOBAL** демонстрирует высокую адаптивность и жесткость к ошибкам моделирования. В частности, МОBAL показала более высокую точность в реагировании на инциденты в сравнении с традиционными методами, которые не имеют возможности адаптироваться к изменениям в модели.
#### Значимость
**MOBAL** может использоваться в различных областях безопасности, таких как охрана сетевых систем, здравоохранение, мониторинг критических инфраструктур. Она не только позволяет быстрее реагировать на инциденты, но и повышает точность решений, даже когда модель не является полностью точной. Особым преимуществом является уменьшение времени отклика и увеличение устойчивости к ошибкам моделирования. Это делает **MOBAL** очень полезным для реагирования на инциденты в реальном времени, где каждая минута может оказаться критичной.
#### Выводы
Мы доказали, что **MOBAL** является
Abstract
Effective responses to cyberattacks require fast decisions, even when
information about the attack is incomplete or inaccurate. However, most
decision-support frameworks for incident response rely on a detailed system
model that describes the incident, which restricts their practical utility. In
this paper, we address this limitation and present an online method for
incident response planning under model misspecification, which we call MOBAL:
Misspecified Online Bayesian Learning. MOBAL iteratively refines a conjecture
about the model through Bayesian learning as new information becomes available,
which facilitates model adaptation as the incident unfolds. To determine
effective responses online, we quantize the conjectured model into a finite
Markov model, which enables efficient response planning through dynamic
programming. We prove that Bayesian learning is asymptotically consistent with
respect to the information feedback. Additionally, we establish bounds on
misspecification and quantization errors. Experiments on the CAGE-2 benchmark
show that MOBAL outperforms the state of the art in terms of adaptability and
robustness to model misspecification.