چکیده – تشخیص بدافزار یکی از مشکلات بزرگ در حوزه امنیت و حریم خصوصی کامپیوترها و شبکههای کامپیوتری به شمار میآید. در این مقاله، روشی نوین برای تشخیص بدافزارها با استفاده از تکنولوژی بلاکچین را مورد بررسی قرار میدهیم. بلاکچین بهعنوان یک فناوری نوظهور و قدرتمند مبتنی بر روشهای توزیع شده و غیرقابلتغییر، میتواند در تشخیص و اصلاح بدافزارها، حل بسیاری از مشکلات امنیتی و قابلیت اطمینان در حوزههای دیگر بسیار مفید باشد. روش پیشنهادی شامل ساخت یک شبکه بلاکچین توسط اجزای مختلف سیستم است. هر فعالیت مشکوک یا بدافزاری که باعث تغییر در سیستم میشود، با روشهای تحلیل بلاکچین و الگوریتمهای هوش مصنوعی، تشخیص داده، بدافزارها شناسایی و بهصورت یک تراکنش در بلاکچین ثبت و اطلاعات مربوط به این تراکنشها همگی در نودهای شبکه به اشتراک گذاشته میشود. نتایج آزمایشها نشان میدهد که روش پیشنهادی در تشخیص بدافزارها بادقت بالا و سرعت قابلقبولی عمل میکند. این روش قابلیت پاسخگویی به بدافزارهای جدید را نیز داراست، زیرا بر اساس الگوریتمهای هوش مصنوعی و قابلیت تغییرناپذیری بلاکچین، بهبود و بهروزرسانی مداوم این سیستم امکانپذیر است. بهازای همه مزایا و نتایج مثبت، استفاده از بلاکچین در تشخیص بدافزارها میتواند یک رویکرد نوین و اثربخش در حوزه امنیت و ایجاد اطمینان در سیستمهای کامپیوتری باشد. هدف مقاله، بررسی ایده جدیدی برای تشخیص بدافزارها با استفاده از تکنولوژی بلاکچین است که از قابلیتهای بلاکچین با استفاده از تکنیکهای هوش مصنوعی و الگوریتمهای پیشرفته، بتوانند به شناسایی و تشخیص بدافزارها در سیستمها کمک کنند.
مقدمه
امنیت مسئلهای بوده که از دیرباز اهمیت فراوانی داشته است و نسبت به شرایط هر دوران دستخوش تغییر میشد. در دنیای فناوری امنیت دادهها و اطلاعات به مبحثی مهم مبدل گردیده است که میبایست با استفاده از رمزنگاری و حفاظت از داده ها [1] امنیت اطلاعات را با استفاده از روشهای نوین ]2[ و عناصر آن که شامل محرمانه بودن، صداقت، دردسترسبودن، اصالت و عدم انکار است ایجاد نمود [3]. در عصر دیجیتالی که بهسرعت در حال پیشروی است، بدافزارها بهعنوان تهدیدی جدی برای امنیت و حریم خصوصی کاربران در فضای آنلاین مطرح هستند. بدافزارها به نرمافزارهایی اشاره دارند که باهدف برقراری دسترسی غیرمجاز، خرابکاری یا سرقت اطلاعات شخصی، کامپیوترها و سیستمهای مختلف را مورد حملات قرار میدهند. ازآنجاکه بدافزارها بهسرعت تغییر شکل میدهند و روشهای مبارزه با آنها نیز باید پیشرفت کنند، اصلاح و بهبود روشهای تشخیص بدافزارها نیازمند ارتقا و نوآوری است.
پیشینه پژوهش
همانطور که بیان شد تشخیص بدافزار یکی از مهمترین چالشها در امنیت سایبری است که با پیشرفت روزافزون فناوری و همچنین افزایش حجم حملات سایبری، به یک مسئله اساسی تبدیل شده است. بهمنظور مقابله با این تهدیدات، روشهای مختلفی برای تشخیص بدافزارها وجود دارد. یکی از این روشها استفاده از شبکههای عصبی و یادگیری عمیق است که بهعنوان یکی از روشهای قدرتمند و کارآمد در زمینه تشخیص بدافزارها در حال حاضر مورداستفاده قرار میگیرد. برای تحقیقات بیشتر در زمینه تشخیص بدافزارها با استفاده از شبکههای عصبی، نیازمند آشنایی با مطالعات پیشین در این حوزه هستیم. در این بخش از مقاله به بررسی پیشینه کارهایی که در زمینه تشخیص بدافزارها با استفاده از هوش مصنوعی انجام شده است، خواهیم پرداخت. در ادامه نیز، به بررسی انواع الگوریتمها، معیارها و روشهای استفاده شده در مطالعات پیشین در این زمینه پرداخته و به تشریح نتایج و نتایج حاصل از آنها خواهیم پرداخت. همچنین به ارزیابی مزایا و معایب این روشها و نگاهی به چالشهای موجود در زمینه تشخیص بدافزارها با استفاده از شبکههای عصبی خواهیم داشت.
تجزیهوتحلیل بدافزار
بدافزار یک مشکل جدی در صنعت فناوری اطلاعات است که به طور یکسان بر مشاغل و مردم تأثیر میگذارد. نویسندگان بدافزار عموماً دست بالا را دارند. اگر بخواهند میتوانند همیشه جلوتر از برنامههای آنتیویروس قدم بردارند. آنها معمولاً با بدافزارهای جدید پیش میروند و همچنین میتوانند بدافزار خود را تغییر دهند تا شناسایی آن را سختتر کنند. امروزه شناسایی بدافزارها به دلیل استفاده از تکنولوژیهای جدید امری دشوار است، بنابراین میبایست از روشهای جدید برای شناسایی آنها استفاده نمود، اینجاست که تحلیل بدافزار وارد میشود. برای انجام این کار از ابزارهای تجزیهوتحلیل استفاده میشود. در اکثر مواقع تجزیهوتحلیل بدافزارها به دو صورت تجزیهوتحلیل بدافزار ایستایی و پویا انجام میشود [6] , [7].
تکنیکهای یادگیری عمیق در تحلیل بدافزارها
با آغاز فعالیت هوش مصنوعی از اواخر دهه 1940 دنیا وارد تغییرات گستردهای شد. پیشرفتهای اخیر در حوزه یادگیری ماشین و یادگیری عمیق باعث شد تا سرانجام هوش مصنوعی بهعنوان یک فناوری دگرگونکننده شناخته شود. در زمینه امنیت اطلاعات نیز، موضوعی مهمتر از بدافزار وجود ندارد. حجم انبوه بدافزارها و هزینههای مقابله با عواقب آن واقعاً خیرهکننده است[7]؛ بنابراین بهموقع است که نقش ML، DL و AI را در زمینه تجزیهوتحلیل بدافزار در نظر بگیریم. در حال حاضر شبکههای عصبی و یادگیری عمیق، بهعنوان چارچوب تحقیقات بدافزار در نظر گرفته میشوند. معماریهای مختلفی از جمله پرسپترونهای چندلایه، شبکههای عصبی کانولوشنال، شبکههای عصبی مکرر، حافظه کوتاهمدت، شبکههای باقیمانده، شبکههای متخاصم مولد و Word2Vec معرفی شدهاند[8]،[9].
از میان روشهای مطرح شده MLPها بسیار محبوب هستند و در بیشتر زمینهها یکی از اولین تکنیکهای یادگیری هستند که در نظر گرفته شده است، زیرا MLPها تقریباً برای هر مشکل امنیتی که در آن تکنیکهای یادگیری عمیق قابلاجرا هستند، مورداستفاده قرار گرفته است. پس از MLPها، CNNها ارزش خود را در طیف گستردهای از برنامههای کاربردی مرتبط با امنیت ثابت کردهاند. برخی از این برنامهها، مانند تشخیص هرزنامه تصویر[8], [10]،[11]کاربردهای واضح و نسبتاً ساده CNNها هستند. بااینحال، سایر حوزههای امنیتی که هیچ جزء مبتنی بر تصویر ظاهری ندارند نیز با CNN موفقیتآمیز بودهاند.
کاربردهای زیادی از RNNها در حوزه امنیت اطلاعات خارج از دامنه بدافزار وجود دارد. در[12]، معماریهای CNN و LSTM برای شناسایی رویدادهای امنیت سایبری، بر اساس پیامهای شبکههای اجتماعی استفاده میشوند. سایر کاربردهای infosec LSTM شامل تولید هستیشناسیهای امنیتی [13]، امنیت شبکه [14]، شکستن CAPTCHA [15]، تشخیص نفوذ مبتنی بر میزبان[16]، تشخیص ناهنجاری شبکه[17] و غیره است.
ResNet یک تازهوارد نسبتاً جدید بهحساب میآید و سطح تحقیقات در حوزه امنیتی در این حوزه تا حدودی محدود است.
بااینوجود، معماری ResNet برای مقابله با مظنونین معمولی، یعنی تجزیهوتحلیل بدافزار [18] و[19] و تشخیص نفوذ [20]، [21]، دوران نویدبخشی را نشان داده است. GANها نیز برای مقابله با برخی از چالشبرانگیزترین مشکلات در امنیت اطلاعات، نویدبخش هستند. علاوه بر این، جنبه مولد یک GAN میتواند برای ایجاد مشکلات امنیتی چالشبرانگیز در آزمایشگاه مورداستفاده قرار گیرد، بنابراین محققان را قادر میسازد تا دفاع در برابر تهدیدهای بالقوه را قبل از اینکه آن تهدیدها در یک محیط واقعی ایجاد شوند، در نظر بگیرند[22].
در [23]، ELMها برای طبقهبندی بدافزارها با CNN مقایسه میشوند و نشاندادهشده است که ELMها میتوانند در برخی موارد بهتر از CNNها عمل کنند. زیرا ELMها زمانهای آموزشی دارند که تنها بخش کوچکی از زمان موردنیاز برای CNNهای قابلمقایسه است. ELMها همچنین برای شناسایی بدافزار در پلتفرم اندروید [24] که در آن آموزش بر اساس ویژگیهای استاتیک، با نتایج نسبتاً قوی است، استفاده شده است.
تشخیص بدافزار بهوسیله بلاکچین
امروزه فناوری بلاکچین به دلیل ویژگیهایی مانند تمرکززدایی، تداوم، ناشناس بودن، عدم انکار و قابلیت حسابرسی بهعنوان راهحلی برای همه چیز مطرح شده است. در روشهای فعلی نرمافزارهای آنتیویروس تنها بهوسیله پایگاهداده خود مخرب بودن یا نبودن یک فایل را از طریق امضای آن مورد تشخیص قرار میدهند. هر کدام از نرمافزارهای آنتیویروس برای ثبت امضای بدافزار تشخیصدادهشده از آزمایشگاه مخصوص تجزیهوتحلیل خود استفاده و سپس آن را به پایگاهداده خود اضافه مینماید که مشکل بهروزرسانی پایگاهداده در خصوص امضاهای تشخیصدادهشده در آن مشهود است، بنابراین میتوان از ویژگی توزیع شده و غیرمتمرکز بلاکچین برای بهروزرسانی بلاکچین با امضای فایل مخرب جدید استفاده نمود. با انجام این کار، هر گره در شبکه میتواند تصمیم بگیرد که آیا فایل خاص دانلود شده از اینترنت مخرب است یا خیر.
هدف از ارائه روش تشخیص با بلاکچین
کاستیهای سیستمهای تشخیص بدافزار سنتی که سیستم را قادر به شناسایی سریع ویروسهای تولید شده نمیکند، باعث ایجاد نگرانیهای عمدهای شده است؛ بنابراین ارائه یک راهحل بالقوه با استفاده از فن آوریهای مختلف میتواند این نگرانی را کاهش دهد. بر همین اساس راهحلی مبتنی بر زنجیره بلوک ارائه گردیده که میتواند امضای ویروسهای لبهای شناسایی شده یا نشدهاند را بر اساس اجماع تمام گرههای موجود بهعنوان یک بلوک به بلاکچین اضافه کند و حفظ یا حذف آن را به کاربر واگذار نماید؛ بنابراین هدف از این روش ایجاد راهحلی برای ازمیانبردن کاستیهای نرمافزار آنتیویروس معمولی با استفاده از فناوری بلاکچین توزیع شده و غیرمتمرکز، با قابلیت اشتراکگذاری سریع امضای فایلهای مشکوک در بین کاربران است.
چگونگی روش تشخیص بدافزار بهوسیله بلاکچین
سیستمهای موجود از تشخیص مبتنی بر امضا یا تشخیص مبتنی بر رفتار برای آزمایش فایل استفاده میکند. امروزه بدافزارها در هر بار اجرا دگرگونی تازهای از خود ایجاد میکنند که منجر به تغییر امضا آنها میشود؛ بنابراین استفاده از تشخیص مبتنی بر امضا در سیستمهای موجود برای تشخیص بدافزارهای جدید ناکارآمد است؛ بنابراین تشخیص مبتنی بر رفتار توسط این سیستمها به دو روش تجزیهوتحلیل پویا و تجزیهوتحلیل ایستایی مورداستفاده قرار میگیرد. بااینحال، با استفاده از روشهای پیچیدهتر فرار و ضد تشخیص که به طور فزایندهای در بدافزارهای جدید، گنجانده میشوند، میتواند حتی روشهای تشخیص مبتنی بر رفتار را میتوان به طور مؤثر دور بزند. معایب اصلی روشهای رفتاری، نسبت مثبت کاذب بالای آنها (FPR) و مقدار زیاد زمان اسکن موردنیاز است.
شناسایی بدافزار توسط شبکههای عصبی و بلاکچین در اساس متفاوت است. شبکههای عصبی برای شناسایی بدافزار از الگوریتمهای یادگیری عمیق استفاده میکنند که با تحلیل دادهها و هوشمندانه کردن فرایند تصمیمگیری، به شناسایی بدافزار میپردازند. این روش بهطورکلی برای شناسایی بدافزارهای جدید و ناشناخته مناسب است. بلاکچین، بهعنوان یک سیستم توزیع شده، برای شناسایی بدافزار میتواند از رویکردی مبتنی بر تاریخچه استفاده کند. این روش بهطورکلی برای شناسایی بدافزارهای موجود و پیشبینی حملات آینده مناسب است؛ بنابراین، باتوجهبه فرایند و روش هر دو رویکرد، میتوان گفت که شناسایی بدافزار توسط شبکههای عصبی و بلاکچین در بخشهای مختلفی از فرایند شناسایی بدافزار به کار میروند و قابلیتهای متفاوتی دارند.
در حال حاضر به جهت رفع معایب هر دو روش مبتنی بر امضا و رفتار، روشهای مبتنی بر تشخیص بدافزار اکتشافی که از دادهکاوی و تکنیکهای یادگیری ماشین برای جمعآوری رفتار فایل استفاده میکنند مورداستفاده قرار میگیرد. این روش باید بتواند بهوسیله یک مدل یادگیری ماشین، همان نتایجی را که روشهای تشخیص مبتنی بر رفتار انجام میدهد را در زمان کمتری به دست آورد. نسبت مثبت کاذب بالا نقطهضعف تشخیص بدافزار مبتنی بر اکتشافی است.
طراحی و توسعه سیستم تشخیص بدافزار بلاکچین
در [25] و [26] یک سیستم فایروال غیرمتمرکز و سیستم تشخیص و سرکوب بدافزار مبتنی بر بلاکچین کنسرسیوم بهعنوان طرح توسعه تشخیص بدافزار معرفی شده است. سیستم فایروال غیرمتمرکز از مدل شبکههای عصبی باور عمیق بهعنوان موتور تشخیص استفاده میکند و از طریق ابزار بلاکچین کنسرسیوم، بازارهای برنامههای کاربردی تأیید شده از طریق مکانیسم اجماع زنجیره بلاک کنسرسیوم به زنجیره بلوک متصل میشوند.
سیستم تشخیص بدافزار بهوسیله بلاکچین
در سالهای اخیر استفاده از شبکههای عصبی و بلاکچین در تشخیص بدافزارها از محبوبیت بالایی برخوردار شده است و در حال جایگزینشدن با روشهای سنتی تشخیص بدافزار هستند و همانطور که بیان شده است سرعت تشخیص بدافزار در سیستم بلاکچین بالاتر از شبکههای عصبی بوده، بنابراین میتوان از این سیستم در تشخیص بدافزار استفاده نمود. دلیل این امر نیز آن است که تشخیص بدافزار در بلاکچین به دلیل ساختار گسترده و متنوع آن، با استفاده از تحلیلهای رمزنگاری و شناسایی ناهنجاری صورت میگیرد. بلاکچینها با استفاده از الگوریتمهای پیچیده و رمزنگاری قوی، از تقلب و تغییر در اطلاعات جلوگیری میکنند و به این شکل امنیت بالایی را برای دادههای ذخیره شده در آنها فراهم میکنند. از سوی دیگر، شبکههای عصبی نیاز به مجموعهدادههای بسیار بزرگی برای آموزش دارند تا قادر به تشخیص بدافزار شوند. این مجموعهدادهها برای شناسایی بدافزارهای جدید و ناموجود در مجموعهدادهها لازم است بهروزرسانی شود و این موضوع به دلیل اینکه بدافزارها میتوانند بسیار سریع ایجاد و شناسایی شوند، به مشکل تبدیل میشود. به همین دلیل، تشخیص بدافزار در بلاکچین با استفاده از الگوریتمهای پیچیده و رمزنگاری قوی و بدون نیاز به مجموعهداده بزرگ، امکانپذیر است و بهطورکلی سرعت بالاتری دارد.
جدول 3‑1 گزارش طبقهبندی CNN معمولی برای هر کلاس بدافزار
نوع بدافزار | دقت | فراخوانی | F1 |
Worm | 0.60 | 0.58 | 0.59 |
Downloader | 0.82 | 0.11 | 0.20 |
Dropper | 0.62 | 0.05 | 0.10 |
Spyware | 0.39 | 0.69 | 0.50 |
Adware | 0.22 | 0.72 | 0.34 |
Exploit | 0.86 | 0.26 | 0.40 |
Malware | 0.00 | 0.00 | 0.00 |
Benign | 0.77 | 0.83 | 0.80 |
جدول 3‑2 نتایج تجربی در تشخیص بدافزار توسط بلاکچین
رفتار بدخواهانه | نمونه معمولی | نمونه غیرطبیعی | کمیت تشخیص | نرخ تشخیص | نرخ خطا |
Running unknown software | 45 | 150 | 134 | 89.3% | 4.2% |
Access remote server | 45 | 150 | 137 | 91.3% | 3.1% |
Send messages | 10 | 50 | 45 | 90.0% | 4.0% |
Others | 10 | 50 | 41 | 82.0% | 6.3% |
Total | 100 | 400 | 357 | ——- | ——- |
یکی دیگر از دلایل این موضوع، نحوه طراحی بلاکچین است. در بلاکچین، تراکنشهای قبلی بهصورت یکجا در بلاک جدید ذخیره میشوند و برای تغییر هر بلاک نیاز به تغییر تمام تراکنشهای قبلی است. بهعبارتدیگر، هر تغییری در بلاک اصلی، تمام بلاکهای بعدی را تحتتأثیر قرار میدهد. باتوجهبه این نکته، برخلاف شبکههای عصبی که فقط برای تشخیص یک الگوی خاص آموزش داده میشوند، بلاکچین برای تغییر هر تراکنش نیاز به تغییر کل بلاکچین دارد؛ بنابراین، اگر بدافزاری در بلاکچین قرار داشته باشد، برای تغییر آن نیاز به تغییر تاریخچه و تمام بلاکهای قبلی خواهد بود. این مسئله باعث میشود که سرعت تشخیص بدافزار در بلاکچین نسبت به شبکههای عصبی بالاتر باشد، زیرا هر تغییری در قابلتشخیص است. از دیگر دلایل بالابودن سرعت تشخیص در بلاکچین آن است که بلاکچین یک سیستم توزیع شده است که اطلاعات را در بلوکهایی ذخیره میکند. هر بلوک شامل دادههایی است که با استفاده از یک الگوریتم کریپتو گرافی بهصورت امن و بدون امکان تغییر توسط شبکه تأیید میشود. بدین ترتیب، هر دادهای که به بلاکچین اضافه میشود، بهصورت خودکار و بدون نیاز به تأیید داخلی یا خارجی توسط سیستم قابلتشخیص است. درعینحال، شبکههای عصبی برای تشخیص بدافزار باید از طریق یادگیری ماشین و تحلیل آماری اطلاعات، الگوهایی را بشناسند که به بدافزار اشاره دارد. این فرایند زمانبر است و به میزان دادههایی یادگیری وابسته است؛ بنابراین، باتوجهبه ساختار بلاکچین و قابلیت تشخیص خودکار دادههای اضافه شده به آن، سرعت تشخیص بدافزار در بلاکچین بالاتر از شبکههای عصبی است.
در حال حاضر روشهایی که برای تشخیص بدافزار بهوسیله بلاکچین مورداستفاده قرار میگیرد، نقاط ضعف بسیاری وجود دارد از جمله آنکه این روشها بیشتر بر ایجاد یک پایگاهداده متمرکز تنها برای اضافه نمودن تابع درهم ساز امضای فایل مخرب ایجاد شده از طریق شناسایی بر اساس یکی از روشهای تشخیص رفتاری، اکتشافی و مبتنی بر امضا میپردازند و این فرض را دارا است که کاربری آن فایل را بهعنوان یک فایل مخرب شناسایی و قصد اضافه نمودن به بلاکچین بهصورت یک بلوک را دارد، سپس به مقایسه امضا با بلوکهای موجود پرداخته و در صورت نبود امضا آن را اضافه میکند [27].
روشهای تشخیص بدافزار در بلاکچین
در بررسی روشهایی که تا کنون ارائه شده است به یک سیستم تشخیص مبتنی بر رفتار را برای اشتراکگذاری و استفاده از امضا فایلهای بدافزار مشکوک با استفاده از فناوری بلاکچین دست پیدا نمودیم که عملکرد آن بر اساس تشخیص مبتنی بر امضا با کمک رفتار توزیعشده بلاکچین است. هدف این سیستم اشتراکگذاری سریع امضای فایلهای مشکوک در بین کاربران و بهبود دقت تشخیص و حذف بدافزارها بدون یک سازمان متمرکز است. در این روش از تشخیص بدافزار امضا مبتنی بر رفتار استفاده میشود که امکان بررسی امضای جدید با امضاهای موجود در بلاکچین را میدهد. رفتار مبتنی بر امضا برای شناسایی امضای ویروس جدید از تجزیهوتحلیل رفتار فایل در یک محیط مجزا استفاده میکند. معایب تشخیص مبتنی بر امضا این است که حملات روز صفر و بدافزار جدید نمیتواند شناسایی شود. ازآنجاییکه هر روش تشخیص بدافزار دارای مزایا و معایبی است، این روش نیز دارای نواقصی است که میبایست با بهبود آن به عملکرد بهتر در آن رسید. استفاده ترکیبی از تشخیص رفتاری، اکتشافی و مبتنی بر امضا با استفاده از زنجیرهبلوکی میتواند به بهبود این روش کمک کند، بنابراین سیستم جدید بایستی توانایی شناسایی تمام ویروسهای جدید را دارا باشد و اشکالات موتورهای تشخیص بدافزار سنتی را از بین ببرد. سیستم پیشنهادی بایستی دارای ویژگیهای بررسی جزئیات فایل، امضای آن، امکان بررسی فایل در صورت نیاز در یک محیط ایزوله را دارا باشد و در نهایت امضای بهدستآمده را توسط یک سیستم احراز هویت برای جلوگیری از هر گونه دستکاری بهعنوان یک بلوک جدید اضافه کند.
بهبود روش تشخیص بدافزار توسط بلاکچین
در روشهای فعلی مورداستفاده تنها به ورود امضای فایلهای شناسایی شده اکتفا میشود و در مراحل بعدی تنها یک عمل مقایسه صورت میپذیرد که این خود میتواند نقطهضعف بزرگ این روش بهحساب بیاید، به همین خاطر اگر یک فایل در این بلاکچین ثبت نشده باشد امکان آنکه مخرب بوده؛ اما تشخیص داده نشده باشد وجود دارد و کماکان به روش سنتی بایستی به آزمایشگاههای تشخیص بدافزار ارسال شده تا مخرب بودن یا نبودن آن مشخص گردد؛ بنابراین نیازمند راهکاری هستیم که این ضعف را برطرف نماید. با بررسیهای انجامگرفته تعدادی از نقاط ضعف در روش فعلی تشخیص داده شد که در صورت اجراییشدن میتواند به بهبود عملکرد این روش کمک بسیاری نمایید. در این راستا و در جهت بهبود عملکرد، امکان بارگذاری فایل، ایجاد یک محیط امن آزمایشگاهی داخلی برای بررسی مخرب بودن فایل و ترکیب شبکههای عصبی و بلاکچین به جهت تشخیص بدافزار بهعنوان روش پیشنهادی به جهت رفع نقاط ضعف این روش بیان میگردد.
پیشرفتهای آینده
این موضوع مشخص است که هر روشی در ادامه مسیر خود بر اساس شرایط به موارد جدیدی نیاز خواهد داشت؛ بنابراین نمیتوان گفت در آینده چه نیازهایی پیشروی ما خواهد بود. اما باتوجهبه شرایط موجود قصد داریم سیستم پیشنهادی را با گنجاندن تشخیص مبتنی بر اکتشاف همراه با تشخیص مبتنی بر رفتار و امضا برای دقت بیشتر و نرخ منفی کاذب کمتر گسترش دهیم. برای بهبود امنیت با اضافهکردن مشکلات بلاکچین با کمک یادگیری عمیق و الگوریتمهای یادگیری ماشین برای پیشبینی ماهیت مخرب فایلها برنامهریزی میکنیم. در مراحل بعدی تکمیل این پروژه ما بایستی امکان تجزیهوتحلیل یک فایل را فراهم آوریم تا بتوانیم مخرب بودن یا نبودن آن را تشخیص دهیم. این مرحله نیز خود فرایندی مجزا دارد که میبایست بهعنوان یک پروژه مجزا تعریف شود و چالشهای آن بهدقت مورد بررسی قرار گیرد. اضافه نمودن یک فایروال سبک به جهت جلوگیری و بهبود در شناسایی و دفع حملات روز صفر و DDOS، بهبود همگامسازی استفاده از شبکههای عصبی و یادگیری عمیق با بلاکچین و سایر روشهایی که باعث بهبود عملکرد طرح پیشنهادی شود را در حال حاضر و آینده در نظر داریم.
از دیگر پیشرفتهای این روش تلفیق بلاکچین و هوش مصنوعی است. میتوان گفت که تلفیق بلاکچین با امکانات امنیتی و ذخیرهسازی دادهها، همراه با قابلیتهای هوش مصنوعی، برای تشخیص بدافزار مناسب است. تلفیق بلاکچین و هوش مصنوعی میتواند باعث ایجاد یک سامانه قوی و قابلاطمینان برای تشخیص بدافزار شود. همچنین، باتوجهبه اینکه دادههای شناسایی شده در بلاکچین ذخیره میشوند، اطلاعات بسیاری در خصوص الگوها و رفتار بدافزارها در دسترس قرار میگیرد که میتواند برای پیشگیری از حملات آینده و بهبود راهکارهای امنیتی مورداستفاده قرار گیرد.
نتيجهگيري
تشخیص بدافزار در بلاکچین و شبکههای عصبی از نظر روش و ماهیت کاملاً متفاوت است. در بلاکچین، بهجای استفاده از الگوریتمهای هوش مصنوعی برای تشخیص بدافزار، از فناوری بلاکچین برای ذخیره و نگهداری دادههای مربوط به بدافزارها استفاده میشود. بلاکچین، با امکانات امنیتی خود، میتواند اطلاعات مربوط به بدافزارها را با حفظ حریم خصوصی ذخیره کند و از آنها برای تشخیص بدافزارهای جدید استفاده کند. همچنین، باتوجهبه اینکه دادهها در بلاکچین قابلیت تغییر ندارند، پیشبینی و پیشگیری از حملات بدافزاری در سیستم، بهتر و قابل اطمینانآور خواهد بود. از سوی دیگر، شبکههای عصبی برای تشخیص بدافزار از الگوریتمهای هوش مصنوعی استفاده میکنند. در این روش، الگوریتمهای هوش مصنوعی با تجزیهوتحلیل دادههای مربوط به بدافزارها، الگوها و رفتارهای آنها را شناسایی و با استفاده از این الگوها، بدافزارها را تشخیص میدهند. این روش به دلیل امکان پردازش سریع و دقیق دادههای بسیار بزرگ، مناسب برای تشخیص بدافزارهاست؛ بنابراین، در کل، تفاوت تشخیص بدافزار در بلاکچین و شبکههای عصبی در روش و ابزار استفاده شده برای تشخیص بدافزار است. بلاکچین میتواند برای پیشبینی بدافزار مناسب باشد. ازآنجاکه بلاکچین قابلیت نگهداری و ذخیرهسازی دادههای سیستم را به شکلی امن و بدون امکان تغییر در آنها فراهم میکند، این امکان را میدهد که اطلاعات مربوط به بدافزارها و الگوهای آنها را در داخل بلاکچین ثبت کنیم و از آنها برای تشخیص بدافزارهای جدید استفاده کنیم. بلاکچین همچنین در این مورد مفید است که میتواند برای پیشگیری از حملات آینده و بهبود راهکارهای امنیتی مورداستفاده قرار گیرد. با نگهداشتن اطلاعات تشخیصدادهشده در بلاکچین، میتوانیم از تجربیات گذشته استفاده کنیم و از آنها برای بهبود روشها و الگوریتمهای تشخیص بدافزار بهره ببریم.
ترکیب بلاکچین و شبکههای عصبی میتواند یک روش قابلاعتماد و مؤثر برای تشخیص بدافزار باشد. در این روش، دادههای بدافزار جمعآوری و بهصورت رمزنگاری شده در بلاکچین ذخیره میشود تا اطمینان حاصل شود که هرگونه دستکاری در دادهها انجام نشده است. سپس از شبکههای عصبی جهت تشخیص الگوهای بدافزاری استفاده میشود. باتوجهبه اینکه شبکههای عصبی بهراحتی قادر به تشخیص الگوهای پیچیدهای هستند، میتوان از آنها برای تشخیص بدافزار استفاده کرد. علاوه بر این، با استفاده از بلاکچین بهعنوان یک روش ثبات دهی، امکان دستکاری در دادهها تقریباً از بین خواهد رفت و دقت تشخیص بدافزار بهبود مییابد.
در پایان ذکر این نکته ضروری است که هر فرایندی دارای نقاط ضعف و قوت است که میتواند باعث افزایش و یا کاهش عملکرد آن شود؛ بنابراین در آینده قطعاً به آنها برخواهیم خورد که بایستی آنها را تقویت و یا برطرف سازیم. در گامهای بعدی پس از توسعههای ذکر شده، میتوانیم گرهها را با استفاده از برنامه Flask به فضای ابری مستقر در IBM Cloud متصل کنیم. از طرف دیگر، میتوانیم از یک سرویس تونلسازی مانند ngrok برای ایجاد یک URL عمومی برای سرور لوکالهاست خود استفاده کنید و سپس با چندین ماشین تعامل داشته باشد.
مراجع
[1] William Stallings, CRYPTOGRAPHY AND NETWORK SECURITY PRINCIPLES AND PRACTICE, FIFTH EDITION. 2006.
[2] Tam Thomas, Network Security First-Step, 2 Edition. Cisco Press, 2010.
[3] سعید قاضی مغربی and شهرام بختیاری, اصول امنیت سیستمها و شبکههای کامپیوتری. انتشارات دانشگاه صنعتی شریف، 1391.
[4] “Free Cybersecurity Community Events | SANS Institute.” https://www.sans.org/mlp/free-cybersecurity-events/?msc=main-nav (accessed Aug. 12, 2022).
[5] D. Dunkerley, “Mike Meyers CompTIA Security+ Certification Passport, Sixth Edition (Exam SY0-601), 6th Edition.”
[6] “CEH TM v11 Certified Ethical Hacker Study Guide.”
[7] “Av-Test Malware ,” https://www.av-test.org/de/statistiken/malware/, 2022.
[8] A. Annadatha and M. Stamp, “Image spam analysis and detection,” Journal of Computer Virology and Hacking Techniques, vol. 14, no. 1, pp. 39–52, Feb. 2018, doi: 10.1007/s11416-016-0287-x.
[9] Chandak, Aniket, Fabio Di Troia, and Mark Stamp, “A comparison of word embedding techniques for malware classification,” In Malware analysis using artificial intelligence and deep learning, eds. Stamp, Mark, Mamoun Alazab, and Andrii Shalaginov. Berlin: Springer, 2020.
[10] Chavda, Aneri, Katerina Potika, Fabio Di Troia, and Mark Stamp, “Support vector machines for image spam analysis,” In Proceedings of the 15th international joint conference on e-business and telecommunications, ICETE 2018, eds. Callegari, Christian, Marten van Sinderen, Paulo Novais, Panagiotis G. Sarigiannidis, Sebastiano Battiato, Ángel Serrano Sánchez de León, 2018.
[11] Sharmin, Tazmina, Fabio Di Troia, Katerina Potika, and Mark Stamp, “Convolutional neural networks for image spam detection,” Convolutional neural networks for image spam detection. Information Security Journal: A Global Perspective 29 (3): 103–117., 2020.
[12] S. Yagcioglu et al., “Detecting Cybersecurity Events from Noisy Short Text,” https://arxiv.org/abs/1904.05054, 2019, Accessed: Sep. 22, 2022. [Online]. Available: https://stm-ai.github.io/
[13] Gasmi, Houssem, Jannik Laval, and Abdelaziz Bouras, “Cold-start cybersecurity ontology population using information extraction with LSTM,” . In 2019 international conference on cyber security for emerging technologies, CSET, 1–6., 2019.
[14] Li, Shixuan, and Dongmei Zhao, “A LSTM-based method for comprehension and evaluation of network security situation,” In 2019 18th IEEE international conference on trust, security and privacy in computing and communications, 723–728, 2019.
[15] R. Chen, J. Yang, R. G. Hu, and S. G. Huang, “A novel LSTM-RNN decoding algorithm in CAPTCHA recognition,” Proceedings – 3rd International Conference on Instrumentation and Measurement, Computer, Communication and Control, IMCCC 2013, pp. 766–771, 2013, doi: 10.1109/IMCCC.2013.171.
[16] Kim, Gyuwan, Hayoon Yi, Jangho Lee, Yunheung Paek, and Sungroh Yoon, “LSTMbased system-call language modeling and robust ensemble method for designing host-based intrusion detection systems,” https://arxiv.org/abs/1611.01726, 2016.
[17] M. Cheng, Qian Xu, W. L. Jianming Lv, Qing Li, and Jianping Wang, “ MSLSTM: A multi-scale LSTM model for BGP anomaly detection,” In 2016 IEEE 24th International Conference on Network Protocols (ICNP), 1–6., 2016.
[18] Khan, Riaz Ullah, Xiaosong Zhang, and Rajesh Kumar, “Analysis of resnet and googlenet models for malware detection,” Journal of Computer Virology and Hacking Techniques 15 (1): 29–57., 2019.
[19] Rezende, E, G. Ruppert, T. Carvalho, F. Ramos, and P. de Geus, “Malicious software classification using transfer learning of resnet-50 deep neural network,” In 16th IEEE international conference on machine learning and applications, ICMLA 2017, 1011–1014., 2017.
[20] M. Kravchik and A. Shabtai, “Detecting Cyberattacks in Industrial Control Systems Using Convolutional Neural Networks,” https://arxiv.org/pdf/1806.08110.pdf, 2018, Accessed: Sep. 22, 2022. [Online]. Available: https://arxiv.org/pdf/1806.08110.pdf
[21] P. Wu, H. Guo, N. Moustafa, and S. Wales, “Pelican: A Deep Residual Network for Network Intrusion Detection,” https://arxiv.org/pdf/2001.08523.pdf, 2020, Accessed: Sep. 22, 2022. [Online]. Available: https://arxiv.org/pdf/2001.08523.pdf.
[22] M. Rigaki and S. Garcia, “Bringing a GAN to a knife-fight: Adapting malware communication to avoid detection,” Proceedings – 2018 IEEE Symposium on Security and Privacy Workshops, SPW 2018, pp. 70–75, Aug. 2018, doi: 10.1109/SPW.2018.00019.
[23] Jain, Mugdha, William Andreopoulos, and Mark Stamp, “Convolutional neural networks and extreme learning machines for malware classification,” Journal of Computer Virology and Hacking Techniques, 2020.
[24] Zhang, Wei, Huan Ren, Qingshan Jiang, and Kai Zhang, “Exploring feature extraction and ELM in malware detection for Android devices,” Advances in Neural Networks, ISNN, eds. Hu, Xiaolin, Yousheng Xia, Yunong Zhang, and Dongbin Zhao, 489–498., 2015.
[25] Saurabh Raje, R Panigrahi, Shyamal Vaderia, and Shyamal Vaderia, “Decentralised firewall for malware detection,” International Conference on Advances in Computing, Communication and Control(ICAC3), Publisher: IEEE, 2017.
[26] Yitong Du1, Chuanchang Liu, and Zhiyuan Su2, “Detection and Suppression of Malware Based on Consortium Blockchain,” IOP Conference Series Materials Science and Engineering, DOI: 10.1088/1757- 899X/490/4/042031., 2019.
[27] Ryusei Fuji et al., “Investigation on Sharing Signatures of Suspected Malware Files Using Blockchain Technology,” International MultiConference of Engineers and Computer Scientists 2019 IMECS 2019, March 13-15, 2019, Hong Kong., 2019.
- حسین کاظمی
- شهریور 6, 1402
- 10:27 ب.ظ
- بدون نظر