Clear Sky Science
شروحات قائمة على الأدلة وخفيفة المصطلحات

Clear Sky Science · ar

نهج كشف برمجيات خبيثة في إنترنت الأشياء قائم على التعلم العميق لمحطات شحن المركبات الكهربائية

· العودة إلى الفهرس

لماذا تهم سلامة شاحن سيارتك

تزداد سيماز المركبات الكهربائية اتصالاً بمحطات شحن ذكية مليئة بأجهزة صغيرة متصلة بالإنترنت. هذه الأجهزة تجعل الشحن أسرع وأكثر كفاءة، لكنها تفتح أيضاً أبواباً جديدة للمهاجمين. يمكن للبرمجيات الخبيثة التي تتسلل إلى مستشعر أو متحكم واحد أن تنتشر، مهددة شبكات الطاقة والبيانات الشخصية وتوافر الشحن نفسه. يقدم هذا البحث طريقة جديدة لاكتشاف مثل هذه البرمجيات الخبيثة المخفية قبل أن تصل إلى الأجهزة داخل محطة شحن المركبات الكهربائية.

Figure 1
Figure 1.

مخاطر خفية داخل الشواحن الذكية

تعتمد محطات شحن المركبات الكهربائية الحديثة على منظومة من أجهزة إنترنت الأشياء—عدادات ذكية، مجسات حرارة، مرحلات ومتحكمات—تتواصل باستمرار مع السحابة ومع بعضها البعض. إذا زرع المهاجمون برمجيات خبيثة في أي من هذه المكونات، فيمكنهم اعتراض أو تعديل البيانات، سرقة معلومات الدفع، أو حتى التلاعب بأحمال الشحن لزعزعة استقرار الشبكة المحلية. تُظهر حوادث حقيقية في قطاع الطاقة أن الأجهزة الصناعية المخترقة يمكن أن تفصل التوربينات أو تعرض المنشآت النووية للخطر. ومع توسع شبكات الشحن، أصبح اكتشاف البرمجيات الخبيثة في البرامج التي تعمل على هذه الأجهزة المتنوعة خط دفاع حاسم.

لماذا تقصر الدفاعات الحالية

كثير من مكتشِفات برمجيات إنترنت الأشياء الحالية تنظر فقط إلى نوع واحد من معالجات الأجهزة، مثل ARM أو MIPS، رغم أن شبكات الشحن الحقيقية تستخدم مزيجاً من العتاد. تعتمد طرق أخرى على شريحة ضيقة من المعلومات، مثل لقطة بصرية سريعة لبرنامج أو عدد بسيط من التعليمات. تحاول بعض الأنظمة دمج عدة دلائل لكن بطريقة سطحية—مجرد جمع ميزات دون فهم كيفية ارتباطها أو أيها الأهم لعينة معينة. ونتيجة لذلك قد تفوت أنماط هجوم دقيقة أو تفشل عند مواجهة أنواع أجهزة جديدة أو عائلات برمجيات خبيثة مختلفة.

النظر إلى البرمجيات الخبيثة من ثلاث زوايا

يقترح المؤلفون نهج كشف ثابت، يعني أنه يفحص ملفات البرامج قبل تثبيتها على أي جهاز. أولاً، يمرّرون الشيفرة المجمعة لأنواع معالجات مختلفة عبر أداة حكومية طورت باسم Ghidra، والتي تترجم كل شيء إلى «لغة وسيطة» مشتركة. تزيل هذه الخطوة خصوصيات العتاد بينما تحافظ على منطق عمل البرنامج، مما يسمح لنفس مسار التحليل بالتعامل مع ملفات من ARM وx86 وMIPS وغيرها من البُنى. من كل ملف، يستخلص النظام ثلاث وجهات تكميلية: منظر الشكل العام، ومنظر إحصائي، ومنظر سلوكي.

في منظر الشكل العام، يُعامل الملف الثنائي الخام كسلسلة طويلة من الأرقام ويُحوَّل إلى صورة تدرّج رمادي، حيث يمثل كل بكسل جزءاً من الشيفرة. يفحص شبكة عصبية تلافيفية هذه الصورة بحثاً عن أنسجة وتخطيطات متكررة تختلف بين البرامج الحميدة وعائلات البرمجيات الخبيثة. في المنظر الإحصائي، تُكسر التعليمات المترجمة إلى تسلسلات قصيرة تقاس تكراراتها باستخدام طريقة مستعارة من بحث النصوص. يفحص شبكة عصبية بسيطة هذه أنماط التردد لالتقاط أجزاء التعليمات الشائعة بصورة غير اعتيادية في البرامج الخبيثة. في المنظر السلوكي، تُقصُّ التعليمات المتكررة أو قليلة المعلومات، ثم يقرأ شبكة متكررة (LSTM) تسلسل التعليمات المتبقي كما لو كان جملة، متعلمة كيف تتتابع العمليات زمنياً كاشفة منطقاً خبيثاً أعمق.

Figure 2
Figure 2.

دمج الأدلة بانتباه مركز

بدلاً من جمع هذه المجموعات الثلاث من الميزات جنباً إلى جنب فقط، يصمم المؤلفون نموذج اندماج يزنها وينقحها بنشاط. تتعلم آلية انتباه متعددة الرؤوس، مستوحاة من التقدمات الحديثة في نماذج اللغة، أي مجرى ميزات يحمل الدليل الأكثر إفادة لكل عينة برنامج، مضبوطة تأثيرها ديناميكياً. ثم تبحث طبقة تلافيف أحادية البعد في التمثيل المندمج عن أنماط قصيرة لكنها مهمة، بينما يقوم مُشفّر متعدد الطبقات بخلط وإعادة تشكيل المعلومات مراراً ليكشف علاقات دقيقة بين الأدلة الهيكلية والإحصائية والسلوكية. الناتج النهائي هو درجة واحدة تشير إلى ما إذا كان البرنامج على الأرجح حميداً أم خبيثاً، وإلى أي عائلة برمجيات خبيثة قد ينتمي.

مدى فاعلية الطريقة الجديدة

لاختبار نظامهم، يجمع الباحثون مجموعة بيانات عامة كبيرة من برامج إنترنت الأشياء مأخوذة من مستودعين شائعين للبرمجيات الخبيثة، وتغطي خمسة أنواع رئيسية من المعالجات الشائعة في بنية تحتية الشحن الكهربائي. يقارنون إعدادات وتركيبات ميزات متعددة، موضحين أن كل واحد من المناظر الثلاثة يضيف قيمة فريدة—إسقاط أي منها يضر بالأداء بشكل ملحوظ. يتفوق نموذج الاندماج الكامل القائم على العرض الثلاثي والاهتمام على عدة طرق متقدمة، بما في ذلك الأنظمة المعتمدة على الصورة فقط والأنظمة القائمة على الرسوم البيانية. عبر جميع البنى، تحسن الطريقة الجديدة مقياس دقة متوازن رئيسي (مقياس F1) بنحو 1.37 نقطة مئوية وتقلل معدل تصنيف البرامج الحميدة بشكل خاطئ كبرمجيات خبيثة.

ماذا يعني هذا لشحن السيارات اليومي

بالنسبة للسائقين، يشير العمل إلى مستقبل يخضع فيه البرنامج الذي يعمل خلف كواليس محطات الشحن لفحص أكثر صرامة. من خلال فحص الشيفرة من زوايا متعددة وعبر منصات عتادية مختلفة، يمكن للنظام المقترح التقاط نطاق أوسع من التهديدات قبل أن تصل إلى أجهزة إنترنت الأشياء المتصلة بالشبكة. رغم أن الطريقة الحالية تركز على الملفات الثابتة وقد تواجه صعوبة مع برمجيات خبيثة مشفّرة أو مموهة بشدة، فإنها تقدم بالفعل للمشغلين وأدوات الشبكات المركزية أداة قوية للحفاظ على الجانب الرقمي لشحن المركبات الكهربائية موثوقاً بقدر الكابلات والمحولات التي نراها في الشوارع.

الاستشهاد: Xia, L., Chen, Y. & Han, L. A deep learning-based IoT malware detection approach for electric vehicle charging stations. Sci Rep 16, 10607 (2026). https://doi.org/10.1038/s41598-026-45220-x

الكلمات المفتاحية: برمجيات خبيثة في إنترنت الأشياء, شحن المركبات الكهربائية, الأمن السيبراني, كشف التعلم العميق, أمن الشبكة الذكية