۱. معرفی مقاله و اهمیت آن

سیستم عامل اندروید، با توجه به قابلیت‌های بی‌شمار و اکوسیستم باز خود، به محبوب‌ترین پلتفرم موبایل در جهان تبدیل شده است. این گستردگی پذیرش، نه تنها توجه توسعه‌دهندگان قانونی را به خود جلب کرده، بلکه زمینه‌ای مساعد برای فعالیت بدافزارنویسان نیز فراهم آورده است. نتیجه این امر، وجود تعداد بسیار زیادی از برنامه‌های کاربردی (اپلیکیشن) خوش‌خیم و مخرب در بازارهای آنلاین است که تشخیص آن‌ها را به یک چالش حیاتی در امنیت سایبری تبدیل کرده است.

روش‌های سنتی تشخیص بدافزار، که عمدتاً مبتنی بر امضا (Signature-based) هستند، در مواجهه با حجم عظیم و تنوع روزافزون بدافزارها، کارایی لازم را ندارند. این روش‌ها قادر به شناسایی بدافزارهای جدید یا نسخه‌های تغییریافته نیستند. در پاسخ به این چالش، تکنیک‌های یادگیری ماشین به سرعت در زمینه تشخیص بدافزار گسترش یافته‌اند و رویکردهای نوین و پویاتری را ارائه می‌دهند. ارزیابی این مدل‌ها معمولاً با استفاده از جداول توصیفی و مقادیر دقت (accuracy) انجام می‌شود که به محققان امکان می‌دهد تا روش‌شناسی‌های خود را به صورت مقایسه‌ای ارزیابی کنند.

مقاله حاضر با عنوان «تشخیص کدهای مخرب در اندروید: نقش ویژگی‌های توالی و روش‌های اسمبل‌زدایی» به بررسی عمیق‌تر عواملی می‌پردازد که می‌توانند بر مقادیر دقت مدل‌های یادگیری ماشین در تشخیص بدافزار تأثیر بگذارند. این پژوهش بر دو عامل کلیدی تمرکز دارد: روش اسمبل‌زدایی (disassembly method) و ویژگی‌های داده‌های ورودی (input data characteristics). درک این عوامل برای طراحی سیستم‌های تشخیص بدافزار کارآمدتر و مقاوم‌تر در برابر تهدیدات نوین، از اهمیت بالایی برخوردار است.

۲. نویسندگان و زمینه تحقیق

این مقاله توسط تیمی از محققان برجسته در زمینه امنیت سایبری و یادگیری ماشین به نگارش درآمده است:

• Pinar G. Balikcioglu
• Melih Sirlanci
• Ozge A. Kucuk
• Bulut Ulukapi
• Ramazan K. Turkmen
• Cengiz Acarturk

زمینه اصلی تحقیق این گروه در حوزه رمزنگاری و امنیت (Cryptography and Security) قرار می‌گیرد، با تمرکز خاص بر امنیت سیستم‌عامل اندروید و کاربرد هوش مصنوعی و یادگیری ماشین در تشخیص و تحلیل بدافزارها. این پژوهش در خط مقدم تلاش‌ها برای مقابله با تهدیدات امنیتی فزاینده در اکوسیستم موبایل قرار دارد.

تخصص این نویسندگان در ترکیب دانش عمیق از معماری سیستم عامل اندروید، تحلیل کد، و تکنیک‌های پیشرفته یادگیری ماشین، به آن‌ها امکان داده است تا رویکردی نوآورانه برای بررسی یکی از جنبه‌های اغلب نادیده‌گرفته شده در تشخیص بدافزار، یعنی تأثیر ابزارهای پیش‌پردازش و نمایش کد، ارائه دهند. این گروه با رویکردی بین‌رشته‌ای، شکاف بین مهندسی معکوس نرم‌افزار و یادگیری ماشینی را پر می‌کنند تا راه‌حل‌های عملی و دقیق‌تری برای چالش‌های امنیتی امروز ارائه دهند.

۳. چکیده و خلاصه محتوا

چکیده مقاله به وضوح چالش‌های موجود در تشخیص بدافزارهای اندروید و رویکرد پیشنهادی برای حل آن‌ها را بیان می‌کند. با توجه به پذیرش و استفاده گسترده از سیستم عامل اندروید، هم توسعه‌دهندگان قانونی و هم بدافزارنویسان به این پلتفرم توجه ویژه‌ای دارند که منجر به عرضه تعداد قابل توجهی از برنامه‌های خوش‌خیم و مخرب در بازارهای آنلاین شده است.

از آنجایی که روش‌های مبتنی بر امضا برای تشخیص مؤثر نرم‌افزارهای مخرب، با توجه به تعداد زیاد برنامه‌ها، کافی نیستند، تکنیک‌های یادگیری ماشین در این زمینه نیز گسترش یافته‌اند. در این زمینه، بیان مقادیر دقت به دست آمده در جداول توصیفی در مطالعات تشخیص بدافزار به روشی محبوب و کارآمد تبدیل شده و محققان را قادر ساخته است تا روش‌های خود را به صورت مقایسه‌ای ارزیابی کنند.

در این مطالعه، محققان به دنبال بررسی و تأکید بر عواملی هستند که ممکن است بر مقادیر دقت مدل‌های مدیریت شده توسط محققان تأثیر بگذارند، به ویژه روش اسمبل‌زدایی (disassembly method) و ویژگی‌های داده ورودی (input data characteristics). رویکرد اصلی این پژوهش به شرح زیر است:

• ابتدا، یک مدل برای حل مشکل تشخیص بدافزار از منظر پردازش زبان طبیعی (NLP) با استفاده از شبکه عصبی حافظه بلندمدت کوتاه‌مدت (Long Short-Term Memory – LSTM) توسعه داده شد. این بدان معناست که کد برنامه به مثابه یک توالی از کلمات یا توکن‌ها در یک زبان انسانی در نظر گرفته می‌شود.
• سپس، محققان با واحدهای پایه مختلف (دستورالعمل، بلوک پایه، متد، و کلاس) و نمایش‌های مختلفی از کد منبع که از سه ابزار اسمبل‌زدایی متداول (JEB، IDA و Apktool) به دست آمده بودند، آزمایش کردند.
• نتایج حاصل از این آزمایشات بررسی شد تا تأثیر این عوامل بر عملکرد مدل مشخص گردد.

یافته‌های کلیدی نشان می‌دهند که روش اسمبل‌زدایی و نمایش‌های مختلف ورودی، نتایج مدل را تحت تأثیر قرار می‌دهند. به طور خاص، مجموعه داده‌های جمع‌آوری شده توسط Apktool نتایج بهتری را در مقایسه با دو اسمبل‌زدای دیگر به دست آوردند.

۴. روش‌شناسی تحقیق

این تحقیق برای بررسی تأثیر روش‌های اسمبل‌زدایی و ویژگی‌های ورودی بر دقت تشخیص بدافزار اندروید، از یک رویکرد سیستماتیک و چندوجهی بهره برده است. روش‌شناسی به شرح زیر است:

الف. چارچوب تشخیص بدافزار مبتنی بر NLP و LSTM:

قلب این سیستم، مدلی است که از پردازش زبان طبیعی (NLP) و شبکه عصبی LSTM استفاده می‌کند. در این رویکرد، کدهای اجرایی اندروید به جای اینکه به صورت بایت‌های خام یا گراف‌های کنترل فلو (Control Flow Graphs) سنتی تحلیل شوند، به عنوان توالی‌هایی از توکن‌ها مورد بررسی قرار می‌گیرند. این توکن‌ها می‌توانند دستورالعمل‌های اسمبلی، نام متدها، یا نام کلاس‌ها باشند. LSTM به دلیل قابلیت بالای خود در یادگیری وابستگی‌های طولانی‌مدت در توالی‌ها، برای این نوع تحلیل مناسب است. این مدل قادر است الگوهای پنهان در ساختار توالی کدها را که ممکن است نشان‌دهنده رفتار مخرب باشند، شناسایی کند.

ب. واحدهای پایه (Base Units) برای نمایش کد:

برای بررسی تأثیر ویژگی‌های داده‌های ورودی، کد منبع به چهار واحد پایه با سطح دانه‌بندی متفاوت تقسیم شد:

• دستورالعمل (Instruction): این ریزترین سطح نمایش کد است، جایی که هر دستورالعمل اسمبلی (مانند move، invoke-virtual) به عنوان یک توکن در نظر گرفته می‌شود.
• بلوک پایه (Basic Block): یک بلوک پایه، دنباله‌ای از دستورالعمل‌ها است که فقط یک نقطه ورود و یک نقطه خروج دارد. تحلیل در این سطح، ساختار کنترل فلو محلی را نیز در نظر می‌گیرد.
• متد (Method): متدها واحدهای عملکردی در برنامه‌نویسی شیءگرا هستند. نمایش کد در سطح متدها، امکان تحلیل رفتار تابعی برنامه‌ها را فراهم می‌آورد.
• کلاس (Class): کلاس‌ها بالاترین سطح انتزاع در این مطالعه هستند که مجموعه‌ای از متدها و فیلدها را شامل می‌شوند. تحلیل در این سطح، ساختار کلی‌تر و روابط بین اجزای برنامه را پوشش می‌دهد.

این واحدهای پایه به مدل LSTM خورانده شدند تا تأثیر سطح انتزاع بر دقت تشخیص ارزیابی شود.

ج. ابزارهای اسمبل‌زدایی (Disassembling Tools):

جنبه حیاتی دیگر این مطالعه، بررسی تأثیر ابزارهای مختلف اسمبل‌زدایی بر نمایش کد و در نتیجه بر عملکرد مدل بود. سه ابزار رایج و معتبر مورد استفاده قرار گرفتند:

• JEB Decompiler: یک ابزار قدرتمند برای مهندسی معکوس که قادر است کدهای بایت اندروید را به کدهای Dalvik/Smali یا حتی کدهای سطح بالاتر جاوا تبدیل کند.
• IDA Pro: یکی از پیشرفته‌ترین و محبوب‌ترین ابزارهای اسمبل‌زدایی و دیباگینگ که پشتیبانی گسترده‌ای از پلتفرم‌های مختلف از جمله اندروید دارد.
• Apktool: ابزاری برای مهندسی معکوس اپلیکیشن‌های اندروید، که قادر است فایل‌های APK را دیکامپایل کرده و به کدهای Smali (زبان اسمبلی Dalvik) تبدیل کند و همچنین منابع را استخراج کند.

محققان کدهای برنامه‌ها را با هر یک از این ابزارها اسمبل‌زدایی کرده و سپس نمایش‌های مختلف (در چهار واحد پایه ذکر شده) را برای مدل LSTM آماده کردند. این رویکرد به آن‌ها اجازه داد تا نه تنها تأثیر سطح انتزاع، بلکه تأثیر روش خاصی که برای استخراج و نمایش کد استفاده می‌شود را نیز ارزیابی کنند.

د. فرآیند آزمایش و ارزیابی:

مدل LSTM با ترکیب‌های مختلفی از واحدهای پایه و خروجی‌های اسمبل‌زدای‌ها آموزش داده شد و مورد ارزیابی قرار گرفت. عملکرد مدل با معیارهای استاندارد مانند دقت (accuracy) اندازه‌گیری شد. مقایسه نتایج به دست آمده از این آزمایش‌های سیستماتیک، بینش‌های ارزشمندی در مورد تأثیر عوامل مختلف بر کارایی تشخیص بدافزار فراهم آورد.

۵. یافته‌های کلیدی

نتایج حاصل از این مطالعه، بینش‌های مهمی را در مورد عوامل مؤثر بر دقت مدل‌های تشخیص بدافزار مبتنی بر یادگیری ماشین در پلتفرم اندروید ارائه می‌دهد. یافته‌های اصلی به شرح زیر است:

• تأثیر قابل توجه روش اسمبل‌زدایی: یکی از مهم‌ترین دستاوردها این بود که روش اسمبل‌زدایی که برای استخراج و نمایش کد استفاده می‌شود، تأثیر چشمگیری بر نتایج مدل دارد. این یافته نشان می‌دهد که انتخاب ابزار مهندسی معکوس، صرفاً یک مرحله پیش‌پردازش نیست، بلکه یک عامل حیاتی است که می‌تواند کیفیت داده‌های ورودی و در نتیجه کارایی مدل یادگیری ماشین را به شدت تغییر دهد. ابزارهای مختلف ممکن است کدهای اسمبلی را به روش‌های کمی متفاوت تفسیر کنند، یا جزئیات مختلفی را حفظ یا نادیده بگیرند، که این تفاوت‌ها در نهایت بر توانایی مدل برای شناسایی الگوهای مخرب تأثیر می‌گذارد.
• تأثیر نمایش‌های مختلف ورودی: علاوه بر روش اسمبل‌زدایی، نحوه نمایش کد به مدل (یعنی انتخاب واحد پایه مانند دستورالعمل، بلوک پایه، متد یا کلاس) نیز بر عملکرد مدل تأثیرگذار است. این نشان می‌دهد که سطح انتزاعی که کد در آن تحلیل می‌شود، مهم است. برخی از الگوهای مخرب ممکن است در سطح دستورالعمل‌ها آشکارتر باشند، در حالی که برخی دیگر نیاز به تحلیل در سطح متدها یا کلاس‌ها برای کشف روابط پیچیده‌تر دارند.
• برتری Apktool در جمع‌آوری داده‌ها: برجسته‌ترین نتیجه این تحقیق این بود که مجموعه داده‌هایی که با استفاده از ابزار Apktool جمع‌آوری شده بودند، در مقایسه با داده‌های حاصل از JEB و IDA، به نتایج دقت بالاتری دست یافتند. این موضوع می‌تواند به دلایل مختلفی باشد:
  • دقت در تولید Smali: Apktool به دلیل دقت بالای خود در تبدیل کدهای بایت به زبان Smali (معادل اسمبلی برای Dalvik VM)، ممکن است نمایش وفادارتری از منطق اصلی برنامه ارائه دهد. این نمایش دقیق‌تر، اطلاعات بیشتری را برای مدل LSTM فراهم می‌کند تا الگوهای مخرب را بهتر بیاموزد.
  • حفظ اطلاعات حیاتی: ممکن است خروجی Apktool، جزئیاتی از کد را حفظ کند که برای تشخیص رفتار مخرب کلیدی هستند، در حالی که سایر ابزارها ممکن است این جزئیات را فیلتر یا ساده‌سازی کنند. به عنوان مثال، ترتیب دقیق دستورالعمل‌ها، فراخوانی‌های API خاص، یا ساختارهای کنترلی که در بدافزارها رایج هستند، ممکن است توسط Apktool به شکل مناسب‌تری برای تحلیل NLP ارائه شوند.
  • سازگاری با رویکرد NLP: نمایش Smali که Apktool ارائه می‌دهد، شاید به طور طبیعی با رویکرد “زبان طبیعی” که مدل LSTM بر اساس آن عمل می‌کند، سازگارتر باشد. Smali به دلیل ساختار متنی و توالی‌محور خود، می‌تواند به عنوان یک “زبان” با دستورالعمل‌ها به عنوان “کلمات” به خوبی عمل کند.

این یافته‌ها تأکید می‌کنند که برای بهینه‌سازی سیستم‌های تشخیص بدافزار مبتنی بر یادگیری ماشین، نه تنها انتخاب مدل (مانند LSTM) و پارامترهای آن مهم است، بلکه انتخاب ابزارهای پیش‌پردازش و نحوه نمایش داده‌ها نیز نقش حیاتی ایفا می‌کند.

۶. کاربردها و دستاوردها

یافته‌های این تحقیق پیامدهای عملی و نظری مهمی برای حوزه امنیت موبایل و تشخیص بدافزار دارد. کاربردها و دستاوردهای اصلی این پژوهش عبارتند از:

• بهبود طراحی سیستم‌های تشخیص بدافزار: این مطالعه به توسعه‌دهندگان و محققان سیستم‌های تشخیص بدافزار نشان می‌دهد که انتخاب ابزار اسمبل‌زدایی و نحوه نمایش کد، تنها مراحل فنی نیستند، بلکه تصمیمات استراتژیکی هستند که می‌توانند به طور مستقیم بر دقت و کارایی سیستم‌های آن‌ها تأثیر بگذارند. با توجه به برتری Apktool در این تحقیق، می‌توان آن را به عنوان یک ابزار توصیه شده برای پیش‌پردازش داده‌ها در رویکردهای مبتنی بر NLP/LSTM برای تشخیص بدافزارهای اندروید در نظر گرفت.
• توسعه مدل‌های یادگیری ماشین دقیق‌تر: با درک اینکه کدام روش اسمبل‌زدایی و کدام سطح از دانه‌بندی کد منجر به بهترین نتایج می‌شود، محققان می‌توانند مدل‌های یادگیری ماشینی را طراحی کنند که از داده‌های ورودی با کیفیت بالاتر و نمایش‌های بهینه‌تر بهره‌برداری کنند. این امر به معنای کاهش نرخ خطاهای مثبت (false positives) و منفی (false negatives) است که برای یک سیستم امنیتی بسیار حیاتی است.
• الهام‌بخش برای تحقیقات آینده: این پژوهش مسیری را برای تحقیقات آتی باز می‌کند. به عنوان مثال، می‌توان ابزارهای اسمبل‌زدایی دیگر را نیز مورد بررسی قرار داد یا رویکردهای ترکیبی را امتحان کرد که از مزایای چندین ابزار یا نمایش کد بهره ببرند. همچنین، می‌توان به تحلیل عمیق‌تر دلایل برتری Apktool پرداخت و مشخص کرد که کدام ویژگی‌های خاص در خروجی آن به بهبود عملکرد کمک می‌کند.
• افزایش آگاهی در مورد اهمیت پیش‌پردازش داده: اغلب در پروژه‌های یادگیری ماشین، تمرکز اصلی بر روی طراحی مدل و الگوریتم است. این مطالعه به خوبی نشان می‌دهد که مرحله پیش‌پردازش داده و انتخاب ابزارهای مربوط به آن، به همان اندازه اهمیت دارد. کیفیت ورودی‌ها تأثیر مستقیمی بر کیفیت خروجی مدل دارد.
• راهنمایی برای ارزیابی مقایسه‌ای: این پژوهش چارچوبی را برای ارزیابی مقایسه‌ای روش‌شناسی‌های مختلف در تشخیص بدافزار ارائه می‌دهد. محققان می‌توانند از این روش‌شناسی برای سنجش تأثیر سایر پارامترها و ابزارها بر دقت مدل‌های خود استفاده کنند، و بدین ترتیب، به استانداردسازی و شفافیت بیشتر در این حوزه کمک نمایند.

در نهایت، دستاورد اصلی این تحقیق، ارائه یک بینش عملی و قابل اجرا برای افزایش اثربخشی سیستم‌های دفاعی در برابر تهدیدات بدافزاری اندروید است. با استفاده از این دانش، می‌توانیم به سمت ساخت ابزارهای امنیتی هوشمندتر و مقاوم‌تر حرکت کنیم.

۷. نتیجه‌گیری

مقاله «تشخیص کدهای مخرب در اندروید: نقش ویژگی‌های توالی و روش‌های اسمبل‌زدایی» به یکی از چالش‌برانگیزترین مسائل در امنیت سایبری مدرن، یعنی تشخیص بدافزار در سیستم عامل اندروید، پرداخته است. این پژوهش با رویکردی نوآورانه از منظر پردازش زبان طبیعی (NLP) و با استفاده از شبکه عصبی LSTM، تلاش کرده است تا عوامل پنهان و مؤثر بر دقت مدل‌های یادگیری ماشین در این حوزه را کشف کند.

یافته‌های کلیدی این مطالعه تأکید می‌کنند که روش اسمبل‌زدایی و نحوه نمایش داده‌های ورودی، نقش حیاتی در تعیین کارایی مدل‌های تشخیص بدافزار دارند. به طور خاص، آزمایش‌ها نشان دادند که استفاده از Apktool برای جمع‌آوری و پیش‌پردازش داده‌ها، منجر به نتایج دقت بهتری در مقایسه با ابزارهای شناخته شده‌ای مانند JEB و IDA می‌شود. این برتری می‌تواند ناشی از نمایش دقیق‌تر و وفادارانه‌تر کدهای Smali توسط Apktool باشد که اطلاعات معنایی و ساختاری حیاتی برای مدل LSTM فراهم می‌کند.

این نتایج پیامدهای مهمی برای محققان و توسعه‌دهندگان سیستم‌های امنیتی اندروید دارد. اکنون روشن است که انتخاب ابزارهای پیش‌پردازش و استراتژی‌های نمایش کد، صرفاً جزئیات فنی نیستند، بلکه مؤلفه‌های استراتژیکی هستند که باید با دقت انتخاب شوند تا حداکثر کارایی از مدل‌های یادگیری ماشین استخراج شود. این امر به طراحی سیستم‌های تشخیص بدافزار قوی‌تر، دقیق‌تر و مقاوم‌تر در برابر انواع جدید بدافزارها کمک می‌کند.

برای تحقیقات آینده، پیشنهاد می‌شود که علاوه بر این ابزارها، سایر روش‌های اسمبل‌زدایی و دیکامپایل نیز مورد بررسی قرار گیرند. همچنین، تحلیل عمیق‌تر ویژگی‌های خاص خروجی Apktool که منجر به عملکرد بهتر می‌شود، می‌تواند به توسعه روش‌های جدید برای تولید نمایش‌های بهینه کد کمک کند. ترکیب رویکردهای مختلف و ایجاد مدل‌های هیبریدی که از نقاط قوت چندین ابزار و سطح انتزاع بهره می‌برند نیز می‌تواند مسیرهای جذابی برای اکتشافات بعدی باشد. این تحقیق گامی مهم در جهت درک بهتر و مقابله مؤثرتر با تهدیدات سایبری در دنیای موبایل به شمار می‌رود.