در دنیای امروز، حجم داده‌ها به‌طور سرسام‌آوری در حال افزایش است و مقابله با جرایم سایبری و حفظ امنیت دیجیتال، نیازمند ابزارها و روش‌های نوین و کارآمد است. در این میان، «تطبیق تقریبی» (Approximate Matching – AM) به عنوان یک تکنیک مهم در جرم‌شناسی دیجیتال (Digital Forensics) مطرح می‌شود. این مقاله به بررسی یک رویکرد جدید برای بهبود تطبیق تقریبی با استفاده از تلفیق هوش مصنوعی و شبکه‌های ترنسفورمر می‌پردازد.

تطبیق تقریبی (AM) به فرآیندی اطلاق می‌شود که در آن، به دنبال یافتن شباهت بین مصنوعات دیجیتالی مختلف می‌گردیم. اهمیت این تکنیک در حوزه جرم‌شناسی دیجیتال از آن‌جا ناشی می‌شود که اغلب، محققان با نسخه‌های ناقص یا تغییر یافته از فایل‌ها و داده‌ها روبرو هستند. تصور کنید که یک محقق جرم‌شناسی دیجیتال، تنها به یک قطعه کوچک از یک بدافزار (Malware) شناخته شده دسترسی دارد. در این شرایط، یک الگوریتم تطبیق تقریبی کارآمد باید بتواند این قطعه را با بدافزار اصلی در لیست سیاه (Blacklist) مطابقت دهد.

روش‌های سنتی تطبیق تقریبی، مانند TLSH و ssdeep، در تشخیص فایل‌ها بر اساس قطعات کوچک، به‌ویژه زمانی که اندازه قطعه نسبت به کل فایل کوچک باشد، با مشکل مواجه می‌شوند. علاوه بر این، با افزایش روزافزون حجم پایگاه‌های داده‌ای که باید جستجو شوند، این الگوریتم‌ها از نظر مقیاس‌پذیری نیز دچار محدودیت می‌شوند. این مقاله با ارائه یک الگوریتم بهبود یافته مبتنی بر مدل‌های ترنسفورمر از حوزه پردازش زبان طبیعی (Natural Language Processing – NLP)، سعی در رفع این مشکلات دارد.

این مقاله توسط فریدر اولیگ، لوکاس استراپک، دومینیک هینترسدورف، توماس گوبل، هارالد بایر و کریستین کرستینگ نوشته شده است. نویسندگان این مقاله، متخصصان حوزه‌های رمزنگاری و امنیت، و همچنین یادگیری ماشین (Machine Learning) هستند. تخصص و تجربه آن‌ها در این زمینه‌ها، به ارائه یک راهکار نوآورانه و کاربردی در حوزه تطبیق تقریبی کمک کرده است.

این تحقیق در مرز بین جرم‌شناسی دیجیتال، هوش مصنوعی و پردازش زبان طبیعی انجام شده است. محققان با استفاده از قدرت شبکه‌های ترنسفورمر، که به طور گسترده در NLP مورد استفاده قرار می‌گیرند، سعی در حل چالش‌های موجود در تطبیق تقریبی داده‌های دیجیتال دارند.

چکیده این مقاله به این شرح است: تطبیق تقریبی (AM) یک مفهوم در جرم‌شناسی دیجیتال برای تعیین میزان شباهت بین مصنوعات دیجیتال است. یک مورد استفاده مهم از AM، تشخیص قابل اعتماد و کارآمد ساختارهای داده مرتبط با پرونده در یک لیست سیاه است، حتی اگر فقط قطعاتی از نسخه اصلی در دسترس باشد. الگوریتم AM باید بتواند قطعه موجود را به بدافزار موجود در لیست سیاه اختصاص دهد، حتی اگر فقط یک خوشه از بدافزار ایندکس‌شده در طول تحقیقات جرم‌شناسی دیجیتال وجود داشته باشد. با این حال، توابع AM سنتی مانند TLSH و ssdeep در تشخیص فایل‌ها بر اساس قطعات‌شان در صورتی که قطعه ارائه شده در مقایسه با اندازه کلی فایل نسبتاً کوچک باشد، با مشکل مواجه می‌شوند. یک مشکل شناخته شده دیگر در مورد الگوریتم‌های AM سنتی، عدم مقیاس‌پذیری به دلیل پایگاه‌های داده جستجوی دائماً در حال افزایش است. ما یک الگوریتم تطبیق بهبود یافته مبتنی بر مدل‌های ترنسفورمر از زمینه پردازش زبان طبیعی پیشنهاد می‌کنیم. رویکرد خود را تطبیق تقریبی با یادگیری عمیق (Deep Learning Approximate Matching – DLAM) می‌نامیم. DLAM به عنوان یک مفهوم از هوش مصنوعی (AI)، در طول مرحله آموزش خود، دانش الگوهای مشخصه لیست سیاه را به دست می‌آورد. سپس DLAM می‌تواند الگوها را در یک فایل بزرگتر شناسایی کند، یعنی DLAM بر استفاده از تشخیص قطعه تمرکز دارد. ما نشان می‌دهیم که DLAM در مقایسه با رویکردهای مرسوم TLSH و ssdeep دارای سه مزیت کلیدی است. اولاً، استخراج طاقت‌فرسای قسمت‌هایی که قبلاً به عنوان قسمت‌های بد شناخته شده‌اند را که تا کنون قبل از هرگونه جستجو برای آنها با الگوریتم‌های AM ضروری بود، منسوخ می‌کند. این امر امکان طبقه‌بندی کارآمد فایل‌ها در مقیاسی بسیار بزرگتر را فراهم می‌کند که به دلیل افزایش تصاعدی داده‌هایی که باید بررسی شوند، مهم است. دوم، بسته به مورد استفاده، DLAM به دقت مشابه یا حتی به طور قابل توجهی بالاتر در بازیابی قطعات فایل‌های لیست سیاه دست می‌یابد. سوم، نشان می‌دهیم که DLAM امکان تشخیص همبستگی فایل‌ها را در خروجی TLSH و ssdeep حتی برای اندازه‌های کوچک قطعه فراهم می‌کند.

به طور خلاصه، این مقاله یک روش جدید به نام DLAM را برای تطبیق تقریبی معرفی می‌کند که با استفاده از شبکه‌های ترنسفورمر و یادگیری عمیق، قادر به شناسایی قطعات کوچک از فایل‌های مخرب در حجم زیادی از داده‌ها است. این روش، محدودیت‌های روش‌های سنتی را برطرف کرده و دقت و کارایی را به طور قابل توجهی افزایش می‌دهد.

روش‌شناسی تحقیق در این مقاله، شامل مراحل زیر است:

• آماده‌سازی داده‌ها: جمع‌آوری و آماده‌سازی مجموعه داده‌ای شامل فایل‌های مخرب (به عنوان لیست سیاه) و فایل‌های سالم. این داده‌ها برای آموزش و ارزیابی مدل DLAM استفاده می‌شوند.
• آموزش مدل DLAM: استفاده از شبکه‌های ترنسفورمر و تکنیک‌های یادگیری عمیق برای آموزش مدل DLAM. در این مرحله، مدل یاد می‌گیرد الگوهای مشخصه فایل‌های مخرب را شناسایی کند.
• ارزیابی مدل DLAM: ارزیابی عملکرد مدل DLAM در تشخیص قطعات فایل‌های مخرب در مقایسه با روش‌های سنتی TLSH و ssdeep. در این مرحله، از معیارهای مختلفی مانند دقت (Accuracy)، صحت (Precision) و فراخوانی (Recall) برای اندازه‌گیری عملکرد مدل استفاده می‌شود.
• تحلیل نتایج: تحلیل نتایج ارزیابی و بررسی مزایا و معایب مدل DLAM در مقایسه با روش‌های سنتی.

یکی از نوآوری‌های این تحقیق، استفاده از شبکه‌های ترنسفورمر برای حل مسئله تطبیق تقریبی است. شبکه‌های ترنسفورمر، به دلیل توانایی‌شان در مدل‌سازی روابط بین داده‌ها، به طور گسترده در پردازش زبان طبیعی مورد استفاده قرار می‌گیرند. در این مقاله، از این شبکه‌ها برای مدل‌سازی روابط بین قطعات مختلف یک فایل و شناسایی الگوهای مشخصه فایل‌های مخرب استفاده شده است.

نتایج این تحقیق نشان می‌دهد که مدل DLAM، در مقایسه با روش‌های سنتی TLSH و ssdeep، دارای سه مزیت کلیدی است:

• حذف نیاز به استخراج دستی قطعات مخرب: روش‌های سنتی تطبیق تقریبی، نیازمند استخراج دستی قطعاتی از فایل‌ها هستند که به عنوان قطعات مخرب شناخته می‌شوند. این فرآیند، زمان‌بر و دشوار است. مدل DLAM، با استفاده از یادگیری عمیق، قادر به شناسایی این قطعات به طور خودکار است.
• دقت بالاتر در تشخیص قطعات فایل‌های مخرب: نتایج ارزیابی نشان می‌دهد که مدل DLAM، در تشخیص قطعات فایل‌های مخرب، دقت مشابه یا حتی بالاتری نسبت به روش‌های سنتی دارد. این امر، به ویژه در مواردی که اندازه قطعه نسبت به کل فایل کوچک باشد، اهمیت بیشتری پیدا می‌کند.
• امکان تشخیص همبستگی فایل‌ها در خروجی TLSH و ssdeep: مدل DLAM می‌تواند از خروجی روش‌های سنتی TLSH و ssdeep برای تشخیص همبستگی بین فایل‌ها استفاده کند. این امر، می‌تواند به محققان جرم‌شناسی دیجیتال در شناسایی ارتباط بین فایل‌های مختلف کمک کند.

به عنوان مثال، تصور کنید که یک محقق جرم‌شناسی دیجیتال، با تعدادی فایل مشکوک روبرو است که اندازه قطعات مخرب در آن‌ها بسیار کوچک است. در این شرایط، استفاده از روش‌های سنتی تطبیق تقریبی ممکن است نتایج دقیقی ارائه ندهد. اما با استفاده از مدل DLAM، محقق می‌تواند به طور خودکار قطعات مخرب را شناسایی کرده و همبستگی بین فایل‌ها را تشخیص دهد.

این تحقیق، دارای کاربردهای فراوانی در حوزه جرم‌شناسی دیجیتال و امنیت سایبری است. برخی از این کاربردها عبارتند از:

• شناسایی سریع‌تر و دقیق‌تر بدافزارها: مدل DLAM می‌تواند به طور خودکار بدافزارها را شناسایی کند، حتی اگر فقط قطعاتی از آن‌ها در دسترس باشد. این امر، می‌تواند به متخصصان امنیت سایبری در مقابله با تهدیدات سایبری کمک کند.
• تحلیل سریع‌تر و کارآمدتر داده‌ها: مدل DLAM می‌تواند به محققان جرم‌شناسی دیجیتال در تحلیل سریع‌تر و کارآمدتر داده‌ها کمک کند. این امر، می‌تواند زمان و هزینه تحقیقات را کاهش دهد.
• بهبود امنیت سیستم‌های کامپیوتری: مدل DLAM می‌تواند به بهبود امنیت سیستم‌های کامپیوتری کمک کند. با شناسایی سریع‌تر و دقیق‌تر بدافزارها، می‌توان از آسیب رسیدن به سیستم‌های کامپیوتری جلوگیری کرد.

یکی از دستاوردهای مهم این تحقیق، ارائه یک روش جدید و کارآمد برای تطبیق تقریبی داده‌ها است. این روش، می‌تواند به محققان جرم‌شناسی دیجیتال و متخصصان امنیت سایبری در مقابله با چالش‌های جدید در این حوزه‌ها کمک کند.

در مجموع، این مقاله یک رویکرد نوآورانه و امیدوارکننده برای بهبود تطبیق تقریبی داده‌ها ارائه می‌دهد. مدل DLAM، با استفاده از شبکه‌های ترنسفورمر و یادگیری عمیق، قادر به شناسایی قطعات کوچک از فایل‌های مخرب در حجم زیادی از داده‌ها است. این روش، محدودیت‌های روش‌های سنتی را برطرف کرده و دقت و کارایی را به طور قابل توجهی افزایش می‌دهد. انتظار می‌رود که این تحقیق، تأثیر قابل توجهی بر حوزه جرم‌شناسی دیجیتال و امنیت سایبری داشته باشد و به متخصصان در این حوزه‌ها در مقابله با تهدیدات سایبری کمک کند.

با توجه به افزایش روزافزون حجم داده‌ها و پیچیدگی تهدیدات سایبری، توسعه روش‌های نوین و کارآمد برای تطبیق تقریبی داده‌ها، از اهمیت ویژه‌ای برخوردار است. این تحقیق، گامی مهم در این راستا محسوب می‌شود و می‌تواند به عنوان پایه‌ای برای تحقیقات آینده در این حوزه مورد استفاده قرار گیرد.