مقدمه و اهمیت پژوهش

در دنیای پیچیده و به‌سرعت در حال تحول فناوری اطلاعات، امنیت کد و تحلیل آن نقشی حیاتی ایفا می‌کند. شناسایی کد باینری مشابه، یکی از ستون‌های اصلی در کاربردهای امنیتی مختلف مانند جستجوی آسیب‌پذیری‌ها، تحلیل وصله‌های نرم‌افزاری (Patch Analysis) و کشف بدافزارها محسوب می‌شود. با توجه به افزایش چشمگیر آسیب‌پذیری‌های حیاتی در دستگاه‌های اینترنت اشیاء (IoT) که اغلب با معماری‌های سخت‌افزاری و پلتفرم‌های نرم‌افزاری متنوعی روبرو هستیم، نیاز به تشخیص شباهت کد در میان سکوهای مختلف (Cross-platform) بیش از پیش احساس می‌شود. این امر مستلزم توانایی درک و مقایسه معادل معنایی (Semantic Equivalence) قطعات کد، حتی زمانی که در قالب باینری و برای معماری‌های متفاوت ارائه شده‌اند، می‌باشد. روش‌های سنتی در این زمینه اغلب با چالش‌هایی در درک عمیق معنای کد و تعمیم آن به معماری‌های جدید مواجه هستند. در این راستا، پژوهشگران دانشگاهی با ارائه روش نوینی به نام «آستریا» (Asteria)، گامی مهم در جهت رفع این چالش‌ها برداشته‌اند.

نویسندگان و حوزه تحقیق

مقاله «آستریا: تشخیص شباهت کد باینری چندسکویی با رمزگذاری درخت نحو انتزاعی مبتنی بر یادگیری عمیق» توسط تیمی از پژوهشگران شامل شووگوو یانگ (Shouguo Yang)، لانگ چنگ (Long Cheng)، یچنگ زنگ (Yicheng Zeng)، زِه لانگ (Zhe Lang)، هونگ سونگ ژو (Hongsong Zhu) و ژیچیانگ شی (Zhiqiang Shi) ارائه شده است. این پژوهش در حوزه رمزنگاری و امنیت (Cryptography and Security) قرار می‌گیرد و به طور خاص بر روی چالش‌های تشخیص شباهت کد باینری در محیط‌های چندسکویی تمرکز دارد.

چکیده و خلاصه محتوا

چکیده مقاله: تشخیص شباهت کد باینری یک تکنیک اساسی برای بسیاری از برنامه‌های امنیتی مانند جستجوی آسیب‌پذیری، تحلیل وصله و تشخیص بدافزار است. با توجه به افزایش آسیب‌پذیری‌های حیاتی در دستگاه‌های IoT، نیاز به تشخیص کد مشابه برای جستجوی آسیب‌پذیری در میان معماری‌های مختلف رو به افزایش است. تنوع معماری‌های سخت‌افزاری و پلتفرم‌های نرم‌افزاری IoT ایجاب می‌کند که معادل معنایی قطعات کد در تشخیص شباهت، به درستی درک شود. با این حال، رویکردهای موجود در درک شباهت معنایی ناکافی هستند. ما متوجه شدیم که درخت نحو انتزاعی (AST) یک تابع، حاوی اطلاعات معنایی غنی است. با الهام از کاربردهای موفق فناوری‌های پردازش زبان طبیعی در درک معنای جملات، ما یک روش رمزگذاری AST مبتنی بر یادگیری عمیق به نام آستریا (ASTERIA) را برای اندازه‌گیری معادل معنایی توابع در پلتفرم‌های مختلف پیشنهاد می‌کنیم. روش ما از شبکه Tree-LSTM برای یادگیری نمایش معنایی یک تابع از AST آن استفاده می‌کند. سپس، تشخیص شباهت را می‌توان با اندازه‌گیری شباهت بین دو بردار نمایش، به طور مؤثر و دقیقی انجام داد. ما یک نمونه اولیه متن‌باز از آستریا پیاده‌سازی کرده‌ایم. مدل Tree-LSTM بر روی مجموعه داده‌ای شامل 1,022,616 جفت تابع و بر روی مجموعه داده‌ای با 95,078 جفت تابع ارزیابی شده است. نتایج ارزیابی نشان می‌دهد که روش ما با حاشیه قابل توجهی نسبت به ابزار مبتنی بر AST به نام Diaphora و روش پیشرفته Gemini، در تشخیص شباهت باینری برتری دارد. همچنین، روش ما چندین مرتبه از نظر محاسباتی سریع‌تر از Diaphora و Gemini برای محاسبه شباهت است. در کاربرد جستجوی آسیب‌پذیری، ابزار ما با موفقیت 75 تابع آسیب‌پذیر را در 5,979 تصویر سیستم‌عامل (Firmware) دستگاه‌های IoT شناسایی کرد.

خلاصه محتوا: این مقاله رویکردی نوآورانه برای حل یکی از چالش‌های اساسی در حوزه امنیت نرم‌افزار، یعنی تشخیص شباهت کد باینری در میان پلتفرم‌های مختلف، معرفی می‌کند. نویسندگان با بهره‌گیری از قدرت یادگیری عمیق و تمرکز بر ساختار معنایی کد (درخت نحو انتزاعی)، روشی قدرتمند به نام «آستریا» را توسعه داده‌اند. این روش قادر است شباهت معنایی بین توابع باینری را حتی در صورت اجرای آن‌ها بر روی معماری‌های سخت‌افزاری یا سیستم‌عامل‌های متفاوت، با دقت بالا و سرعت قابل توجهی تشخیص دهد. این قابلیت، کاربردهای گسترده‌ای در زمینه‌های حیاتی امنیتی از جمله شناسایی سریع آسیب‌پذیری‌های موجود در حجم عظیمی از نرم‌افزارهای دستگاه‌های IoT و همچنین درک بهتر نحوه گسترش بدافزارها در محیط‌های متنوع، خواهد داشت.

روش‌شناسی تحقیق: آستریا در عمل

قلب تپنده روش «آستریا» در رویکردی هوشمندانه به مدل‌سازی معنای کد باینری نهفته است. این روش بر پایه دو مشاهده کلیدی بنا شده است:

• غنای اطلاعاتی درخت نحو انتزاعی (AST): برخلاف کد منبع که ساختار و منطق برنامه‌نویس را به طور مستقیم نمایان می‌سازد، کد باینری اغلب انتزاعی و متکی بر دستورالعمل‌های سطح پایین پردازنده است. با این حال، تجزیه کد باینری به درخت نحو انتزاعی (AST) آن، اطلاعات ساختاری و سلسله‌مراتبی غنی‌ای را از برنامه آشکار می‌سازد که می‌تواند به نمایش معنای آن کمک کند. AST یک تابع، روابط بین عملیات، متغیرها، ساختارهای کنترلی و فراخوانی‌های توابع را به شکلی سازمان‌یافته به تصویر می‌کشد.
• الهام از پردازش زبان طبیعی (NLP): موفقیت‌های چشمگیر مدل‌های یادگیری عمیق، به ویژه شبکه‌های عصبی بازگشتی (RNN) و ترنسفورمرها، در درک معنا و روابط پیچیده در زبان طبیعی، الهام‌بخش این پژوهش بوده است. نویسندگان استدلال می‌کنند که همان‌طور که این مدل‌ها قادر به درک معنای جملات از توالی کلمات هستند، می‌توانند با مدل‌سازی ساختار درختی AST، معنای توابع را نیز درک کنند.

مراحل اصلی روش آستریا:

• تجزیه کد باینری و ساخت AST: ابتدا، کد باینری مربوط به هر تابع، تجزیه شده و یک درخت نحو انتزاعی (AST) برای آن ساخته می‌شود. این مرحله، کد ماشین را به یک ساختار درختی قابل فهم برای مدل‌های یادگیری عمیق تبدیل می‌کند.
• رمزگذاری AST با استفاده از Tree-LSTM: هسته اصلی روش آستریا، استفاده از شبکه‌های عصبی Long Short-Term Memory (LSTM) سازگار با ساختارهای درختی (Tree-LSTM) است. Tree-LSTM قادر است اطلاعات را در طول شاخه‌های درخت منتشر کرده و روابط پیچیده بین گره‌ها (که نشان‌دهنده عملیات یا عبارات در کد هستند) را مدل کند. هر گره در AST به عنوان یک واحد ورودی برای Tree-LSTM عمل می‌کند و مدل با پردازش ساختار درختی، یک «بردار نمایش معنایی» (Semantic Representation Vector) برای کل تابع تولید می‌کند. این بردار، جوهره معنایی تابع را در فضایی چندبعدی ثبت می‌کند.
• محاسبه شباهت: پس از تولید بردارهای نمایش معنایی برای دو تابع (که ممکن است از پلتفرم‌های مختلف باشند)، شباهت بین آن‌ها با محاسبه فاصله یا شباهت کسینوسی بین بردارهایشان اندازه‌گیری می‌شود. بردارهای نزدیک به هم نشان‌دهنده شباهت معنایی بالا بین دو تابع هستند.

مزایای کلیدی رویکرد Tree-LSTM:

• مدل‌سازی روابط سلسله‌مراتبی: Tree-LSTM به طور طبیعی ساختار درختی AST را درک کرده و روابط والد-فرزندی و گره‌های هم‌سطح را مدل می‌کند.
• یادگیری بازنمایی معنایی: این شبکه قادر است معنای توابع را در بردارها خلاصه کند، بدون اینکه نیاز به تطابق دقیق کلمات کلیدی یا الگوهای دستوری باشد.
• قابلیت تعمیم (Generalization): با آموزش مناسب، مدل می‌تواند شباهت معنایی را حتی برای کدهایی که با رویکردهای مبتنی بر تطابق الگو (Pattern Matching) قابل تشخیص نیستند، شناسایی کند.

یافته‌های کلیدی و نتایج

تیم تحقیقاتی «آستریا» نتایج بسیار امیدوارکننده‌ای را از طریق آزمایش‌های گسترده به دست آورده است:

• عملکرد برتر نسبت به روش‌های موجود: در ارزیابی‌های انجام شده، «آستریا» به طور قابل توجهی از دو ابزار پیشرو در زمینه تشخیص شباهت کد باینری، یعنی Diaphora (که بر پایه مقایسه AST در سطح بالاتر عمل می‌کند) و Gemini (یک روش مدرن دیگر)، پیشی گرفته است. این برتری در معیارهایی مانند دقت و معیارهای بازیابی (Precision and Recall) مشاهده شده است.
• کارایی محاسباتی بالا: یکی از نقاط قوت برجسته «آستریا»، سرعت بسیار بالای آن در محاسبه شباهت است. این روش چندین مرتبه سریع‌تر از Diaphora و Gemini عمل می‌کند. این تفاوت سرعت، «آستریا» را برای پردازش حجم عظیم داده‌های باینری، به‌ویژه در سناریوهایی مانند اسکن انبوه سیستم‌عامل‌های IoT، بسیار مناسب می‌سازد.
• آموزش بر روی مجموعه داده وسیع: مدل Tree-LSTM «آستریا» بر روی یک مجموعه داده عظیم شامل بیش از یک میلیون جفت تابع (1,022,616 جفت) آموزش داده شده و سپس بر روی مجموعه داده‌ای با حدود صدهزار جفت تابع (95,078 جفت) مورد ارزیابی قرار گرفته است. این مقیاس بزرگ آموزش، به مدل اجازه داده است تا الگوهای معنایی پیچیده و متنوعی را بیاموزد و قابلیت تعمیم بالایی پیدا کند.
• شناسایی موفقیت‌آمیز آسیب‌پذیری‌ها: در یک سناریوی کاربردی واقعی، «آستریا» برای جستجوی آسیب‌پذیری در سیستم‌عامل‌های دستگاه‌های IoT به کار گرفته شد. این ابزار توانست با موفقیت 75 تابع دارای آسیب‌پذیری را در میان 5,979 تصویر سیستم‌عامل (Firmware) شناسایی کند. این دستاورد نشان‌دهنده پتانسیل عملی و ارزشمندی «آستریا» در ارتقاء امنیت دستگاه‌های هوشمند است.

نکات برجسته یافته‌ها:

• استفاده از AST به عنوان نمایش معنایی غنی: رویکرد اصلی مقاله بر این ایده استوار است که AST، فراتر از صرف ساختار، حاوی اطلاعات معنایی عمیقی است که می‌توان از آن برای تشخیص شباهت کد باینری بهره برد.
• ترکیب Tree-LSTM و کد باینری: نوآوری در به‌کارگیری مدل‌های یادگیری عمیق مانند Tree-LSTM برای رمزگذاری اطلاعات موجود در AST، که منجر به درک معنایی دقیق‌تر و چندسکویی می‌شود.
• سرعت و دقت در کنار هم: «آستریا» توانسته است به طور همزمان، هم دقت بالایی در تشخیص شباهت ارائه دهد و هم از نظر محاسباتی بسیار کارآمد باشد، که این ترکیب در ابزارهای مشابه کمتر دیده می‌شود.

کاربردها و دستاوردها

دستاورد اصلی مقاله «آستریا»، ارائه یک چارچوب قدرتمند و کارآمد برای تشخیص شباهت کد باینری چندسکویی است که درب‌های جدیدی را به روی کاربردهای امنیتی باز می‌کند:

• جستجوی آسیب‌پذیری (Vulnerability Search): این مهم‌ترین کاربرد «آستریا» است. با توانایی تشخیص توابع مشابه در کد باینری، می‌توان بخش‌های آسیب‌پذیر یک نرم‌افزار شناخته شده را در هزاران یا میلیون‌ها برنامه دیگر، حتی اگر برای پلتفرم‌های متفاوت کامپایل شده باشند، به سرعت شناسایی کرد. این امر به خصوص برای ایمن‌سازی اکوسیستم گسترده دستگاه‌های IoT که اغلب دارای نرم‌افزارهای قدیمی یا فاقد به‌روزرسانی‌های امنیتی هستند، حیاتی است.
• تحلیل وصله‌های نرم‌افزاری (Patch Analysis): پس از انتشار یک وصله امنیتی، می‌توان با استفاده از «آستریا»، تأثیر آن را بر روی نسخه‌های مختلف نرم‌افزار یا نرم‌افزارهای مشابه در پلتفرم‌های مختلف بررسی کرد. این کار به اطمینان از اعمال صحیح وصله و شناسایی نقاطی که ممکن است همچنان آسیب‌پذیر باقی مانده باشند، کمک می‌کند.
• تشخیص بدافزار (Malware Detection): شناسایی خانواده‌های بدافزار و گونه‌های جدید آن‌ها، یکی دیگر از کاربردهای کلیدی است. «آستریا» می‌تواند با مقایسه بخش‌های کد بدافزارهای شناخته شده با فایل‌های مشکوک، به شناسایی و طبقه‌بندی بدافزارها کمک کند.
• مهندسی معکوس (Reverse Engineering): درک عملکرد نرم‌افزارهای پیچیده، به‌خصوص در غیاب کد منبع، با استفاده از «آستریا» تسهیل می‌شود. شباهت بین توابع مختلف می‌تواند سرنخ‌هایی در مورد قابلیت‌ها و بخش‌های کلیدی یک برنامه ارائه دهد.
• مدیریت دارایی‌های نرم‌افزاری: در سازمان‌های بزرگ، ردیابی نسخه‌ها و وابستگی‌های نرم‌افزاری برای اطمینان از انطباق با مجوزها و استانداردها اهمیت دارد. «آستریا» می‌تواند به شناسایی کدهای مشابه استفاده شده در محصولات مختلف کمک کند.

دستاورد مهم این پژوهش، ارائه‌ی یک نمونه اولیه متن‌باز از «آستریا» است که به پژوهشگران و متخصصان امنیت این امکان را می‌دهد تا از این فناوری بهره‌مند شده و آن را گسترش دهند.

نتیجه‌گیری

پژوهش «آستریا: تشخیص شباهت کد باینری چندسکویی با رمزگذاری درخت نحو انتزاعی مبتنی بر یادگیری عمیق» یک گام رو به جلو در زمینه امنیت نرم‌افزار و تحلیل کد باینری محسوب می‌شود. نویسندگان با درک عمیق از چالش‌های ناشی از تنوع معماری‌ها و پلتفرم‌ها در عصر اینترنت اشیاء، راهکاری نوآورانه ارائه داده‌اند که با بهره‌گیری از قدرت یادگیری عمیق و ساختار معنایی درخت نحو انتزاعی، قادر است شباهت کد باینری را با دقت و سرعت بی‌سابقه‌ای تشخیص دهد.

یافته‌های این مقاله نشان‌دهنده کارایی بالای «آستریا» در مقایسه با روش‌های پیشین و همچنین سرعت چشمگیر آن است. توانایی این ابزار در شناسایی مؤثر آسیب‌پذیری‌ها در سیستم‌عامل‌های دستگاه‌های IoT، پتانسیل بالای آن را در افزایش امنیت و استحکام سیستم‌های دیجیتال ما برجسته می‌سازد. با توجه به رشد روزافزون حجم نرم‌افزارهای باینری و پیچیدگی روزافزون تهدیدات امنیتی، ابزارهایی مانند «آستریا» نقشی کلیدی در حفاظت از زیرساخت‌های دیجیتال ایفا خواهند کرد. توسعه و انتشار متن‌باز این ابزار، نویدبخش پیشرفت‌های آتی در این حوزه و ایجاد اکوسیستمی امن‌تر برای فناوری‌های آینده است.