본 논문은 다중 테넌트 클라우드 환경의 복잡성과 실시간 위협 완화의 증가하는 필요성을 고려하여, SOC(Security Operations Center)가 AI 기반 적응형 방어 메커니즘을 채택하여 APT(Advanced Persistent Threats)에 대응해야 함을 강조합니다. SOC 분석가는 적응형 적대적 전술을 처리하는 데 어려움을 겪으므로 지능형 의사결정 지원 프레임워크가 필요합니다. 이를 위해 본 논문에서는 인지 계층 이론(CHT) 기반 심층 Q 네트워크(CHT-DQN) 프레임워크를 제안합니다. 이 프레임워크는 SOC 분석가(방어자)와 AI 기반 APT 봇(공격자) 간의 상호 작용적 의사결정을 모델링합니다. SOC 분석가는 공격자 전략을 예측하는 수준 1의 인지 수준에서 작동하고, APT 봇은 수준 0 정책을 따릅니다. CHT를 DQN에 통합함으로써 공격 그래프(AG) 기반 강화 학습을 사용하여 적응형 SOC 방어를 향상시킵니다. 다양한 AG 복잡성에 대한 시뮬레이션 실험 결과, CHT-DQN은 표준 DQN에 비해 일관되게 더 높은 데이터 보호 및 더 낮은 액션 불일치를 달성합니다. 이론적 하한선은 AG 복잡성이 증가함에 따라 CHT-DQN의 우수성을 더욱 확인시켜줍니다. Amazon Mechanical Turk(MTurk)의 Human-in-the-loop(HITL) 평가는 CHT-DQN에서 파생된 전이 확률을 사용하는 SOC 분석가가 적응형 공격자와 더 밀접하게 일치하여 더 나은 방어 결과를 가져온다는 것을 보여줍니다. 또한, 인간 행동은 전망 이론(PT)과 누적 전망 이론(CPT)과 일치합니다. 참가자는 실패한 행동을 다시 선택할 가능성이 적고 성공적인 행동을 지속할 가능성이 더 높습니다. 이러한 비대칭성은 손실 민감도의 증폭과 편향된 확률 가중치를 반영합니다. 즉, 실패 후 이익을 과소평가하고 지속적인 성공을 과대평가합니다. 본 연구 결과는 실시간 SOC 의사결정을 개선하기 위해 인지 모델을 심층 강화 학습에 통합할 가능성을 강조합니다.
