في عصر تتزايد فيه تهديدات الأمن السيبراني بشكل متصاعد، كان لا بد من ابتكار حلول جديدة تعالج أوجه القصور في الأنظمة الحالية. نظام الكشف عن التسلل القائم على التوقيع (Signature-based Intrusion Detection Systems - IDS) يعتمد بشكل أساسي على مطابقة نشاطات الشبكة أو الأحداث المستضيفة ضد قواعد محددة مسبقًا.

عادةً ما يقوم محللو الأمن بتطوير هذه القواعد يدويًا استنادًا إلى ذكاء التهديدات السيبرانية (Cyber Threat Intelligence - CTI). ومع ذلك، يواجه هذا المنهج تحديين رئيسيين. الأول هو الحاجة المستمرة لتوفيق المعلومات الجديدة من CTI مع القواعد الموجودة، وهو ما يصعب عملية إضافة أو تحديث أو حتى إلغاء أي قاعدة.

تتباين التنسيقات بين CTI والقواعد، مما يجعل البحث عن التوافق بينهما عملية مرهقة. الأمر الثاني هو صعوبة التحقق التلقائي من قواعد جديدة، خصوصًا مع التهديدات التي لا تتضمن تاريخًا سابقًا للاختبار. فلا يمكن الاعتماد على المقاييس القياسية لتأكيد التوافق الدلالي.

لهذا السبب، تم تقديم FALCON، وهو إطار عمل مبتكر يعالج هذه التحديات من خلال استرجاع قواعد CTI وتوليدها والتحقق منها. يتضمن FALCON ميزة فريدة تدعى "المقياس الدلالي بين CTI والقواعد" والذي يقيس مدى التوافق الوظيفي بينهما. يقوم النظام بفحص القواعد ذات الصلة ويستخدم مخططات التحليل الذاتي لتحسين أداء القواعد المتولدة.

تظهر النتائج من مجموعة بيانات مخصصة أن FALCON يحقق متوسط توافق يبلغ 0.72 تقريبًا، مع اتفاق بنسبة 84% بين محللي الأمن السيبراني. هذا يشير إلى إمكانية تحقيق أتمتة أمنية في الوقت الفعلي، مؤكدًا أن الابتكار في الحماية السيبرانية هو المفتاح لمواجهة التهديدات المستمرة.