در دنیای دیجیتال امروز، سیستم‌عامل ویندوز به دلیل محبوبیت و گستردگی استفاده، به هدف اصلی مهاجمان سایبری و نویسندگان بدافزار تبدیل شده است. هر روز شاهد ظهور انواع جدید و پیچیده‌ای از بدافزارها هستیم که با استفاده از تکنیک‌های پیشرفته، روش‌های سنتی تشخیص مانند شناسایی مبتنی بر امضا (Signature-based) را دور می‌زنند. این روش‌های سنتی در برابر تهدیدات جدید، به‌ویژه حملات روز صفر (zero-day)، کارایی خود را از دست داده‌اند. حملات روز صفر به بدافزارهایی اطلاق می‌شود که برای سیستم‌های امنیتی ناشناخته هستند و هنوز هیچ پادزهر یا امضای مشخصی برای آن‌ها وجود ندارد.

در چنین شرایطی، رویکردهای مبتنی بر تحلیل رفتار (Behaviour-based) اهمیت ویژه‌ای پیدا می‌کنند. این رویکردها به جای تمرکز بر «ساختار» یک فایل، بر «رفتار» آن پس از اجرا تمرکز دارند. به عبارت دیگر، این سیستم‌ها بررسی می‌کنند که یک برنامه چه کارهایی در سیستم‌عامل انجام می‌دهد؛ مثلاً به کدام فایل‌ها دسترسی پیدا می‌کند، چه کلیدهایی را در رجیستری ویندوز تغییر می‌دهد یا با چه سرورهایی در اینترنت ارتباط برقرار می‌کند. مقاله «MalDetConv» یک گام بلند در این مسیر برداشته و یک چارچوب هوشمند و خودکار برای تشخیص بدافزار بر اساس تحلیل رفتار با استفاده از آخرین دستاوردهای هوش مصنوعی، یعنی پردازش زبان طبیعی (NLP) و یادگیری عمیق (Deep Learning)، ارائه می‌دهد. اهمیت این پژوهش در توانایی آن برای شناسایی بدافزارهای ناشناخته و ارائه یک راهکار دقیق و قابل اعتماد برای تحلیلگران امنیتی نهفته است.

این مقاله توسط تیمی از پژوهشگران برجسته در حوزه امنیت سایبری و هوش مصنوعی به رشته تحریر درآمده است:

• پاسکال مانیریهو (Pascal Maniriho)
• عبدالناصر محمود (Abdun Naser Mahmood)
• محمد جابد مرشد چاودوری (Mohammad Jabed Morshed Chowdhury)

این پژوهشگران در زمینه تلاقی امنیت اطلاعات و یادگیری ماشین فعالیت می‌کنند و تحقیقاتشان بر روی توسعه روش‌های نوین برای مقابله با تهدیدات سایبری متمرکز است. این مقاله در دسته موضوعی «رمزنگاری و امنیت» قرار می‌گیرد و نشان‌دهنده تلاش جامعه علمی برای بهره‌گیری از هوش مصنوعی جهت تقویت خطوط دفاعی در برابر حملات سایبری است. این کار پژوهشی، ترکیبی از دانش تحلیل بدافزار، مهندسی داده، پردازش زبان طبیعی و معماری‌های پیچیده شبکه‌های عصبی را به نمایش می‌گذارد.

مقاله حاضر دو دستاورد اصلی را معرفی می‌کند. اولین دستاورد، ارائه یک مجموعه داده جدید به نام MalBehavD-V1 است. این مجموعه داده شامل توالی فراخوانی‌های API (Application Programming Interface) ویندوز است که از اجرای فایل‌های اجرایی خوش‌خیم و بدخیم در یک محیط ایزوله و کنترل‌شده (تحلیل پویا یا Dynamic Analysis) استخراج شده است. فراخوانی‌های API در واقع دستوراتی هستند که یک برنامه برای تعامل با سیستم‌عامل صادر می‌کند و تحلیل این توالی‌ها می‌تواند سرنخ‌های ارزشمندی از نیت برنامه ارائه دهد.

دومین و اصلی‌ترین دستاورد، چارچوب نوآورانه MalDetConv است. این چارچوب برای شناسایی خودکار بدافزارهای شناخته‌شده و ناشناخته طراحی شده است. فرآیند کار آن به این صورت است که ابتدا توالی فراخوانی‌های API را به کمک تکنیک‌های پردازش زبان طبیعی به یک فرمت عددی قابل فهم برای مدل‌های یادگیری عمیق تبدیل می‌کند. سپس، از یک مدل ترکیبی قدرتمند متشکل از شبکه عصبی کانولوشنی (CNN) و واحد بازگشتی دردار دوطرفه (BiGRU) برای استخراج ویژگی‌های سطح بالا و الگوهای پیچیده از این توالی‌ها استفاده می‌کند. در نهایت، این ویژگی‌ها به یک شبکه عصبی کاملاً متصل (Fully Connected) داده می‌شوند تا فایل را به عنوان «بدافزار» یا «خوش‌خیم» طبقه‌بندی کند. یکی از ویژگی‌های برجسته این چارچوب، مؤلفه تفسیرپذیری (Explainability) آن است که به تحلیلگران امنیتی نشان می‌دهد کدام بخش از رفتار برنامه باعث شده تا به عنوان بدافزار شناسایی شود، که این امر فرآیند تصمیم‌گیری را شفاف و کارآمد می‌سازد.

معماری و روش‌شناسی چارچوب MalDetConv از چهار مرحله اصلی تشکیل شده است که هر یک نقش کلیدی در دقت و کارایی نهایی سیستم ایفا می‌کنند:

• مرحله اول: جمع‌آوری داده با تحلیل پویا
  در این مرحله، فایل‌های اجرایی (EXE) در یک محیط ایزوله (Sandbox) اجرا می‌شوند. در حین اجرا، تمام تعاملات برنامه با سیستم‌عامل، به‌ویژه فراخوانی‌های API، ثبت و ضبط می‌شود. خروجی این مرحله، یک دنباله طولانی از نام‌های API است که نمایانگر «داستان رفتار» برنامه است. برای مثال، دنباله‌ای مانند CreateFileW -> WriteFile -> RegCreateKeyExW -> Socket -> Connect می‌تواند نشان‌دهنده یک رفتار مشکوک باشد. مجموعه داده MalBehavD-V1 نیز با همین روش تولید شده است.
• مرحله دوم: پیش‌پردازش با رویکرد NLP
  مدل‌های یادگیری عمیق قادر به درک مستقیم متن نیستند. بنابراین، توالی فراخوانی‌های API باید به بردارهای عددی تبدیل شود. در این پژوهش، از یک رمزگذار مبتنی بر پردازش متن استفاده شده است. این رمزگذار هر فراخوانی API را مانند یک «کلمه» در یک «جمله» در نظر می‌گیرد و آن را به یک بردار عددی (Embedding) تبدیل می‌کند که معنای معنایی و ارتباط آن با سایر فراخوانی‌ها را در خود جای داده است.
• مرحله سوم: استخراج ویژگی با مدل ترکیبی CNN-BiGRU
  این بخش قلب تپنده مدل MalDetConv است. داده‌های برداری شده به یک مدل هیبریدی وارد می‌شوند:
  • شبکه عصبی کانولوشنی (CNN): این بخش از مدل برای شناسایی الگوهای محلی و کوتاه‌مدت در توالی APIها تخصص دارد. برای مثال، می‌تواند یک ترکیب سه‌تایی یا چهارتایی از فراخوانی‌ها که معمولاً در بدافزارها دیده می‌شود را شناسایی کند.
  • واحد بازگشتی دردار دوطرفه (BiGRU): این بخش برای درک وابستگی‌های طولانی‌مدت و زمینه کلی رفتار برنامه طراحی شده است. “دوطرفه” بودن آن به این معناست که توالی را هم از ابتدا به انتها و هم از انتها به ابتدا پردازش می‌کند تا درک عمیق‌تری از کل رفتار برنامه به دست آورد.

  ترکیب این دو مدل به MalDetConv اجازه می‌دهد هم جزئیات دقیق و هم تصویر کلی رفتار بدافزار را به خوبی درک کند.

• مرحله چهارم: طبقه‌بندی و تفسیرپذیری
  ویژگی‌های پیچیده‌ای که توسط مدل CNN-BiGRU استخراج شده‌اند، به یک طبقه‌بند شبکه عصبی ساده‌تر ارسال می‌شوند تا تصمیم نهایی (بدافزار یا خوش‌خیم) گرفته شود. علاوه بر این، مؤلفه تفسیرپذیری با تحلیل وزن‌های مدل، به تحلیلگر نشان می‌دهد که کدام فراخوانی‌های API بیشترین تأثیر را در شناسایی فایل به عنوان بدافزار داشته‌اند.

برای ارزیابی عملکرد چارچوب MalDetConv، محققان آن را بر روی مجموعه داده اختصاصی خود (MalBehavD-V1) و سه مجموعه داده استاندارد دیگر آزمایش کردند. نتایج به دست آمده بسیار چشمگیر و نشان‌دهنده برتری این روش نسبت به سایر تکنیک‌های پیشرفته است:

• دقت ۹۶.۱۰% در شناسایی بدافزارهای دیده‌نشده از مجموعه داده MalBehavD-V1.
• دقت ۹۵.۷۳% بر روی مجموعه داده Allan and John.
• دقت ۹۸.۱۸% بر روی مجموعه داده Brazilian.
• دقت شگفت‌انگیز ۹۹.۹۳% بر روی مجموعه داده Ki-D.

این نتایج، به‌ویژه نرخ دقت بالا بر روی بدافزارهای ناشناخته از مجموعه داده MalBehavD-V1، ثابت می‌کند که این چارچوب توانایی بالایی در مقابله با حملات روز صفر دارد. عملکرد پایدار و دقیق در مجموعه داده‌های مختلف نیز نشان‌دهنده قابلیت تعمیم‌پذیری و استحکام مدل است. این یافته‌ها تأیید می‌کنند که ترکیب تحلیل رفتار با رویکردهای نوین NLP و یادگیری عمیق، راهکاری بسیار مؤثر برای تشخیص بدافزارها در مقیاس بزرگ است.

مقاله MalDetConv فراتر از یک پژوهش نظری صرف بوده و دستاوردها و کاربردهای عملی متعددی را به همراه دارد:

• تقویت نسل جدید آنتی‌ویروس‌ها: این چارچوب می‌تواند به عنوان موتور تشخیص در نرم‌افزارهای ضدویروس نسل جدید (NGAV) و پلتفرم‌های حفاظت از نقطه پایانی (EPP) به کار گرفته شود.
• ابزاری برای تحلیلگران امنیتی: مؤلفه تفسیرپذیری این سیستم، آن را به یک ابزار قدرتمند برای مراکز عملیات امنیت (SOC) تبدیل می‌کند. تحلیلگران می‌توانند به سرعت دلیل مخرب بودن یک فایل را درک کرده و برای مقابله با آن اقدام کنند.
• مجموعه داده‌ای برای جامعه علمی: ارائه مجموعه داده MalBehavD-V1 یک دستاورد مهم است که به سایر محققان اجازه می‌دهد روش‌های جدید خود را بر روی آن آزمایش کرده و زمینه را برای پیشرفت‌های بیشتر فراهم کنند.
• پیشگامی در هوش مصنوعی قابل توضیح (XAI): این مقاله با تمرکز بر تفسیرپذیری، به ترویج مفهوم هوش مصنوعی قابل توضیح در حوزه امنیت سایبری کمک می‌کند، جایی که اعتماد به تصمیمات مدل‌های هوشمند امری حیاتی است.

در نهایت، مقاله MalDetConv یک راهکار جامع، خودکار و بسیار دقیق برای چالش روزافزون بدافزارها در سیستم‌عامل ویندوز ارائه می‌دهد. این پژوهش با ترکیب هوشمندانه تحلیل رفتار پویا، قدرت بازنمایی پردازش زبان طبیعی و توانایی یادگیری الگوهای پیچیده توسط مدل‌های یادگیری عمیق هیبریدی، موفق به دستیابی به نتایجی درخشان شده است. توانایی این چارچوب در شناسایی بدافزارهای ناشناخته و حملات روز صفر با دقت بالا، آن را به یک ابزار بالقوه قدرتمند برای دفاع سایبری در دنیای واقعی تبدیل می‌کند. علاوه بر این، تأکید بر تفسیرپذیری، شکاف میان مدل‌های پیچیده هوش مصنوعی و نیازهای عملی تحلیلگران امنیتی را پر می‌کند. MalDetConv نه تنها یک پیشرفت فنی قابل توجه است، بلکه مسیری روشن برای آینده سیستم‌های تشخیص نفوذ هوشمند و خودکار را ترسیم می‌کند.