در دنیای امنیت سایبری، دفاع دیگر تنها به معنای ساختن دیوارهای بلندتر و قفل‌های محکم‌تر نیست. رویکردهای نوین بر پایه استراتژی‌های فعال و هوشمند بنا شده‌اند که یکی از جذاب‌ترین آن‌ها فریب سایبری (Cyber Deception) است. در این پارادایم، به جای تلاش برای مسدود کردن تمام حملات، تله‌هایی برای مهاجمان کار گذاشته می‌شود تا آن‌ها را شناسایی کرده، رفتارشان را تحلیل نموده و اهدافشان را درک کنیم. یکی از ابزارهای کلیدی در این زمینه، هانی‌فایل‌ها (Honeyfiles) هستند؛ فایل‌های طعمه‌ای که به نظر ارزشمند یا حساس می‌آیند اما در واقع برای به دام انداختن مهاجمان طراحی شده‌اند.

اما یک چالش اساسی همواره وجود داشته است: چگونه یک هانی‌فایل «جذاب» بسازیم؟ جذابیت یا Enticement یک هانی‌فایل، میزان توانایی آن در جلب توجه مهاجم و ترغیب او به تعامل (مانند باز کردن، کپی کردن یا ویرایش) است. تاکنون، ایجاد این فایل‌ها بیشتر به شهود و تجربه کارشناسان امنیت متکی بوده است. مقاله “TSM: Measuring the Enticement of Honeyfiles with Natural Language Processing” این خلاء را با ارائه یک رویکرد علمی و کمی پر می‌کند. این پژوهش برای اولین بار از تکنیک‌های پیشرفته پردازش زبان طبیعی (NLP) برای اندازه‌گیری عینی جذابیت یک هانی‌فایل بهره می‌برد و ابزاری قدرتمند برای بهینه‌سازی استراتژی‌های فریب سایبری معرفی می‌کند.

این مقاله حاصل همکاری تیمی از پژوهشگران برجسته به نام‌های Roelien C. Timmer، David Liebowitz، Surya Nepal و Salil Kanhere است. تخصص این محققان در تقاطع حوزه‌های کلیدی علوم کامپیوتر یعنی امنیت سایبری، یادگیری ماشین و پردازش زبان طبیعی قرار دارد. طبقه‌بندی این مقاله در دسته‌های «محاسبات و زبان»، «رمزنگاری و امنیت» و «یادگیری ماشین» به خوبی ماهیت میان‌رشته‌ای و نوآورانه آن را نشان می‌دهد. این پژوهش نشان می‌دهد که چگونه می‌توان از قدرت تحلیل زبان انسان توسط ماشین‌ها برای تقویت سیستم‌های دفاعی در برابر تهدیدات سایبری بهره گرفت.

مقاله یک معیار جدید به نام TSM (Topic Semantic Matching) را معرفی می‌کند که برای سنجش میزان جذابیت محتوای یک هانی‌فایل طراحی شده است. ایده اصلی این است که یک هانی‌فایل زمانی بیشترین جذابیت را دارد که از نظر موضوعی و معنایی با فایل‌های واقعی و مشروع موجود در همان محیط (مثلاً یک پوشه خاص در سیستم) همخوانی داشته باشد. اگر یک مهاجم به پوشه واحد مالی یک شرکت نفوذ کند، فایلی با نام «گزارش حقوق مدیران ارشد» بسیار بیشتر از فایلی با نام «کدهای پروژه آلفا» شک‌برانگیز و جذاب خواهد بود.

TSM با استفاده از دو تکنیک اصلی NLP این همخوانی را اندازه‌گیری می‌کند: ابتدا با مدل‌سازی موضوعی (Topic Modelling)، موضوعات اصلی فایل‌های موجود در یک زمینه مشخص را استخراج می‌کند. سپس با تطبیق معنایی (Semantic Matching) در یک فضای برداری، میزان نزدیکی محتوای هانی‌فایل به این موضوعات را محاسبه می‌کند. نتیجه نهایی یک امتیاز عددی است که نشان‌دهنده میزان جذابیت آن هانی‌فایل در آن زمینه خاص است. پژوهشگران همچنین برای ارزیابی این معیار، یک مجموعه داده (Corpus) اختصاصی از هانی‌فایل‌ها را با روش‌های مختلف NLP ایجاد کرده‌اند.

متدولوژی TSM بر یک فرآیند دو مرحله‌ای هوشمند استوار است که هدف آن درک عمیق محتوا و زمینه است، نه صرفاً تطبیق کلمات کلیدی. این رویکرد باعث می‌شود که معیار TSM در برابر تکنیک‌های ساده‌انگارانه مقاوم باشد.

• مرحله اول: مدل‌سازی موضوعی برای درک زمینه
  اولین گام، درک ماهیت فایل‌های مشروع موجود در یک مکان خاص است. TSM با تحلیل مجموعه فایل‌های یک پوشه (که به آن مخزن یا Repository می‌گویند)، موضوعات اصلی و غالب در آن را شناسایی می‌کند. برای مثال، در پوشه اسناد یک تیم حقوقی، موضوعات ممکن است شامل «قراردادها»، «دعاوی قضایی» و «مالکیت معنوی» باشد. این کار با استفاده از الگوریتم‌های مدل‌سازی موضوعی مانند Latent Dirichlet Allocation (LDA) انجام می‌شود. خروجی این مرحله، یک پروفایل موضوعی از آن محیط است که مشخص می‌کند چه نوع محتوایی در آنجا «طبیعی» و مورد انتظار است.
• مرحله دوم: تطبیق معنایی برای ارزیابی هانی‌فایل
  پس از شناسایی موضوعات کلیدی، نوبت به ارزیابی هانی‌فایل می‌رسد. در این مرحله، TSM محتوای هانی‌فایل پیشنهادی را با کلمات و مفاهیم مرتبط با موضوعات استخراج‌شده مقایسه می‌کند. این مقایسه صرفاً بر اساس کلمات مشترک نیست، بلکه بر اساس شباهت معنایی انجام می‌شود. برای این منظور، از تکنیک‌های تعبیه کلمات (Word Embeddings) مانند Word2Vec یا مدل‌های پیشرفته‌تر مبتنی بر ترنسفورمرها استفاده می‌شود. این مدل‌ها کلمات و جملات را به بردارهایی عددی در یک فضای چندبعدی تبدیل می‌کنند، به طوری که کلمات با معنای مشابه در این فضا به یکدیگر نزدیک‌تر هستند. TSM فاصله معنایی بین محتوای هانی‌فایل و موضوعات زمینه را محاسبه می‌کند. هرچه این فاصله کمتر باشد، هانی‌فایل با زمینه سازگارتر و در نتیجه جذاب‌تر تلقی می‌شود و امتیاز TSM بالاتری دریافت می‌کند.

یکی از نوآوری‌های کلیدی این پژوهش، مقاومت در برابر بازنویسی (Paraphrasing) است. از آنجایی که TSM بر معنا متمرکز است و نه شکل دقیق کلمات، یک مهاجم نمی‌تواند با جستجوی عبارات تکراری یا الگوهای ساده، فایل‌های طعمه را شناسایی کند. دو فایل با عناوین «برنامه تعدیل نیروی سال آینده» و «گزارش کاهش کارکنان در سال ۲۰۲۴» از نظر TSM امتیاز مشابهی خواهند گرفت، زیرا معنای یکسانی را منتقل می‌کنند.

آزمایش‌های انجام‌شده توسط نویسندگان نشان‌دهنده موفقیت و کارایی بالای معیار TSM است. یافته‌های اصلی این پژوهش را می‌توان در موارد زیر خلاصه کرد:

• اثربخشی بالا: نتایج تجربی نشان داد که TSM به طور مؤثری می‌تواند جذابیت هانی‌فایل‌ها را در مقایسه با یکدیگر و در زمینه‌های مختلف (مقایسه‌های بین-پیکره‌ای) اندازه‌گیری کند. این معیار قادر است هانی‌فایل‌های باکیفیت و متناسب با زمینه را از موارد نامناسب و عمومی تشخیص دهد.
• پیشگام در استفاده از NLP: TSM اولین معیاری است که به طور سیستماتیک از تکنیک‌های پیشرفته NLP برای کمی‌سازی جذابیت محتوای هانی‌فایل‌ها استفاده می‌کند. این رویکرد، استانداردی جدید در طراحی ابزارهای فریب سایبری ایجاد می‌کند.
• تمرکز بر محتوای موضوعی: برخلاف روش‌های پیشین که ممکن بود بر فراداده‌ها (مانند نام فایل یا تاریخ ایجاد) متمرکز باشند، TSM به طور مستقیم محتوای متنی و موضوعی را تحلیل می‌کند که هسته اصلی جذابیت یک فایل برای مهاجم انسانی است.

معرفی معیار TSM پیامدهای عملی قابل توجهی برای تیم‌های امنیت سایبری دارد و می‌تواند استراتژی‌های دفاعی را به سطح جدیدی از هوشمندی ارتقا دهد:

• انتخاب و تولید خودکار هانی‌فایل‌های بهینه: با استفاده از TSM، سیستم‌های امنیتی می‌توانند به طور خودکار بهترین هانی‌فایل را برای هر پوشه یا هر کاربر انتخاب کنند. به جای استفاده از فایل‌های طعمه عمومی، می‌توان هانی‌فایل‌هایی تولید کرد که به طور کامل با زمینه خود ترکیب شده و حداکثر جذابیت را برای مهاجم داشته باشند.
• افزایش دقت در شناسایی نفوذ: هانی‌فایل‌های جذاب‌تر، شانس تعامل مهاجم را افزایش می‌دهند. این به معنای شناسایی سریع‌تر و مطمئن‌تر نفوذها است و به تیم‌های امنیتی زمان بیشتری برای واکنش می‌دهد.
• جمع‌آوری اطلاعات استراتژیک از مهاجم: با قرار دادن هانی‌فایل‌های متنوع در نقاط مختلف شبکه که هر کدام به موضوع خاصی (مانند اطلاعات مالی، مالکیت معنوی، داده‌های مشتریان) اشاره دارند، می‌توان از رفتار مهاجم اطلاعات ارزشمندی کسب کرد. اینکه مهاجم کدام هانی‌فایل را باز می‌کند، نشان‌دهنده نیت و هدف اصلی اوست.
• مثال عملی: فرض کنید یک سیستم دفاعی خودکار، پوشه مربوط به واحد تحقیق و توسعه (R&D) را تحلیل می‌کند و موضوعاتی مانند «پروتوتایپ‌های جدید»، «نتایج آزمایش‌های بالینی» و «فرمول‌های شیمیایی» را شناسایی می‌کند. این سیستم می‌تواند با استفاده از TSM، یک هانی‌فایل با نام «نتایج نهایی پروژه محرمانه تایتان.docx» را ارزیابی کرده و با کسب امتیاز بالا، آن را در همان پوشه قرار دهد. تعامل هر کاربری با این فایل، یک هشدار امنیتی فوری ایجاد خواهد کرد.

مقاله “TSM: Measuring the Enticement of Honeyfiles with Natural Language Processing” یک گام بزرگ رو به جلو در زمینه فریب سایبری است. این پژوهش با معرفی معیار TSM، راهکاری علمی، داده‌محور و کمی برای حل چالش قدیمی «جذابیت هانی‌فایل‌ها» ارائه می‌دهد. با جایگزین کردن شهود انسانی با تحلیل‌های دقیق مبتنی بر پردازش زبان طبیعی، TSM به مدافعان سایبری این امکان را می‌دهد که تله‌های دیجیتال خود را هوشمندانه‌تر، مؤثرتر و باورپذیرتر طراحی کنند.

این ابزار نه تنها به شناسایی بهتر نفوذگران کمک می‌کند، بلکه درک عمیق‌تری از اهداف و انگیزه‌های آن‌ها فراهم می‌آورد. TSM مسیری جدید برای توسعه نسل بعدی سیستم‌های دفاعی پویا و تطبیق‌پذیر باز می‌کند که می‌توانند به طور خودکار در برابر تهدیدات نوظهور واکنش نشان دهند و امنیت سازمان‌ها را در چشم‌انداز پیچیده امروزی تقویت کنند.