Clear Sky Science
شروحات قائمة على الأدلة وخفيفة المصطلحات

Clear Sky Science · ar

تحسين أداء اكتشاف البرمجيات الخبيثة باستخدام تعلم تمثيل عميق هجين مع خوارزميات البحث الاستكشافية

· العودة إلى الفهرس

لماذا أصبح ضمان أمان هاتفك أمرًا أصعب

يعتمد معظمنا الآن على الهواتف الذكية في المصرفية والتسوق والعمل والمحادثات الخاصة. وفي الوقت نفسه، يبتكر المجرمون تطبيقات خبيثة أكثر مراوغة يمكنها سرقة البيانات، التجسّس على المستخدمين، أو اختطاف الأجهزة. تكافح أدوات مضادات الفيروسات التقليدية لمواكبة هذا التطور. تُقدّم هذه الدراسة طريقة جديدة لرصد تطبيقات أندرويد الخطرة باستخدام مزيج متقدّم من تقنيات التعلم العميق، بهدف توفير حماية أسرع وأكثر موثوقية في بيئات العالم الحقيقي.

Figure 1
Figure 1.

التهديد المتزايد داخل التطبيقات اليومية

تطورت البرمجيات الخبيثة من فيروسات مزعجة إلى مجموعة أدوات متقدمة للجريمة السيبرانية. على هواتف أندرويد على وجه الخصوص، يمكن للتطبيقات المزيفة والتنزيلات الملوثة أن تفتح بهدوء الوصول إلى بيانات المصارف، الصور الشخصية، الأسرار المؤسسية، أو حتى شبكات بأكملها. يُخفي المجرمون شفراتهم بشكل متزايد عبر حيل مثل التشفير، و«تعبئة» الشيفرة، وتأخير تشغيل الوظائف الضارة، بحيث لا تكشف عمليات الفحص البسيطة مرة واحدة عما يفعله التطبيق بالفعل. ونتيجة لذلك، يجب على أنظمة الأمن أن تتعلّم التعرف على أنماط السلوك الدقيقة بدلاً من الاعتماد على توقيعات ثابتة أو قائمة محدودة من التهديدات المعروفة.

تعليم الآلات التعرف على الأنماط الخطرة

أظهر التعلم الآلي والتعلم العميق — أشكال من الذكاء الاصطناعي التي تتعلّم من البيانات — وعدًا في اكتشاف البرمجيات الخبيثة. بدلًا من الاعتماد على قواعد مكتوبة يدويًا، تُدرَّب هذه الأنظمة على مجموعات كبيرة من التطبيقات المصنفة كآمنة أو خبيثة. تتعلم أي مجموعات من الميزات، مثل الأذونات، أو تعليمات البرمجة، أو سجلات الاستخدام، تشير عادة إلى خطر. مع ذلك، كثيرًا ما تتعثر النماذج الحالية عندما تكون مجموعات البيانات ضخمة أو غير متوازنة أو بها ضوضاء، والعديد منها يتطلب قدرة حوسبة كبيرة تفوق ما هو عملي على الهواتف أو الأجهزة محدودة الموارد. كما قد تفشل في التكيّف عندما يبتكر المجرمون أساليب هجوم جديدة تمامًا، مما يترك ثغرات في الحماية.

عقل هجين لفرز التطبيقات بذكاء أكبر

يقترح المؤلفون إطارًا جديدًا يُسمى IMDP‑HDL، يجمع عدة مكونات من التعلم العميق لالتقاط الدلائل المخفية في بيانات تطبيقات أندرويد بشكل أفضل. أولًا، يستخدمون خطوة إحصائية تُعرف بتوحيد Z‑score، التي تُعيد تحجيم كل ميزة إلى نطاق مشترك بحيث لا تهيمن فئة واحدة من المعلومات على عملية التعلم. ثم يطبقون طريقة بحث استرشادية لاختيار أكثر الميزات إفادة، مما يزيل الضوضاء ويسرّع التدريب. قلب النظام هو شبكة هجينة تمزج بين ثلاث أفكار: طبقات التلافيف (convolutional) الجيدة في اكتشاف الأنماط المحلية؛ وحدة الذاكرة الطويلة القصيرة الاتجاه ثنائية الاتجاه (BiLSTM) التي يمكنها تتبع تتابعات الأحداث للأمام والخلف؛ وآلية الانتباه الذاتي التي تعلّم النموذج التركيز على أجزاء البيانات الأكثر صلة عند اتخاذ القرار.

Figure 2
Figure 2.

مدى كفاءة النظام الجديد

لاختبار النهج، استخدم الباحثون عدة مجموعات بيانات عامة لبرمجيات أندرويد الخبيثة، تضم معًا أكثر من خمسة عشر ألف تطبيق ومئات الميزات الوصفية لكل تطبيق. درّبوا نموذجهم الهجين على مراحل، بزيادة تدريجية في دورات التدريب، وتابعوا مقاييس الأداء الكلاسيكية مثل الدقة والدقة النوعية والاستدعاء ومقياس مركب يسمى F1. مع مجموعة بيانات برمجيات أندرويد الرئيسية، حقق إطار IMDP‑HDL دقة تقارب 99.2 في المئة، متفوقًا على مجموعة من الطرق المنافسة، بما في ذلك الشبكات العصبية التقليدية، والشبكات المتكررة، ونماذج التعلم العميق الهجينة الأخرى. كما عمل أسرع بشكل ملحوظ من أنظمة التعلم العميق المنافسة، حيث أنهى تحليله في أقل من خمس ثوانٍ بينما احتاجت الأخرى نحو ضعف أو ثلاثة أضعاف ذلك الوقت.

القيود الحالية وآمال المستقبل

على الرغم من هذه النتائج القوية، يعترف المؤلفون بأن النموذج دُرّب على مجموعات بيانات محددة قد لا تعكس التنوع الكامل للتهديدات المتداولة في الواقع. قد تنفلت تكتيكات سريعة الحركة مثل استغلالات اليوم الصفري أو عائلات برمجيات خبيثة متحورة بشدة. قد يكون تشغيل مثل هذا النموذج مباشرة على الهواتف، أو السيارات، أو أجهزة إنترنت الأشياء الصغيرة تحديًا عندما تكون الذاكرة وقوة المعالجة محدودة. لذلك يرى الباحثون هذا العمل كأساس. ويوصون بتوسيع نطاق مجموعات البيانات، وإضافة آليات تسمح للنموذج بتحديث نفسه مع ظهور تهديدات جديدة، واستكشاف طرق لشرح قراراته حتى يتمكن محللو الأمن والمستخدمون من فهم سبب وسم تطبيق معين.

ماذا يعني هذا للمستخدمين اليوميين

ببساطة، تُظهر هذه الدراسة أنه بدمج عدة تقنيات متقدمة في التعلم، يمكن للحواسيب أن تصبح أفضل بشكل ملحوظ في التمييز بين التطبيقات الآمنة والخطيرة، حتى عندما يحاول الفاعلون الخبيثون الاختباء بجد. وبينما لن يلغي ذلك الحاجة إلى سلوك مستخدم حذر — مثل تحميل التطبيقات فقط من مصادر موثوقة — فإنه يشير إلى مسار نحو دفاعات أخف وأسرع وأكثر دقة مدمجة في أدوات الأمان المستقبلية. إذا تم تحسينها ونشرها على نطاق واسع، فقد تجعل نهج مثل IMDP‑HDL من الصعب جدًا على البرمجيات الخبيثة المختبئة أن تظل غير مكتشفة على الهواتف الذكية والأجهزة المتصلة التي نعتمد عليها يوميًا.

الاستشهاد: Anuradha, A., Chouhan, A.S. & Srinivas Rao, S. Improving malware detection performance using hybrid deep representation learning with heuristic search algorithms. Sci Rep 16, 4847 (2026). https://doi.org/10.1038/s41598-026-35481-x

الكلمات المفتاحية: برمجيات أندرويد الخبيثة, أمن التعلم العميق, الأمن السيبراني المحمول, تطبيقات خبيثة, الشبكات العصبية