گسترش اینترنت، شیوه ارتباط و کار ما را به طور بنیادین دگرگون کرده است. با وجود فرصت‌های بی‌شماری که این فناوری فراهم آورده، شاهد افزایش تهدیدات سایبری نیز بوده‌ایم. یکی از شایع‌ترین و خطرناک‌ترین این تهدیدها، فیشینگ (Phishing) است؛ روشی فریبکارانه که در آن مجرمان سایبری با جعل هویت وب‌سایت‌های معتبر، به دنبال سرقت اطلاعات حساس کاربران مانند نام کاربری، رمز عبور و اطلاعات بانکی هستند. حملات فیشینگ سالانه میلیاردها دلار خسارت مالی به افراد و سازمان‌ها وارد کرده و امنیت حریم خصوصی را به طور جدی به خطر می‌اندازند.

روش‌های سنتی مقابله با فیشینگ، مانند لیست‌های سیاه (Blacklists)، اغلب واکنشی و ناکارآمد هستند، زیرا مهاجمان می‌توانند به سرعت وب‌سایت‌های جدیدی راه‌اندازی کنند. از این رو، نیاز به توسعه سیستم‌های هوشمند و پیشگیرانه برای تشخیص این حملات بیش از هر زمان دیگری احساس می‌شود. مقاله حاضر با عنوان «تشخیص وب‌سایت فیشینگ از طریق تحلیل چندمدلی محتوای HTML» یک رویکرد نوآورانه مبتنی بر هوش مصنوعی ارائه می‌دهد که با تحلیل عمیق محتوای HTML صفحات وب، قادر به شناسایی وب‌سایت‌های مخرب با دقت بسیار بالاست. اهمیت این پژوهش در ارائه یک مدل قدرتمند و ایجاد یک مجموعه داده عمومی و به‌روز برای پیشبرد تحقیقات در این حوزه نهفته است.

این مقاله حاصل همکاری گروهی از پژوهشگران برجسته به نام‌های Furkan Çolhak، Mert İlhan Ecevit، Bilal Emir Uçar، Reiner Creutzburg و Hasan Dağ است. این تحقیق در تقاطع دو حوزه بسیار مهم علوم کامپیوتر، یعنی امنیت سایبری (Cryptography and Security) و هوش مصنوعی (Artificial Intelligence)، قرار می‌گیرد. تمرکز اصلی پژوهش بر استفاده از تکنیک‌های پیشرفته یادگیری عمیق و پردازش زبان طبیعی (NLP) برای حل یکی از چالش‌های اساسی امنیت سایبری، یعنی تشخیص فیشینگ، است. این رویکرد بین‌رشته‌ای نشان‌دهنده روند رو به رشد استفاده از هوش مصنوعی برای ساخت سپرهای دفاعی هوشمند در برابر تهدیدات آنلاین است.

این مطالعه به مسئله فوری فیشینگ با معرفی یک مدل تشخیص پیشرفته می‌پردازد که به طور دقیق بر محتوای HTML تمرکز دارد. رویکرد پیشنهادی، یک مدل پرسپترون چندلایه (MLP) برای داده‌های ساختاریافته جدولی و دو مدل از پیش آموزش‌دیده پردازش زبان طبیعی (NLP) را برای تحلیل ویژگی‌های متنی مانند عناوین و محتوای صفحات وب ادغام می‌کند. خروجی‌های این مدل‌ها (که به صورت بردار یا Embedding هستند) از طریق یک فرآیند ترکیب نوآورانه با یکدیگر تلفیق می‌شوند. بردارهای ترکیبی نهایی به یک طبقه‌بند خطی برای تصمیم‌گیری نهایی ارسال می‌گردند.

علاوه بر مدل، نویسندگان با درک کمبود مجموعه داده‌های جدید برای تحقیقات جامع فیشینگ، یک مجموعه داده به‌روز ایجاد کرده و آن را به صورت عمومی با جامعه علمی به اشتراک گذاشته‌اند. این مجموعه داده با دقت بالا و با الهام از شرایط واقعی حملات فیشینگ گردآوری شده تا از کارایی مدل در دنیای واقعی اطمینان حاصل شود. یافته‌های پژوهش، اثربخشی رویکرد پیشنهادی را برجسته می‌سازد و نشان می‌دهد که مدل MultiText-LP (ترکیب دو مدل NLP و یک مدل MLP) به نتایج چشمگیری با امتیاز F1 برابر با ۹۶.۸۰٪ و دقت ۹۷.۱۸٪ بر روی مجموعه داده جدید دست یافته است.

یکی از نقاط قوت اصلی این مقاله، روش‌شناسی دقیق و چندوجهی آن است. نویسندگان به جای تکیه بر یک مدل واحد، از یک معماری ترکیبی بهره برده‌اند که هر بخش آن وظیفه تحلیل نوع خاصی از داده را بر عهده دارد.

• ایجاد مجموعه داده: با توجه به اینکه تکنیک‌های فیشینگ به سرعت در حال تحول هستند، مجموعه داده‌های قدیمی ممکن است کارایی لازم را نداشته باشند. به همین دلیل، محققان مجموعه داده‌ای جدید و منطبق با روش‌های مدرن فیشینگ ایجاد کرده‌اند. این اقدام نه تنها به اعتبارسنجی مدل خودشان کمک کرده، بلکه منبع ارزشمندی برای سایر پژوهشگران فراهم آورده است.
• معماری چندمدلی: مدل پیشنهادی با نام MultiText-LP از سه جزء اصلی تشکیل شده است:
  • پرسپترون چندلایه (MLP): این مدل برای تحلیل ویژگی‌های ساختاریافته (Tabular Data) از کد HTML به کار می‌رود. این ویژگی‌ها می‌توانند شامل تعداد لینک‌ها، استفاده از تگ‌های اسکریپت، وجود فرم‌ها، طول URL و سایر مشخصات عددی یا دسته‌ای باشند که به صورت مستقیم از ساختار صفحه استخراج می‌شوند.
  • مدل CANINE برای تحلیل عناوین: عنوان صفحه (Page Title) یکی از بخش‌های کلیدی برای فریب کاربر است. مدل CANINE یک مدل پردازش زبان طبیعی مبتنی بر کاراکتر است. این ویژگی به آن اجازه می‌دهد تا ترفندهای ظریف مهاجمان، مانند استفاده از کاراکترهای مشابه (مثلاً ‘1’ به جای ‘l’) یا کلمات غلط املایی عمدی را که مدل‌های مبتنی بر کلمه ممکن است نادیده بگیرند، شناسایی کند.
  • مدل RoBERTa برای تحلیل محتوا: برای درک محتوای کلی صفحه، از مدل قدرتمند RoBERTa استفاده شده است. این مدل که یکی از پیشرفته‌ترین مدل‌های ترنسفورمر است، می‌تواند متن اصلی صفحه را تحلیل کرده و عبارات فریبنده، درخواست‌های فوری برای ورود اطلاعات یا محتوای غیرمعمول را تشخیص دهد.
• فرآیند ترکیب (Fusion): جادوی این رویکرد در نحوه ترکیب خروجی‌های سه مدل فوق نهفته است. اطلاعات استخراج‌شده توسط MLP، CANINE و RoBERTa به بردارهای عددی (Embeddings) تبدیل شده و سپس با یک مکانیزم همجوشی (Fusion) هوشمند با یکدیگر ادغام می‌شوند. این بردار ترکیبی، نمایی جامع و کامل از ویژگی‌های ساختاری و متنی صفحه وب ارائه می‌دهد.
• طبقه‌بندی نهایی: بردار ترکیبی نهایی به یک طبقه‌بند خطی ساده داده می‌شود تا تصمیم نهایی را بگیرد: آیا وب‌سایت ایمن (Legitimate) است یا فیشینگ (Phishing).

نتایج تجربی این پژوهش، موفقیت چشمگیر رویکرد چندمدلی را به اثبات می‌رساند. یافته‌های اصلی مقاله به شرح زیر است:

• عملکرد فوق‌العاده مدل: مدل نهایی، MultiText-LP، در مجموعه داده اختصاصی محققان به دقت ۹۷.۱۸٪ و امتیاز F1 برابر با ۹۶.۸۰٪ دست یافت. امتیاز F1 به خصوص مهم است زیرا تعادل بین دقت (Precision) و بازیابی (Recall) را نشان می‌دهد و در مسائل نامتوازنی مانند تشخیص فیشینگ (که تعداد سایت‌های مخرب بسیار کمتر از سایت‌های سالم است) معیار مناسب‌تری محسوب می‌شود.
• اثبات کارایی مدل‌های تخصصی: تحقیق نشان داد که انتخاب مدل‌های تخصصی برای وظایف مختلف کاملاً هوشمندانه بوده است. مدل CANINE در تحلیل عناوین کوتاه و فریبنده صفحات عملکرد بهتری داشت، در حالی که مدل RoBERTa در درک محتوای متنی طولانی و پیچیده بدنه صفحه برتری خود را نشان داد.
• مقایسه با روش‌های موجود: برای اثبات عمومیت‌پذیری و برتری مدل، نویسندگان آن را بر روی یک مجموعه داده استاندارد و عمومی به نام CatchPhish HTML نیز آزمایش کردند. نتایج نشان داد که رویکرد پیشنهادی آن‌ها از روش‌های موجود در این مجموعه داده نیز عملکرد بهتری دارد.

این پژوهش فراتر از یک مقاله علمی صرف، دستاوردهای عملی و کاربردی مهمی را به همراه دارد:

• ابزاری قدرتمند برای امنیت: مدل MultiText-LP می‌تواند به عنوان هسته مرکزی در ابزارهای امنیتی مختلف به کار گرفته شود. برای مثال، می‌توان آن را در قالب یک افزونه مرورگر پیاده‌سازی کرد تا کاربران را به صورت آنی از ورود به سایت‌های خطرناک آگاه سازد. همچنین شرکت‌ها می‌توانند از این تکنولوژی در درگاه‌های ایمیل و سیستم‌های امنیتی شبکه خود برای مسدودسازی لینک‌های فیشینگ استفاده کنند.
• توسعه جامعه علمی: با انتشار عمومی مجموعه داده جدید، محققان این فرصت را برای جامعه علمی فراهم کرده‌اند تا مدل‌های خود را بر روی داده‌های به‌روز و واقعی آزمایش کرده و به نوآوری در این حوزه ادامه دهند. این یکی از ارزشمندترین دستاوردهای این تحقیق است.
• ارائه یک الگوی موفق: موفقیت رویکرد چندمدلی نشان می‌دهد که ترکیب هوشمندانه مدل‌های مختلف هوش مصنوعی می‌تواند به راه‌حل‌های بسیار قوی‌تری برای مسائل پیچیده منجر شود. این الگو می‌تواند در سایر حوزه‌های امنیت سایبری مانند تشخیص بدافزار یا شناسایی نفوذ نیز به کار گرفته شود.

در دنیایی که تهدیدات سایبری روزبه‌روز پیچیده‌تر می‌شوند، مبارزه با حملات فیشینگ نیازمند راه‌حل‌های هوشمند، سریع و دقیق است. مقاله «تشخیص وب‌سایت فیشینگ از طریق تحلیل چندمدلی محتوای HTML» گامی بلند در این مسیر برداشته است. این پژوهش با معرفی مدل MultiText-LP، نشان می‌دهد که چگونه می‌توان با ترکیب قدرت مدل‌های یادگیری عمیق برای تحلیل داده‌های ساختاریافته (MLP) و داده‌های متنی (CANINE و RoBERTa)، به یک سیستم تشخیص فیشینگ با دقت بسیار بالا دست یافت. این رویکرد نه تنها یک ابزار مؤثر برای مقابله با مجرمان سایبری ارائه می‌دهد، بلکه با ایجاد و انتشار یک مجموعه داده جدید، به پیشرفت کل جامعه تحقیقاتی امنیت سایبری کمک شایانی می‌کند. این تحقیق تأکیدی دوباره بر پتانسیل عظیم هوش مصنوعی در ساختن یک دنیای دیجیتال امن‌تر است.