في عصر تتزايد فيه التهديدات الرقمية، يعد الكشف عن البرمجيات الخبيثة (Malware) في بيئات الحوسبة الحديثة تحديًا متزايدًا. لذلك، يتطلب الأمر استخدام نماذج ليست فقط دقيقة ولكن أيضًا قابلة للتفسير ومرنة ضد أساليب التحايل.

في هذا السياق، تظهر الشبكات العصبية الرسومية (Graph Neural Networks - GNNs) كأداة واعدة، حيث تقوم بنمذجة الاعتمادات الهيكلية الغنية من التمثيلات البرمجية القائمة على الرسوم البيانية، مثل رسوم تدفق التحكم (Control Flow Graphs - CFGs). ومع ذلك، تقنيات النماذج الفردية قد تعاني من قدرة متناهية على التعميم ونقص في القابلية للتفسير، خاصة في التطبيقات الأمنية الحرجة.

تقدم هذه الورقة البحثية إطار عمل جديد يركز على مجموعة من الشبكات العصبية الرسومية للكشف عن البرمجيات الخبيثة. يقوم النظام بمExtract CFGs ديناميكيًا من الملفات التنفيذية القابلة للنقل (Portable Executable - PE)، ويمثل الكتل الأساسية باستخدام استراتيجية تضمين من خطوتين.

تشمل هذه الطريقة مجموعة متنوعة من مصادر المعلومات عبر استخدم مجموعة من متعلمي GNN، كل منها يعتمد على آلية تمرير رسائل مختلفة، مما يعزز من التقاط الميزات السلوكية المكملة. يتم تجميع مخرجات التوقعات من قبل متعلم عام (Meta-learner) تم تنفيذه كشبكة عميقة تعتمد على الانتباه، والتي تقوم بتصنيف الحالات الخبيثة وتقدير مساهمة كل نموذج أساسي في النتيجة.

لرفع مستوى القابلية للتفسير، تم إدخال تقنية تفسير ما بعد التنفيذي التي تعزز من التفسير النزولي من خلال استخدام درجات الأهمية على مستوى الحواف المولدة بواسطة مفسر GNN ودمجها باستخدام أوزان الانتباه المتعلمة. وهذا ينتج تفسيرات قابلة للتفسير وغير مرتبطة بالنموذج تتماشى مع نتيجة التجميع النهائية.

تظهر النتائج التجريبية أن الإطار المقترح يعزز من أداء التصنيف بينما يوفر تفسيرات مفيدة لسلوك البرمجيات الخبيثة. إن القدرة على الجمع بين الدقة والشفافية تجعل هذه التقنية الجديدة خطوة هامة في مجال الأمان السيبراني.