در دنیای پرشتاب امروز، تهدیدات سایبری به طور مداوم در حال تکامل هستند و سازمان‌ها را با چالش‌های جدیدی روبرو می‌کنند. برای مقابله موثر با این تهدیدات، داشتن اطلاعات دقیق و به‌روز از نحوه عملکرد مهاجمان و ابزارهایی که استفاده می‌کنند، ضروری است. این اطلاعات، که به عنوان اطلاعات تهدیدات سایبری (CTI) شناخته می‌شوند، می‌توانند از منابع مختلفی مانند گزارش‌های امنیتی، مقالات آنلاین و فروم‌های هکرها جمع‌آوری شوند.

جمع‌آوری و تحلیل دستی این اطلاعات زمان‌بر و پرهزینه است و نمی‌تواند با سرعت تغییرات در چشم‌انداز تهدیدات همگام شود. به همین دلیل، خودکارسازی استخراج اطلاعات تهدیدات سایبری از متن به یک زمینه تحقیقاتی مهم تبدیل شده است. مقاله‌ای که در اینجا مورد بررسی قرار می‌گیرد، به بررسی روش‌ها و تکنیک‌های مختلفی می‌پردازد که در این زمینه استفاده می‌شوند.

این مقاله توسط Md Rayhanur Rahman، Rezvan Mahdavi-Hezaveh و Laurie Williams نوشته شده است. نویسندگان در زمینه‌های رمزنگاری و امنیت، پردازش زبان‌های طبیعی و یادگیری ماشین تخصص دارند. این تخصص‌های متنوع به آن‌ها اجازه می‌دهد تا به طور جامع به چالش‌های استخراج اطلاعات تهدیدات سایبری از متن بپردازند.

چکیده این مقاله بر این نکته تاکید دارد که محققان امنیت سایبری، تلاش‌های زیادی برای خودکارسازی استخراج اطلاعات تهدیدات سایبری از منابع متنی انجام داده‌اند. هدف این مقاله، کمک به محققان در درک بهتر تکنیک‌های فعلی مورد استفاده در استخراج اطلاعات تهدیدات سایبری از متن، از طریق بررسی مقالات مرتبط است. نویسندگان به طور سیستماتیک مقالات مرتبط با “استخراج اطلاعات تهدیدات سایبری از متن” را جمع‌آوری و هدف‌های مختلف استخراج اطلاعات تهدیدات سایبری را دسته‌بندی کرده‌اند. آن‌ها یک خط لوله استخراج اطلاعات تهدیدات سایبری را پیشنهاد می‌کنند که از این مطالعات انتزاع شده است. همچنین، منابع داده، تکنیک‌ها و فرمت‌های اشتراک‌گذاری اطلاعات تهدیدات سایبری مورد استفاده در این خط لوله را شناسایی می‌کنند.

به طور خلاصه، این مقاله به بررسی جامع روش‌های خودکارسازی استخراج اطلاعات تهدیدات سایبری از منابع متنی می‌پردازد. نویسندگان با بررسی مقالات مختلف، یک خط لوله پیشنهادی برای این فرآیند ارائه می‌دهند و چالش‌ها و فرصت‌های موجود در این زمینه را بررسی می‌کنند.

روش‌شناسی این تحقیق بر پایه یک بررسی سیستماتیک از مقالات مرتبط با استخراج اطلاعات تهدیدات سایبری از متن استوار است. نویسندگان با استفاده از کلمات کلیدی مناسب، مقالات مرتبط را از پایگاه‌های داده علمی جمع‌آوری کرده‌اند. سپس، این مقالات را بر اساس هدف‌های استخراج اطلاعات تهدیدات سایبری، منابع داده، تکنیک‌ها و فرمت‌های اشتراک‌گذاری اطلاعات تهدیدات سایبری دسته‌بندی کرده‌اند.

این روش به نویسندگان اجازه می‌دهد تا یک دید جامع از وضعیت فعلی تحقیقات در این زمینه به دست آورند و یک خط لوله پیشنهادی برای استخراج اطلاعات تهدیدات سایبری ارائه دهند. برای مثال، نویسندگان ممکن است از پایگاه‌داده‌هایی مانند IEEE Xplore، ACM Digital Library و ScienceDirect برای یافتن مقالات مرتبط استفاده کرده باشند و سپس با استفاده از معیارهای مشخص، مقالات مرتبط را انتخاب کرده‌اند.

این مقاله یافته‌های کلیدی متعددی را ارائه می‌دهد که درک ما را از چالش‌ها و فرصت‌های موجود در زمینه خودکارسازی استخراج اطلاعات تهدیدات سایبری از متن افزایش می‌دهد. برخی از این یافته‌ها عبارتند از:

• اهداف استخراج اطلاعات تهدیدات سایبری: نویسندگان ده نوع هدف استخراج اطلاعات تهدیدات سایبری را شناسایی کرده‌اند، از جمله استخراج نشانه‌های سازش (IOCs)، تاکتیک‌ها، تکنیک‌ها و رویه‌های حمله (TTPs) و کلمات کلیدی امنیت سایبری. برای مثال، IOCها می‌توانند شامل آدرس‌های IP مخرب، دامنه‌های جعلی و هش‌های فایل‌های آلوده باشند.
• منابع داده: نویسندگان هفت نوع منبع متنی را برای استخراج اطلاعات تهدیدات سایبری شناسایی کرده‌اند. داده‌های متنی به دست آمده از فروم‌های هکرها، گزارش‌های تهدید، پست‌های رسانه‌های اجتماعی و مقالات خبری آنلاین توسط تقریباً ۹۰٪ از مطالعات استفاده شده است.
• تکنیک‌ها: پردازش زبان طبیعی (NLP) به همراه تکنیک‌های یادگیری ماشین نظارت شده و بدون نظارت مانند تشخیص موجودیت نام‌گذاری شده (NER)، مدل‌سازی موضوعی، تجزیه وابستگی، طبقه‌بندی نظارت شده و خوشه‌بندی برای استخراج اطلاعات تهدیدات سایبری استفاده می‌شود. به عنوان مثال، NER می‌تواند برای شناسایی خودکار اسامی بدافزارها، گروه‌های هکری و آسیب‌پذیری‌ها در متون استفاده شود.
• چالش‌ها: نویسندگان چالش‌های فنی مرتبط با این مطالعات را شناسایی کرده‌اند که مربوط به به دست آوردن داده‌های پاک، برچسب‌گذاری شده و در دسترس است که می‌تواند تکرار، اعتبارسنجی و گسترش بیشتر مطالعات را تضمین کند.

این مقاله کاربردها و دستاوردهای مهمی در زمینه امنیت سایبری دارد. با خودکارسازی استخراج اطلاعات تهدیدات سایبری، سازمان‌ها می‌توانند:

• تهدیدها را به طور فعال اولویت‌بندی کنند: با داشتن اطلاعات به‌روز از تهدیدات موجود، سازمان‌ها می‌توانند منابع خود را به طور موثرتری برای مقابله با مهم‌ترین تهدیدات اختصاص دهند.
• مدل‌سازی تهدید خودکار را انجام دهند: اطلاعات استخراج شده می‌تواند برای ایجاد مدل‌های تهدید خودکار استفاده شود که به سازمان‌ها در شناسایی و ارزیابی آسیب‌پذیری‌های خود کمک می‌کند.
• از دانش حوادث سایبری گذشته استفاده کنند: با تحلیل اطلاعات مربوط به حوادث سایبری گذشته، سازمان‌ها می‌توانند الگوهای حملات را شناسایی کرده و از وقوع مجدد آن‌ها جلوگیری کنند.
• تصمیم‌گیری فعالانه‌تری داشته باشند: با داشتن اطلاعات دقیق و به‌روز، متخصصان امنیت سایبری می‌توانند تصمیم‌گیری فعالانه‌تری در مورد نحوه مقابله با تهدیدات داشته باشند.

به عنوان مثال، یک شرکت می‌تواند از اطلاعات استخراج شده برای تنظیم فایروال خود به منظور مسدود کردن ترافیک از آدرس‌های IP مخرب شناسایی شده در گزارش‌های تهدید استفاده کند. همچنین، می‌تواند از این اطلاعات برای آموزش کارمندان خود در مورد تکنیک‌های مهندسی اجتماعی مورد استفاده توسط مهاجمان استفاده کند.

در مجموع، این مقاله یک بررسی ارزشمند از وضعیت فعلی تحقیقات در زمینه خودکارسازی استخراج اطلاعات تهدیدات سایبری از متن ارائه می‌دهد. نویسندگان با بررسی سیستماتیک مقالات مختلف، یک خط لوله پیشنهادی برای این فرآیند ارائه می‌دهند و چالش‌ها و فرصت‌های موجود در این زمینه را بررسی می‌کنند. این مقاله می‌تواند به محققان و متخصصان امنیت سایبری کمک کند تا درک بهتری از این زمینه داشته باشند و از روش‌های خودکارسازی برای مقابله موثرتر با تهدیدات سایبری استفاده کنند.

با توجه به اهمیت روزافزون اطلاعات تهدیدات سایبری در دنیای امروز، تحقیقات در این زمینه اهمیت ویژه‌ای دارد. این مقاله می‌تواند به عنوان یک نقطه شروع برای محققان جدید در این زمینه عمل کند و به آن‌ها در شناسایی زمینه‌های تحقیقاتی جدید کمک کند.