يحوّل ملفات البيانات إلى «بيكسلات» ويعيد بناءها على شكل صورة لتحليلها

تطويرنظام جديد لمكافحة البرمجيات الخبيثة بالذكاء الاصطناعي

نظام «ستامينا» الجديد خليط من تقنيات «الرؤية بالحاسب» و«الشبكات العصبية العميقة». من المصدر

طوّر فريق بحثي مشترك من شركتي «مايكروسوفت» و«إنتل»، نظاماً جديداً لمكافحة البرمجيات الخبيثة المستخدمة في هجمات السرقة والسطو على البيانات، والتحكم عن بعد في الأجهزة والأنظمة والتطبيقات، أطلقوا عليه «ستامينا»، موضحين أنه يعتمد على الذكاء الاصطناعي، حيث إنه مكون من تقنيات «التعلم العميق» و«الرؤية بالحاسب»، ويحول أي ملف بيانات إلى مجموعة من النقاط أو «البيكسلات» أحادية الاتجاه، ثم إعادة بنائها على هيئة صورة، تكشف عن وجود البرمجيات الخبيثة، ثم إزالتها.

وجاء الإعلان عن تفاصيل نظام «ستامينا» الجديد، في ورقة بحثية نشرها الباحثان في فريق استخبارات الحماية المعلوماتية بـ«مايكروسوفت»، جوجال باريك ومارك مارينو، على المدونة الرسمية لأمن المعلومات في الشركة، أكدا خلالها أن النتائج المحققة تمت على ملفات البيانات صغيرة الحجم، وأن الفريق سيواصل عمله خلال الفترة المقبلة، لتوسيع نطاق عمل «ستامينا»، ليعمل كنظام حماية فعال، يكون جزء منه في حاسبات العملاء والمستخدمين، والجزء الآخر، على الحاسبات الخادمة، التي تشغل نظم الحوسبة السحابية لدى «مايكروسوفت».

فكرة النظام

وأوضح الباحثان أن «ستامينا» اختصار يشير إلى طريقة في التعامل مع البرمجيات الخبيثة، تسمى «تحليل شبكة البرامج الضارة كصورة ثابتة»، والفكرة الأساسية في هذا النظام أنه يعتمد على ما يعرف «بالتحليل الثابت» للملفات والبرامج، وهو التحليل الذي يتم لملفات البرامج المشبوهة، وهي في وضعية الثبات، لا التشغيل، بمعنى أن يكون البرنامج مجرد ملف موجود على الحاسب، لم يتم تثبيته بعد، أو جرى تثبيته، لكنه ليس قيد التشغيل، وهو أسلوب معتمد ومعروف في التعامل مع ملفات الفيروسات والبرامج الخبيثة، ويختلف عن نهج آخر واسع الانتشار، يقوم على مراقبة واكتشاف البرمجيات الخبيثة، من خلال سلوكها وهي قيد التشغيل الفعلي.

وأضافا أن الجديد في نظام «ستامينا»، أنه يقوم بمسح الملف المطلوب فحصه، مسحاً شاملاً، ثم تفكيكه وتحويله الى تيار متدفق من النقاط «البيكسلات» أحادية الاتجاه، ومن ثم استخدام هذا التيار في إعادة بناء الملف على هيئة صورة ثنائية الاتجاه، بنمط «جي بي إي جي» المعروف في عالم ملفات الصور، وبعدها يصبح الملف صورة لها مشهد بصري، يمكن من خلال فحصه، ومعرفة ما إذا كان الملف بكامله عبارة عن برمجية خبيثة، أو يحتوي على برمجية خبيثة من عدمه.

التنفيذ العملي

وبيّن الباحثان، باريك ومارينو، أن التنفيذ العملي لتلك الفكرة، يتم عبر ثلاث خطوات رئيسة، الأولى تتمثل بالتحويل وبناء الصور، ويتم فيها تحويل النقاط «البيكسلات» الموجودة في الملفات إلى صور ثنائية الأبعاد، ثم تحويل الثنائيات إلى «دفق» بيكسل أحادي البعد، وبعد ذلك تأتي الخطوة الثانية وهي نقل التعلم، ويتم فيها استخدام طريقة «التعلم الانتقائي» التي تستخدم لتسريع وقت إنجاز تحليل الصور وتعلمها، مع الحفاظ على أداء عالٍ في التحليل والتصنيف، ومن ثم الخطوة الثالثة وهي التقييم، ويتم فيها عمليات مضاهاة دقيقة، بين طبيعة الصور الناتجة من الملف، مع طبيعة الصور المعروفة سلفاً عن البرامج الخبيثة، من واقع البيانات التاريخية، والبيانات الحالية عن «الطبعة البرمجية» للبرمجيات الخبيثة، وسلالاتها المختلفة.

أدوات التنفيذ

وأشار الباحثان إلى أن تصميم النظام على هذا النحو، يعني احتياجه لعمليات مضاهاة، وتدريب وتعلم مستمرين، في كل خطواته، ومن هنا تم اللجوء إلى علوم وتقنيات الذكاء الاصطناعي المختلفة، ومنها تقنيات «الرؤية بالحاسب» لتسريع عمليات المضاهاة والتحقق، وتقنية «تعلم الآلة»، التي تم حصر استخدامها في فرعين من فروعها، هما «التعلم العميق» و«الشبكات العصبية العميقة»، لجعل النظام قادر على التدرب والتعلم المستمرين، وفهم طبيعة وخصائص البرمجيات الخبيثة أولاً بأول، والاستفادة بهذا التعلم في فحص الملفات الموجودة على الحاسبات، واكتشاف ما بها من برمجيات خبيثة.

وذكرا أنه تم التوصل إلى شكل من «التحليل الثابت»، يعتمد فيها كلياً على تقنيات الذكاء الاصطناعي، التي تستخدم البيانات الديناميكية المتجددة.

اختبار النظام

قال الباحثان في فريق استخبارات الحماية المعلوماتية بـ«مايكروسوفت»، جوجال باريك ومارك مارينو، إنه تم اختبار نظام «ستامينا» على عينة مكونة من 2.2 مليون من أجزاء الملفات المختلفة، مشيرين إلى أن النظام الجديد حقق دقة في كشف البرمجيات الخبيثة وإزالتها بلغت 99.07%، مع معدل إيجابي زائف قدره 2.58%.

وأضافا أن ذلك تحقق بالنسبة للملفات الصغيرة الحجم، إلا أنها تعطلت مع الملفات الأكبر حجماً، بسبب القيود في تحويل مليارات البيكسلات إلى صور «جي بي إي جي»، ثم تغيير حجمها.

طباعة